Ransomware

El ransomware es una forma de malware que bloquea al usuario el acceso a sus archivos o dispositivo, luego demanda un pago para restaurar el acceso. Los atacantes de ransomware atacan a empresas, organizaciones e individuos por igual.

Antivirus gratuito

Puntos clave

  • El ransomware es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales hasta que se abone el rescate. De ahí su nombre, «ransomware».
  • En 2023, los pagos por ransomware superaron los 1000 millones de dólares anuales por primera vez, mientras que el pago medio por rescate ascendió a 620 000 dólares.
  • En 2024, Threatdown un aumento del 63 % en los ataques de ransomware en Estados Unidos y Threatdown un incremento del 67 % en los ataques de ransomware en el Reino Unido. 
  • En 2026, los atacantes han mejorado la rapidez y el sigilo de sus ataques gracias a nuevas tácticas. 
  • Existen diferentes tipos de ransomware, como el scareware, los programas que bloquean la pantalla, el ransomware de cifrado y otros.
  • Los ataques de ransomware afectan a las empresas, pero los particulares también son víctimas de ellos.

¿Qué es el ransomware?

Definición del ransomware

El malware de rescate, o ransomware, es un tipo de malware que impide a los usuarios acceder a su sistema o archivos personales y demanda un pago de rescate para recuperar el acceso. Aunque algunas personas podrían pensar "un virus bloqueó mi computadora", el ransomware se clasificaría normalmente como una forma de malware diferente a un virus.

Las primeras variantes de ransomware se desarrollaron a finales de la década de 1980, y el pago se enviaba por correo postal. Hoy, los autores del ransomware ordenan que el pago se envíe vía criptomoneda o tarjeta de crédito, y los atacantes se dirigen a individuos, empresas y organizaciones de todo tipo. Algunos autores del ransomware venden el servicio a otros ciberdelincuentes, lo que se conoce como Ransomware-as-a-Service o RaaS.

Ataques de ransomware

¿Cómo exactamente un actor de amenazas lleva a cabo un ataque de ransomware? Primero, deben obtener acceso a un dispositivo o red. Tener acceso les permite utilizar el malware necesario para cifrar o bloquear tu dispositivo y datos. Hay varias maneras diferentes en que el ransomware puede infectar tu computadora

¿Cómo obtengo ransomware?

  • Malspam: Para obtener acceso, algunos actores de amenazas utilizan spam, donde envían un correo electrónico con un archivo adjunto malicioso a tantas personas como sea posible, viendo quién abre el archivo adjunto y “cae en la trampa”, por así decirlo. El spam malicioso, o malspam, es un correo electrónico no solicitado que se utiliza para entregar malware. El correo puede incluir archivos adjuntos trucados, como PDFs o documentos de Word. También puede contener enlaces a sitios web maliciosos.
  • Malvertising: Otro método popular de infección es malvertising. Malvertising, o publicidad maliciosa, es el uso de publicidad en línea para distribuir malware con poca a ninguna interacción del usuario requerida. Mientras navegan por la web, incluso en sitios legítimos, los usuarios pueden ser dirigidos a servidores delictivos sin siquiera hacer clic en un anuncio. Estos servidores catalogan detalles sobre los equipos de las víctimas y sus ubicaciones, y luego seleccionan el malware más adecuado para entregar. A menudo, ese malware es ransomware. Malvertising suele usar un iframe infectado, o elemento de página web invisible, para realizar su trabajo. El iframe redirige a una página de destino de exploit, y el código malicioso ataca al sistema desde la página de destino a través de un kit de exploits. Todo esto sucede sin el conocimiento del usuario, por lo que a menudo se le denomina descarga sin consentimiento.
  • Spear phishing: Un medio más dirigido para un ataque de ransomware es a través de spear phishing. Un ejemplo de spear phishing sería enviar correos electrónicos a empleados de una determinada empresa, afirmando que el CEO está solicitando que completes una importante encuesta para empleados, o que el departamento de recursos humanos requiere que descargues y leas una nueva política. El término “whaling” se utiliza para describir tales métodos dirigidos a altos ejecutivos de una organización, como el CEO u otros directivos.
  • Ingeniería social: Malspam, malvertising y spear phishing pueden, y a menudo lo hacen, contener elementos de ingeniería social. Los actores de amenazas pueden usar ingeniería social para engañar a las personas a abrir archivos adjuntos o hacer clic en enlaces pareciendo legítimos: ya sea simulando ser de una institución de confianza o un amigo. Los ciberdelincuentes utilizan la ingeniería social en otros tipos de ataques de ransomware, como hacerse pasar por el FBI para asustar a los usuarios a pagarles una suma de dinero para desbloquear sus archivos. Otro ejemplo de ingeniería social sería si un actor de amenazas recopila información de tus perfiles públicos en redes sociales sobre tus intereses, lugares que visitas con frecuencia, tu trabajo, etc., y utiliza parte de esa información para enviarte un mensaje que te resulte familiar, esperando que hagas clic antes de darte cuenta de que no es legítimo. 
Infografía sobre malvertising y ransomware.

