ciberseguridad

Ransomware: Protección esencial para su empresa

Home Ciberseguridad
Dirección copiada

¿Sabía usted que el costo estimado de la ciberdelincuencia en el mundo para 2025 será de 10.5 billones de dólares? Es una tendencia creciente protagonizada por modalidades delictivas como el ransomware, pero ¿en qué consiste este último y cuales son sus tendencias? Conózcalas a continuación. 

Publicado el 27 de feb de 2025
Ransomware un tendencia criminal creciente
Ransomware un tendencia criminal creciente.

El Centro de Ciberseguridad del Foro Económico Mundial inició el 2025 publicando su visión de las amenazas para el nuevo periodo presagiando un periodo marcado por ataques cada vez más sofisticados, en los que el ransomware, la ingeniería social y la ciberdelincuencia impulsada por IA seguirán siendo las principales preocupaciones. Y aunque las 3 tendencias son males ya conocidos en el mundo de la seguridad informática, el ransomware cobra especial relevancia por su tamaño y evolución.

Para colocar cifras, según la firma analista Mordor Research en el 2025 el mercado mundial de soluciones de protección contra el ransomware se estima en 25.340 millones de dólares para 2025, y se espera que alcance los 61.830 millones en 2030, con una tasa de crecimiento anual del 19,53 %. Para entender este crecimiento, su impacto y estrategia de prevención desde Impacto TIC preparamos esta guía.

Introducción al Ransomware

El ransomware es definido por Gartner como un tipo de extorsión cibernética en la que un actor malicioso se infiltra en un entorno y cifra y filtra archivos, denegando el acceso y amenazando con la divulgación, a menos que la víctima pague un rescate. En algunos casos, el propio ordenador puede quedar bloqueado, o los datos que contiene pueden ser encriptados, robados o borrados.

Según las directrices del NIST (Instituto Nacional de Estándares y Tecnología) , los ataques de ransomware se pueden dividir esencialmente en tres grandes fases

  • El acceso: Que ocurre como su nombre lo indica cuando los atacantes penetraron la red, establecen el control y despliegan el software malicioso de encriptación. También pueden hacer copias de sus datos para utilizarlas en la extorsión.
  • Activación: Corresponde a la etapa de activación del malware, bloqueando los dispositivos y cifrando los datos en toda la red, haciéndolos inaccesibles para sus usuarios.
  • Petición de rescate: En la fase final, como se detalla en los informes de ENISA (Agencia de la Unión Europea para la Ciberseguridad), los ciberdelincuentes notifican a sus víctimas las demandas de rescate, detallando cómo realizar el pago, generalmente en criptomonedas, para recuperar el acceso a sus datos

Tipos comunes de ransomware

El ransomware se diversifica en múltiples variantes, clasificadas por su mecanismo de ataque y modelo de distribución, con dos tendencias principales: el bloqueo de sistemas y el cifrado de datos, tal como se refleja en los análisis del CERT (Equipo de Respuesta a Emergencias Informáticas).

La primera de ellas niega el acceso a funciones críticas del computador, un ejemplo de esta tendencia son Petya y Locky, mientras que la segunda encripta archivos estratégicos de las organizaciones como ocurre con CryptoLocker, Cerber, Bad Rabbit y Ryuk.

Dicho esto, otras variedades de ransomware son:

  • Scareware: Utiliza mensajes alarmantes para engañar a los usuarios haciéndoles creer que su ordenador está infectado con un virus o tiene un problema grave de seguridad. A continuación, exige un pago para solucionar el problema. Algunos ejemplos son SpySheriff, XPAntivirus, ErrorSafe y Mac Defender.
  • Ransomware como servicio (RaaS): Se trata de un modelo de negocio en el que los desarrolladores de ransomware proporcionan su malware a sus clientes que a su vez infectan objetivos y comparten los pagos de los rescates. Ejemplos de esta tendencia son Cerber y REvil.
  • Wiper Malware: Más que cifrar, esta modalidad de ransomware busca borrar el disco duro, programas y datos almacenados de los computadores que infecta como ocurrió con NotPetya o recientemente en la guerra de Ucrania.
  • Ransomware de doble extorsión: Este tipo combina el cifrado con el robo de datos donde amenazan a sus víctimas con publicar información sensible en la red si no se paga el rescate. REvil y Maze son ejemplos de ransomware de doble extorsión.

