Ir al contenido
Amenazas y Ataques

¿Qué es el ransomware?

El ransomware es un tipo de programa malicioso (malware) que cifra los archivos de una empresa o bloquea el acceso a sus sistemas y exige el pago de un rescate para devolverlos. En la mayoría de los ataques actuales, los criminales también roban los datos antes de cifrarlos y amenazan con divulgarlos, una táctica conocida como doble extorsión.

Zamak TechnologiesActualizado el 9 de julio de 2026

Cómo funciona un ataque de ransomware

Un ataque de ransomware rara vez es instantáneo. Suele seguir cuatro etapas, de la entrada silenciosa al pedido de rescate.

1

Entrada e infección

El atacante entra por un correo de phishing, un acceso remoto expuesto (RDP) o una credencial filtrada, e instala el programa malicioso.

2

Movimiento y robo

Antes de cifrar, se mueve por la red, localiza los datos más valiosos y con frecuencia los copia hacia afuera, preparando la doble extorsión.

3

Cifrado

El ransomware cifra archivos, bases de datos y, cuando los alcanza, los propios backups, dejando los sistemas inutilizables.

4

Rescate y presión

Aparece la nota de rescate con plazo y amenazas (destruir la clave, filtrar los datos). Contadores y urgencia empujan al pago rápido.

Fuente: Cyber Encyclopedia de N-able.

Por dónde entra el ransomware

  • Correo de phishing con adjunto o enlace malicioso
  • Acceso remoto (RDP) expuesto o con contraseña débil
  • Credenciales filtradas, compradas en la dark web
  • Vulnerabilidades sin parche en sistemas expuestos
  • Movimiento lateral desde un único dispositivo comprometido

Tipos de ransomware

  • Crypto Cifra los archivos. Es el tipo más común hoy.
  • Locker Bloquea el acceso a todo el sistema, no solo a los archivos.
  • Ransomware como servicio (RaaS) Grupos alquilan la infraestructura de ataque a afiliados, lo que multiplica el número de ataques.

Cuánto le cuesta el ransomware a un negocio

$ 1,53 M
costo promedio de recuperación, sin el rescate (Sophos 2025)
44%
de las filtraciones de datos involucran ransomware (Verizon DBIR 2025)
88%
de las filtraciones en pequeñas y medianas empresas involucran ransomware (Verizon DBIR 2025)

El daño rara vez se limita al rescate. Según Sophos (State of Ransomware 2025, con 3.400 empresas en 17 países), el costo promedio de recuperación, sin contar el rescate, fue de $ 1,53 millones. El ransomware ya aparece en el 44% de todas las filtraciones de datos analizadas por Verizon (DBIR 2025). Y el dato que más sorprende: entre pequeñas y medianas empresas, el 88% de las filtraciones involucran ransomware, frente al 39% en las grandes. La cuenta real suma la parada de la operación, la pérdida de contratos, el daño a la reputación y el tiempo del equipo. El mismo estudio trae la contraparte: el 53% de las empresas volvieron a operar en menos de una semana, casi siempre las que tenían un backup aislado y un plan probado.

Cómo protegerse del ransomware

Ninguna medida aislada lo resuelve. La protección real es una combinación de capas, en el orden que más reduce el riesgo:

  1. Backup aislado e inmutable, probadoLa copia que el ataque no alcanza, con recuperación realmente probada, no solo “tener backup”.
  2. Defensa avanzada de endpointDetecta y contiene el comportamiento del ataque en tiempo real, no solo firmas ya conocidas.
  3. Una segunda verificación de identidadAdemás de la contraseña, en los accesos y el correo: bloquea la credencial filtrada.
  4. Parches al díaCierra las vulnerabilidades expuestas antes de que sean explotadas.
  5. Capacitación y simulación de phishingLa mayoría de los ataques empieza por una persona que no reconoció el engaño.
  6. Un plan de respuesta a incidentesQuién hace qué en las primeras horas, definido antes de necesitarlo.

En la práctica

Un backup que nunca se restauró es una suposición, no una garantía. Pruebe la recuperación periódicamente.

Cómo trata Zamak el ransomware

Zamak Technologies trata el ransomware en dos frentes: impedir el ataque, con defensa gestionada de endpoint, correo e identidad, y responder por el retorno cuando algo pasa, con backup aislado y recuperación probada. Un buen punto de partida es el diagnóstico de preparación contra ransomware, que muestra dónde está expuesta su empresa en pocos minutos.

Preguntas frecuentes sobre el ransomware

¿Una empresa pequeña es objetivo del ransomware?
Sí, y cada vez más. Según Verizon (DBIR 2025), el 88% de las filtraciones en pequeñas y medianas empresas involucran ransomware. Los grupos criminales ajustan el rescate al tamaño de la víctima.
¿Debo pagar el rescate?
Las autoridades lo desaconsejan. Pagar no garantiza la devolución de los datos, financia nuevos ataques y no impide la filtración en la doble extorsión. La defensa en capas y el backup probado son el camino seguro.
¿Tener backup es suficiente?
Solo si es aislado, fuera del alcance del ataque, y la recuperación está probada. El ransomware moderno busca y cifra los backups conectados a la red.
¿Cuál es la diferencia entre ransomware y otros virus?
El ransomware no intenta esconderse: bloquea o roba los datos y se anuncia para cobrar. Otros tipos de malware suelen actuar en silencio.
¿Qué es la doble extorsión?
Es cuando el criminal roba los datos antes de cifrarlos y amenaza con divulgarlos, aunque la empresa pueda restaurar desde el backup. La presión pasa a ser también por la confidencialidad.
¿Cuánto tarda la recuperación?
Depende de la preparación. En el estudio de Sophos (2025), el 53% de las empresas volvieron a operar en menos de una semana, casi siempre las que tenían un backup aislado y un plan de recuperación probado.

Términos relacionados

PhishingBackup inmutableEDRDoble extorsiónIngeniería social
Amenazas y Ataques
RansomwarePhishingBEC (fraude de correo)Ingeniería socialDoble extorsiónDark webDeep web
Endpoint e Identidad
MFA
Detección y Respuesta
EDRMDRXDRMITRE ATT&CK
Red y Acceso
ZTNA
Continuidad y Recuperación
BackupBackup inmutableRPO (punto de recuperación)RTO (tiempo de recuperación)DRaaS (recuperación ante desastres como servicio)
Gobernanza y Cumplimiento
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernética