¿Qué es el ransomware?
El ransomware es un tipo de programa malicioso (malware) que cifra los archivos de una empresa o bloquea el acceso a sus sistemas y exige el pago de un rescate para devolverlos. En la mayoría de los ataques actuales, los criminales también roban los datos antes de cifrarlos y amenazan con divulgarlos, una táctica conocida como doble extorsión.
Cómo funciona un ataque de ransomware
Un ataque de ransomware rara vez es instantáneo. Suele seguir cuatro etapas, de la entrada silenciosa al pedido de rescate.
Entrada e infección
El atacante entra por un correo de phishing, un acceso remoto expuesto (RDP) o una credencial filtrada, e instala el programa malicioso.
Movimiento y robo
Antes de cifrar, se mueve por la red, localiza los datos más valiosos y con frecuencia los copia hacia afuera, preparando la doble extorsión.
Cifrado
El ransomware cifra archivos, bases de datos y, cuando los alcanza, los propios backups, dejando los sistemas inutilizables.
Rescate y presión
Aparece la nota de rescate con plazo y amenazas (destruir la clave, filtrar los datos). Contadores y urgencia empujan al pago rápido.
Fuente: Cyber Encyclopedia de N-able.
Por dónde entra el ransomware
- Correo de phishing con adjunto o enlace malicioso
- Acceso remoto (RDP) expuesto o con contraseña débil
- Credenciales filtradas, compradas en la dark web
- Vulnerabilidades sin parche en sistemas expuestos
- Movimiento lateral desde un único dispositivo comprometido
Tipos de ransomware
- Crypto Cifra los archivos. Es el tipo más común hoy.
- Locker Bloquea el acceso a todo el sistema, no solo a los archivos.
- Ransomware como servicio (RaaS) Grupos alquilan la infraestructura de ataque a afiliados, lo que multiplica el número de ataques.
Cuánto le cuesta el ransomware a un negocio
El daño rara vez se limita al rescate. Según Sophos (State of Ransomware 2025, con 3.400 empresas en 17 países), el costo promedio de recuperación, sin contar el rescate, fue de $ 1,53 millones. El ransomware ya aparece en el 44% de todas las filtraciones de datos analizadas por Verizon (DBIR 2025). Y el dato que más sorprende: entre pequeñas y medianas empresas, el 88% de las filtraciones involucran ransomware, frente al 39% en las grandes. La cuenta real suma la parada de la operación, la pérdida de contratos, el daño a la reputación y el tiempo del equipo. El mismo estudio trae la contraparte: el 53% de las empresas volvieron a operar en menos de una semana, casi siempre las que tenían un backup aislado y un plan probado.
Cómo protegerse del ransomware
Ninguna medida aislada lo resuelve. La protección real es una combinación de capas, en el orden que más reduce el riesgo:
- Backup aislado e inmutable, probadoLa copia que el ataque no alcanza, con recuperación realmente probada, no solo “tener backup”.
- Defensa avanzada de endpointDetecta y contiene el comportamiento del ataque en tiempo real, no solo firmas ya conocidas.
- Una segunda verificación de identidadAdemás de la contraseña, en los accesos y el correo: bloquea la credencial filtrada.
- Parches al díaCierra las vulnerabilidades expuestas antes de que sean explotadas.
- Capacitación y simulación de phishingLa mayoría de los ataques empieza por una persona que no reconoció el engaño.
- Un plan de respuesta a incidentesQuién hace qué en las primeras horas, definido antes de necesitarlo.
En la práctica
Un backup que nunca se restauró es una suposición, no una garantía. Pruebe la recuperación periódicamente.
Cómo trata Zamak el ransomware
Zamak Technologies trata el ransomware en dos frentes: impedir el ataque, con defensa gestionada de endpoint, correo e identidad, y responder por el retorno cuando algo pasa, con backup aislado y recuperación probada. Un buen punto de partida es el diagnóstico de preparación contra ransomware, que muestra dónde está expuesta su empresa en pocos minutos.