Mecanismos de infección y propagación

La evolución del ransomware se acelera con la digitalización empresarial, donde plataformas como IoT, la nube y dispositivos móviles se convierten en vectores de ataque, como señalan los informes del INCIBE.

Algunos de los métodos de infección más populares de infección son:

  • Correos electrónicos de phishing: Los atacantes envían correos electrónicos que parecen proceder de fuentes legítimas engañando a los usuarios para que hagan clic en enlaces maliciosos o para que abran archivos infectados.
  • Vulnerabilidades de software: Los atacantes aprovechan los fallos de seguridad del software o de los mismos sistemas operativos de los computadores para inyectar códigos maliciosos en estos dispositivos. Un ejemplo tristemente célebre de este sistema fue WannaCry.
  • Malvertising: Se trata de anuncios publicitarios que buscan redirigir a los usuarios para que estos descarguen archivos nocivos. De esta forma, cuando un usuario hace clic en un anuncio malicioso, es redirigido sin saberlo a un sitio web que aloja un kit de explotación.
  • Mediante el robo de credenciales: En esta variable los delincuentes acceden a las credenciales de los usuarios para atacar los sistemas corporativos mediante métodos como phishing y keylogging.
  • Troyanos: Uno de los más conocidos y donde el ransomware puede disfrazarse de software legítimo, engañando a los usuarios para que lo descarguen y ejecuten.
  • Visita a sitios web: Los atacantes pueden inyectar código malicioso en sitios web legítimos, dando lugar a descargas de ransomware cuando los usuarios visitan esos sitios. Esto puede ocurrir cuando los sitios web no están debidamente protegidos o cuando los atacantes aprovechan vulnerabilidades del sitio web.

Impacto del Ransomware en entornos empresariales

Uno de los principales problemas con el ransomware es que va más allá del dinero. En otras palabras, además del pago de cuantiosas sumas a cibercriminales sin garantías reales de que no volverán a atacar, el ransomware puede interrumpir el flujo de operaciones de una empresa y peor aún afectar a los clientes y la imagen misma de las marcas.

Hablando estrictamente de pérdidas económicas, el pago de rescates, el tiempo de inactividad, los costes de recuperación, los honorarios legales y las posibles multas pueden dar lugar a importantes pérdidas financieras se suman unas a otras. Como muestra, en 2024, el rescate promedio rondaba los 2,73 millones de dólares según Sophos.Esto sin hablar de la pérdida de datos.

Además, el gigante financiero JPMorgan estima que recuperarse de un ataque de ransomware puede llevar días o incluso semanas, antes de restaurar completamente las capacidades informáticas de una organización que incluso de lograrse rápidamente no garantizan que la imagen de marca de una organización no quede seriamente afectada.

Piense por ejemplo en una entidad financiera afectada por ransomware, ¿qué confianza pueden tener los clientes de depositar sus recursos en una entidad vulnerable?,¿cuánto cuesta esa pérdida de confianza?

