¿Qué es la doble extorsión?
La doble extorsión es la táctica de ransomware en la que el criminal roba los datos de la empresa antes de cifrarlos y pasa a hacer dos amenazas a la vez: mantener los archivos bloqueados y divulgar públicamente lo robado. Es la respuesta del crimen al backup, porque incluso quien logra restaurar sus propios archivos sigue bajo la amenaza de la filtración.
Cómo funciona la doble extorsión
La doble extorsión agrega un paso silencioso al ataque de ransomware, el robo de los datos antes del cifrado. El ataque suele seguir cuatro etapas.
Entrada y reconocimiento
El atacante entra por un correo de phishing, un acceso remoto expuesto o una credencial filtrada, y mapea dónde están los datos más valiosos.
Robo de los datos
Antes de bloquear nada, copia hacia afuera los archivos sensibles: contratos, datos de clientes, información financiera. Es la etapa que la doble extorsión agrega.
Cifrado
Solo entonces el ransomware cifra los archivos y, cuando los alcanza, los backups conectados, dejando los sistemas detenidos.
Doble exigencia
Aparecen dos exigencias: una por la clave que devuelve los archivos y otra por el silencio sobre los datos robados, con plazo y un sitio de filtración a la espera para presionar.
Fuente: Zscaler ThreatLabz y Cyber Encyclopedia de N-able.
Variaciones de la extorsión
- Doble extorsión Roba los datos y cifra los sistemas. A la empresa se le cobra dos veces: para volver a operar y para que el dato no se filtre.
- Triple extorsión Agrega una tercera presión, como un ataque de denegación de servicio o el contacto directo con clientes, socios y prensa de la víctima.
- Extorsión sin cifrado El criminal roba los datos y amenaza con divulgarlos sin siquiera cifrar. Es más rápida y furtiva, y viene creciendo.
Por qué la doble extorsión cambia el juego
La doble extorsión desarma la defensa más confiable contra el ransomware: el backup. Restaurar los archivos resuelve la parada de la operación, pero no impide la filtración de lo que ya fue robado. Y el robo se volvió el centro del ataque. Según Zscaler (ThreatLabz 2025), el volumen de datos exfiltrados creció 92,7% en un año, con 238,5 TB robados de apenas diez familias de ransomware, y los casos de extorsión pública en sitios de filtración subieron 70,1%. Algunos grupos ya ni cifran: roban y amenazan con divulgar, porque la presión de la filtración sola suele bastar. Para el negocio, el daño pasa a incluir la exposición de datos regulados, la pérdida de confianza de los clientes y el riesgo legal, todo lo que el backup, por sí solo, no cubre.
Cómo protegerse de la doble extorsión
Como el robo ocurre antes del cifrado, la defensa debe empezar mucho antes del rescate, en el orden que más reduce el riesgo:
- Impedir el robo antes de que ocurraLa defensa avanzada de endpoint y el monitoreo de la salida de datos detectan la exfiltración mientras sucede, cuando aún se puede contener.
- Backup aislado e inmutable, probadoResuelve la mitad del cifrado: la empresa vuelve a operar sin pagar por la clave, aunque la filtración siga como amenaza aparte.
- Una segunda verificación de identidadAdemás de la contraseña, en el acceso y el correo: bloquea la credencial filtrada que abre la puerta del ataque.
- Segmentación de la redLimita el movimiento lateral, para que un único dispositivo comprometido no dé acceso a todos los datos de una vez.
- Monitoreo de filtracionesVigilar la dark web y los sitios de filtración muestra rápido si los datos de la empresa fueron robados o publicados.
- Un plan de respuesta a incidentesQuién hace qué en las primeras horas, incluida la notificación legal y a quién pertenecen los datos, definido antes de necesitarlo.
En la práctica
El backup protege contra el cifrado, no contra la filtración. Por eso la defensa contra la doble extorsión empieza por impedir el robo de los datos, no solo por lograr restaurarlos.
Cómo trata Zamak la doble extorsión
Zamak Technologies trata la doble extorsión en las dos mitades del golpe: ayudar a impedir el robo, con la Ciberseguridad gestionada de endpoint, correo e identidad, y responder por el retorno de la operación, con la Continuidad apoyada en backup aislado y recuperación probada. Un buen punto de partida es el diagnóstico de preparación contra ransomware, que muestra en pocos minutos dónde está expuesta su empresa al robo y a la parada.