Ir al contenido
Amenazas y Ataques

¿Qué es la doble extorsión?

La doble extorsión es la táctica de ransomware en la que el criminal roba los datos de la empresa antes de cifrarlos y pasa a hacer dos amenazas a la vez: mantener los archivos bloqueados y divulgar públicamente lo robado. Es la respuesta del crimen al backup, porque incluso quien logra restaurar sus propios archivos sigue bajo la amenaza de la filtración.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo funciona la doble extorsión

La doble extorsión agrega un paso silencioso al ataque de ransomware, el robo de los datos antes del cifrado. El ataque suele seguir cuatro etapas.

1

Entrada y reconocimiento

El atacante entra por un correo de phishing, un acceso remoto expuesto o una credencial filtrada, y mapea dónde están los datos más valiosos.

2

Robo de los datos

Antes de bloquear nada, copia hacia afuera los archivos sensibles: contratos, datos de clientes, información financiera. Es la etapa que la doble extorsión agrega.

3

Cifrado

Solo entonces el ransomware cifra los archivos y, cuando los alcanza, los backups conectados, dejando los sistemas detenidos.

4

Doble exigencia

Aparecen dos exigencias: una por la clave que devuelve los archivos y otra por el silencio sobre los datos robados, con plazo y un sitio de filtración a la espera para presionar.

Fuente: Zscaler ThreatLabz y Cyber Encyclopedia de N-able.

Variaciones de la extorsión

  • Doble extorsión Roba los datos y cifra los sistemas. A la empresa se le cobra dos veces: para volver a operar y para que el dato no se filtre.
  • Triple extorsión Agrega una tercera presión, como un ataque de denegación de servicio o el contacto directo con clientes, socios y prensa de la víctima.
  • Extorsión sin cifrado El criminal roba los datos y amenaza con divulgarlos sin siquiera cifrar. Es más rápida y furtiva, y viene creciendo.

Por qué la doble extorsión cambia el juego

+92,7%
de aumento en el volumen de datos robados en un año (Zscaler ThreatLabz 2025)
238,5 TB
de datos exfiltrados de apenas 10 familias de ransomware (Zscaler ThreatLabz 2025)
+70,1%
de aumento en los casos de extorsión pública en sitios de filtración (Zscaler ThreatLabz 2025)

La doble extorsión desarma la defensa más confiable contra el ransomware: el backup. Restaurar los archivos resuelve la parada de la operación, pero no impide la filtración de lo que ya fue robado. Y el robo se volvió el centro del ataque. Según Zscaler (ThreatLabz 2025), el volumen de datos exfiltrados creció 92,7% en un año, con 238,5 TB robados de apenas diez familias de ransomware, y los casos de extorsión pública en sitios de filtración subieron 70,1%. Algunos grupos ya ni cifran: roban y amenazan con divulgar, porque la presión de la filtración sola suele bastar. Para el negocio, el daño pasa a incluir la exposición de datos regulados, la pérdida de confianza de los clientes y el riesgo legal, todo lo que el backup, por sí solo, no cubre.

Cómo protegerse de la doble extorsión

Como el robo ocurre antes del cifrado, la defensa debe empezar mucho antes del rescate, en el orden que más reduce el riesgo:

  1. Impedir el robo antes de que ocurraLa defensa avanzada de endpoint y el monitoreo de la salida de datos detectan la exfiltración mientras sucede, cuando aún se puede contener.
  2. Backup aislado e inmutable, probadoResuelve la mitad del cifrado: la empresa vuelve a operar sin pagar por la clave, aunque la filtración siga como amenaza aparte.
  3. Una segunda verificación de identidadAdemás de la contraseña, en el acceso y el correo: bloquea la credencial filtrada que abre la puerta del ataque.
  4. Segmentación de la redLimita el movimiento lateral, para que un único dispositivo comprometido no dé acceso a todos los datos de una vez.
  5. Monitoreo de filtracionesVigilar la dark web y los sitios de filtración muestra rápido si los datos de la empresa fueron robados o publicados.
  6. Un plan de respuesta a incidentesQuién hace qué en las primeras horas, incluida la notificación legal y a quién pertenecen los datos, definido antes de necesitarlo.

En la práctica

El backup protege contra el cifrado, no contra la filtración. Por eso la defensa contra la doble extorsión empieza por impedir el robo de los datos, no solo por lograr restaurarlos.

Cómo trata Zamak la doble extorsión

Zamak Technologies trata la doble extorsión en las dos mitades del golpe: ayudar a impedir el robo, con la Ciberseguridad gestionada de endpoint, correo e identidad, y responder por el retorno de la operación, con la Continuidad apoyada en backup aislado y recuperación probada. Un buen punto de partida es el diagnóstico de preparación contra ransomware, que muestra en pocos minutos dónde está expuesta su empresa al robo y a la parada.

Preguntas frecuentes sobre la doble extorsión

¿Cuál es la diferencia entre ransomware y doble extorsión?
El ransomware clásico cifra los archivos y cobra por la clave. La doble extorsión agrega el robo de los datos antes del cifrado y una segunda amenaza: divulgar lo robado. Hoy el robo de datos es tan central que algunos grupos ya ni llegan a cifrar.
Si tengo backup, ¿estoy protegido de la doble extorsión?
El backup protege la mitad del problema. Devuelve los archivos sin pagar por la clave, pero no impide que los datos robados se filtren. Por eso la defensa completa también debe impedir el robo, no solo permitir la recuperación.
¿Qué es la triple extorsión?
Es la doble extorsión con una tercera capa de presión: un ataque de denegación de servicio que tumba los sistemas, o el contacto directo con clientes, socios y prensa de la víctima para forzar el pago.
¿Pagar el rescate garantiza que los datos no se filtren?
No. Pagar no da ninguna garantía de que las copias robadas se borren, y financia nuevos ataques. Hay víctimas que pagaron y tuvieron sus datos filtrados de todos modos.
¿Qué es la extorsión sin cifrado?
Es cuando el criminal solo roba los datos y amenaza con divulgarlos, sin cifrar nada. Es más rápida y difícil de notar, y viene creciendo porque la amenaza de la filtración, sola, ya presiona a la víctima a pagar.
¿Cómo sé si los datos de mi empresa ya fueron robados?
Señales como tráfico inusual de salida, alertas de la defensa de endpoint y la aparición de datos en sitios de filtración indican exfiltración. El monitoreo de filtraciones y de la dark web ayuda a descubrirlo antes de que el daño se propague.

Términos relacionados

Amenazas y Ataques
RansomwarePhishingBEC (fraude de correo)Ingeniería socialDoble extorsiónDark webMalwareDDoSVishingFiltración de datos
Endpoint e Identidad
MFAPAM (acceso privilegiado)SSO (inicio de sesión único)
Detección y Respuesta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operaciones)
Red y Acceso
ZTNAFirewallVPNSASE
Gobernanza y Cumplimiento
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestión de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidad)FedRAMPGRC (gobernanza, riesgo, cumplimiento)vCIOvCISO
Conceptos y Fundamentos
Deep webZero TrustDefensa en profundidadSuperficie de ataqueEndpointMenor privilegio
IA y Seguridad
Shadow AIGobernanza de IAInyección de promptsOWASP LLM Top 10Deepfake