IndustriaImpacto PrincipalDatos ClaveConsecuencias
SaludInterrupción de servicios críticos, riesgo para la vida de los pacientes, violación de datos sensibles.Ataque al Health Service Executive (HSE) de Irlanda en 2021: interrupción masiva de servicios hospitalarios, cancelación de citas y cirugías. El ataque WannaCry en 2017 afectó a hospitales del NHS (Servicio Nacional de Salud del Reino Unido), causando interrupciones y poniendo en riesgo la atención al paciente.El ataque al HSE de Irlanda en 2021 paralizó los sistemas informáticos de hospitales en todo el país. Los médicos no pudieron acceder a los registros de pacientes, los laboratorios no pudieron procesar pruebas y se cancelaron miles de citas. El ataque puso en riesgo la vida de pacientes que necesitaban atención urgente.
FinanzasPérdida de confianza del cliente, interrupción de transacciones, robo de datos financieros.Ataque de ransomware a Travelex en 2019: interrupción de servicios de cambio de divisas, impacto financiero significativo. Ataques a bancos y entidades financieras en todo el mundo, con robo de datos de clientes y exigencias de rescate.El ataque a Travelex en 2019 dejó a la empresa sin poder procesar transacciones durante semanas. Los clientes no pudieron cambiar divisas y la empresa sufrió pérdidas financieras significativas. El ataque también dañó la reputación de Travelex.
ManufacturaInterrupción de la producción, robo de propiedad intelectual, daño a la cadena de suministro.Ataque de ransomware a Norsk Hydro en 2019: interrupción de la producción en plantas de aluminio, impacto financiero significativo. Ataques a empresas manufactureras en todo el mundo, con interrupción de operaciones y robo de datos de diseño.El ataque a Norsk Hydro en 2019 afectó a las operaciones de la empresa en varios países. La producción de aluminio se detuvo y la empresa tuvo que recurrir a procesos manuales. El ataque costó a Norsk Hydro decenas de millones de dólares.
Sector PúblicoInterrupción de servicios esenciales, pérdida de datos ciudadanos, daño a la infraestructura crítica.Ataque de ransomware a la ciudad de Baltimore en 2019: interrupción de servicios municipales, impacto financiero significativo. Ataques a entidades gubernamentales en todo el mundo, con interrupción de servicios y robo de datos ciudadanos.El ataque a la ciudad de Baltimore en 2019 afectó a los sistemas informáticos de la ciudad, incluyendo el correo electrónico, los sistemas de pago y los servicios de agua. Los residentes no pudieron acceder a servicios esenciales y la ciudad gastó millones de dólares en recuperación.
SegurosInterrupción de la gestión de pólizas, pérdida de datos de clientes, daño a la reputación, reclamaciones elevadas.CNA Financial 2021: ataque de ransomware que paralizó sus sistemas, afectando la gestión de pólizas y la comunicación con clientes. Tokio Marine 2020: Sufrió un ataque de ransomware que afectó sus operaciones en Asia.El ataque contra CNA Financial en 2021, paralizó sus sistemas de información, y como consecuencia afecto a la comunicación con sus clientes, y a la gestión de pólizas, y como consecuencia hubo una gran perdida económica.

Estrategias de prevención y protección contra Ransomware

Así como la implementación de soluciones tecnológicas requieren de trabajo en equipo, la estrategias de ciberseguridad para prevenir los ataques de ransomware demandan de esfuerzos colectivos, porque no importa que tan costosa sea su plataforma de Ciberseguridad si un empleado visitas sitios desprotegidos poco se puede garantizar.

Se trata de esfuerzos que deben venir desde la misma gerencia y requieren de una estrategia a largo plazo con elementos de capacitación, medición constante y en muchos casos de asesoría externa especializada.

Dichos estos puntos, algunas buenas prácticas son:

  • Formación en ciberseguridad: Que parta de educar a los empleados sobre estafas de phishing, enlaces sospechosos y archivos adjuntos para prevenir ataques de ingeniería social.
  • Actualizaciones periódicas del software: Mantenga actualizados los sistemas operativos y el software con los últimos parches de seguridad para evitar la explotación de vulnerabilidades.
  • Contraseñas seguras y autenticación multifactor: Imponga contraseñas seguras y aplique la autenticación multifactor para evitar el acceso no autorizado. La autenticación multifactor añade una capa extra de seguridad al requerir que los usuarios proporcionen múltiples formas de identificación, como una contraseña y códigos de un solo uso.
  • Copias de seguridad y plan de recuperación de datos: Siempre es bueno estar prevenido y realizar copias de seguridad periódicas de los datos críticos.
  • Plataformas de seguridad del correo electrónico y filtrado de URL: Utiliza herramientas de seguridad de email para bloquear correos electrónicos de phishing y sitios web maliciosos.
  • Software antivirus: Uno de los pasos más básicos y tradicionales es instalar y mantener actualizado el software antivirus para detectar y prevenir infecciones de ransomware.
  • Segmentación de la red: Divida la red en segmentos más pequeños para limitar la propagación del ransomware en caso de infección.
  • Acceso con mínimos privilegios: Restringe los permisos de los usuarios a sólo lo necesario para sus funciones con el fin de limitar el daño potencial del ransomware.
  • Seguridad de Endpoints: Implante soluciones de detección y respuesta de puntos finales (EDR) para supervisar y proteger los puntos finales de los ataques de ransomware.
  • Análisis de riesgos: Llevar a cabo y de forma periódica análisis exhaustivos de los riesgos de ciberseguridad para identificar posibles amenazas y debilidades de la plataforma TI.
  • Pruebas de pentest: Realice pruebas de penetración periódicas para simular ataques del mundo real e identificar vulnerabilidades en los sistemas y las medidas de seguridad.

Procedimientos de respuesta ante un ataque de Ransomware

Aunque lo ideal es prevenir los casos de ransomware basados en una buena estrategia de seguridad informática y herramientas tecnológicas, también es bueno conocer los principales pasos que se deben tener en cuenta en el peor escenario y cuando pedir ayuda a asesores externos y autoridades que ayuden a rastrear el origen del malware.

En estas circunstancias lo ideal es responder empezando por:

  • Aislar el ransomware: Es el punto de partida para evitar la propagación hacia otros dispositivos a través de la red. Por ello, primero debe apagar el sistema infectado, desconectar todos los cables de red; sistemas de almacenamiento y apagar la Wi-Fi que da servicio a la zona. Por cierto, no reinicie los dispositivos afectados ya que esto puede provocar la pérdida de datos y obstaculizar la investigación.
  • Identifique al enemigo: Paralelo a un proceso de documentación del incidente, la siguiente prioridad es identificar el tipo de ransomware ya sea analizando la nota de rescate, las extensiones de archivo y otros factores.
  • Intente el descifrado: Tras borrar el malware utilice herramientas o servicios de descifrado para intentar recuperar los archivos cifrados y posteriormente restablezca las credenciales, incluidas las contraseñas.
  • Restaure desde copias de seguridad: Si es posible, pase a restaurar los sistemas y datos a partir de copias de seguridad limpias. Esta es la forma más eficaz de recuperarse de un ataque de ransomware sin pagar.

Tendencias Actuales y Futuras del Ransomware

El ransomware evoluciona con rapidez, intensificando su peligrosidad y complejidad, como advierte la Europol en sus informes, donde se destaca el aumento de ataques de extorsión múltiple, donde los datos robados se usan para presionar a las víctimas.

Ya no se trata solo de cifrar datos. Los atacantes ahora emplean una estrategia de “extorsión múltiple”, en la que roban información confidencial y amenazan con publicar o lanzar ataques DDoS si no se cumplen sus demandas. Esta presión adicional dificulta que las organizaciones se recuperen sin ceder al chantaje.

La proliferación de ransomware como servicio (RaaS) democratiza el acceso a estas herramientas maliciosas, permitiendo que incluso ciberdelincuentes con poca experiencia lancen ataques sofisticados. Además, el uso de vulnerabilidades de día cero y técnicas avanzadas de phishing, como el spear phishing, les permite burlar las defensas y comprometer sistemas con mayor facilidad.

Para evadir la detección, los atacantes recurren a técnicas ‘Living off the Land’ (LotL), utilizando herramientas legítimas del sistema para sus fines maliciosos. Esto dificulta la labor de las soluciones de seguridad tradicionales, que no reconocen estas acciones como amenazas.

La migración a la nube también ha abierto nuevas oportunidades para los ciberdelincuentes. Los entornos cloud se están convirtiendo en objetivos cada vez más atractivos, lo que exige a las organizaciones fortalecer la seguridad de sus infraestructuras en la nube.

Mirando hacia el futuro, la Inteligencia Artificial (IA) podría impulsar una nueva generación de ransomware aún más sofisticado y automatizado. Los atacantes podrían utilizar la IA para personalizar los ataques de phishing, optimizar el proceso de extorsión y evadir las medidas de seguridad con mayor eficacia.

Afortunadamente, las agencias de aplicación de la ley a nivel internacional están intensificando la cooperación para combatir esta creciente amenaza. El intercambio de información y la colaboración son cruciales para desmantelar las operaciones de ransomware y llevar a los responsables ante la justicia.

Finalmente, sectores críticos como la salud y la educación son cada vez más blanco de ransomware, como indica la OMS (Organización Mundial de la Salud) en sus análisis, señalando que estos sectores, con información sensible y recursos limitados, enfrentan riesgos devastadores, con posibles pérdidas de vidas.

Preguntas frecuentes sobre ransomware

¿Cómo puede una empresa detectar una infección por ransomware a tiempo?

La detección temprana del ransomware es crucial para mitigar los daños. Las empresas pueden detectar infecciones mediante soluciones de gestión de eventos e información de seguridad (SIEM) para supervisar la actividad inusual, como intentos de acceso no autorizados o modificaciones sospechosas de archivos.

La detección y respuesta de puntos finales (EDR) también es vital para supervisar la actividad de los usuarios y detectar comportamientos maliciosos. Igual ocurre con las soluciones de análisis del tráfico de red que buscan patrones inusuales, como grandes transferencias de datos o comunicación con direcciones IP maliciosas conocidas.

Es fundamental además educar a los empleados para que reconozcan los signos de ransomware, como correos electrónicos sospechosos o comportamientos informáticos inusuales además de realizar evaluaciones periódicas de la seguridad.

¿Es recomendable pagar el rescate exigido por los atacantes?

Por lo general, no se recomienda pagar el rescate. Ya que no hay garantía de que los atacantes proporcionen la clave de descifrado, y además al pagar se fomentan nuevas actividades delictivas. Tenga en cuenta que en algunos países no está legalmente permitido pagar a estos criminales.

¿Qué políticas de respaldo de datos son efectivas contra el ransomware?

Las políticas eficaces de copia de seguridad de datos deben seguir la regla 3-2-1:

  • 3 copias de los datos: Conserve tres copias de sus datos para garantizar la redundancia.
  • 2 Formatos diferentes: Almacena las copias de seguridad en dos formatos diferentes (por ejemplo, disco duro local y almacenamiento en la nube).
  • 1 Copia externa: Almacena al menos una copia de tus datos fuera de las instalaciones o en un servicio seguro en la nube.

¿Cómo afecta el ransomware a la reputación de una empresa?

En múltiples formas que pueden comenzar con la pérdida de confianza de los clientes, en comentarios negativos virales en torno al ataque y con consecuencias legales según la normatividad de cada organización.

¿Qué regulaciones existen sobre la gestión de incidentes de ransomware en empresas?

Estas dependen del país donde opere cada organización. En Colombia la Ley 1273 de 2009 introduce y define una serie de delitos específicos relacionados con el uso de tecnologías de la información. Esto incluye acciones como el acceso abusivo a sistemas informáticos, la interceptación de datos informáticos, el daño informático, el uso de software malicioso, entre otros. Además establece las penas y sanciones correspondientes para quienes incurran en estos delitos.

Para ser exactos: el artículo 269A o de acceso abusivo a un sistema informático establece que “el que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes”.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

Jorge Hernández

Periodista de la Universidad de La Sabana, escritor y guionista con más de 20 años de experiencia en medios como El Tiempo, El Espectador, y la revista Esquire. Libretista de estudio para las cadenas RCN y ESPN. Además de ganador en convocatorias para el desarrollo de videojuegos (CREA Digital 2020) y series de televisión (Ibermedia 2023). Periodista de Impacto TIC, medio del grupo Dixigem 360.

Sígame en

Canales

Artículos relacionados

  • CIBERSEGURIDAD

    Ciberseguridad: Desafíos y soluciones para 2025  

    24 Feb 2025

    por Redacción Impacto TIC

    Compartir

  • industrias

    Almacenamiento Robotizado (ASRS): Eficiencia e innovación en la logística colombiana

    03 Dic 2024

    por Sandra Defelipe Díaz

    Compartir

  • ciudadanía digital

    "Lo virtual es real": La lucha contra la violencia digital en América Latina

    27 Feb 2025

    por Sandra Defelipe Díaz

    Compartir

  • TRANSPORTE

    Llega a Bogotá Yango Ride, una nueva apuesta por la movilidad urbana

    25 Feb 2025

    por Redacción Impacto TIC

    Compartir

Siguiente

Ciberseguridad: Desafíos y soluciones para 2025  

Artículo 1 de 5