Cifrado de archivos y demanda de un rescate

Cualquiera que sea el método que el actor de amenazas utiliza, una vez que obtienen acceso y el software de ransomware (normalmente activado cuando la víctima hace clic en un enlace o abre un archivo adjunto) cifra tus archivos o datos para que no puedas acceder a ellos, luego verás un mensaje exigiendo un pago de rescate para restaurar lo que tomaron. A menudo el atacante demandará el pago vía criptomoneda.

Tipos de ransomware

Tres tipos principales de ransomware incluyen scareware, bloqueadores de pantalla y ransomware encriptador:

  • Scareware: Resulta que el scareware no da tanto miedo. Incluye software de seguridad falso y estafas de soporte técnico. Puede que recibas un mensaje emergente diciendo que se ha descubierto malware y que la única forma de deshacerse de él es pagar. Si no haces nada, es probable que te sigan bombardeando con ventanas emergentes, pero tus archivos estarán básicamente a salvo. Un programa de software de ciberseguridad legítimo no solicitaría clientes de esta manera. Si aún no tienes el software de esta empresa en tu ordenador, entonces no te estarían vigilando en busca de una infección de ransomware. Si dispone de software de seguridad, no tendrá que pagar para que eliminen la infección: ya ha pagado para que el software haga ese mismo trabajo.
  • Bloqueadores de pantalla: Sube la alerta de terror a naranja para estos tipos. Cuando el ransomware de bloqueo de pantalla ingresa a tu computadora, significa que estás completamente bloqueado de tu PC. Al iniciar tu computadora, aparecerá una ventana de tamaño completo, a menudo acompañada de un sello oficial del FBI o del Departamento de Justicia de los EE.UU. diciendo que se ha detectado actividad ilegal en tu computadora y que debes pagar una multa. Sin embargo, el FBI no te bloquearía de tu computadora ni demandaría pago por actividad ilegal. Si sospecharan de piratería, pornografía infantil u otros ciberdelitos, seguirían los canales legales apropiados.
  • Ransomware encriptador: Esto es lo verdaderamente desagradable. Estos son los tipos que capturan tus archivos y los cifran, exigiendo pago para desencriptarlos y devolverlos. La razón por la cual este tipo de ransomware es tan peligroso es porque una vez que los ciberdelincuentes se apoderan de tus archivos, ningún software de seguridad o restauración del sistema puede devolvértelos. A menos que pagues el rescate, en su mayoría, están perdidos. E incluso si pagas, no hay garantía de que los ciberdelincuentes te los devuelvan.

Ransomware para Mac

Descubre KeRanger, el primer ransomware verdadero para Mac.

No queriéndose quedar fuera del juego del ransomware, los autores de malware para Mac lanzaron el primer ransomware para Mac OSes en 2016. Llamado KeRanger, el ransomware infectó una aplicación llamada Transmission que, al lanzarse, copiaba archivos maliciosos que permanecían ejecutándose silenciosamente en segundo plano durante tres días hasta detonarse y cifrar archivos. Afortunadamente, el programa antimalware integrado de Apple, XProtect, lanzó una actualización poco después de que se descubriera el ransomware que lo bloquearía de infectar sistemas de usuarios. Sin embargo, el ransomware para Mac ya no es teórico. 

Después de KeRanger aparecieron Findzip y MacRansom, ambos descubiertos en 2017. Más recientemente, en 2020, surgió lo que parecía ransomware (ThiefQuest, también conocido como EvilQuest), pero resultó ser en realidad lo que se llama una “wiper”. Pretendía ser ransomware como una cobertura para el hecho de que estaba exfiltrando todos tus datos, y aunque cifró archivos, nunca tenía una forma para que los usuarios los desencriptaran o contactaran con la banda sobre pagos. 

ransomware para móviles

No fue hasta el auge del infame CryptoLocker y otras familias similares en 2014 que el ransomware se vio a gran escala en dispositivos móviles. El ransomware móvil generalmente muestra un mensaje que el dispositivo ha sido bloqueado debido a algún tipo de actividad ilegal. El mensaje indica que el teléfono se desbloqueará después de pagar una tarifa. El ransomware móvil a menudo se entrega a través de aplicaciones maliciosas y requiere que inicies el teléfono en modo seguro y elimines la aplicación infectada para recuperar el acceso a tu dispositivo móvil.

¿Cómo puedo eliminar el ransomware?

Dicen que una onza de prevención vale más que una libra de cura. Esto es ciertamente cierto cuando se trata de ransomware. Si un atacante cifra tu dispositivo y demanda un rescate, no hay garantía de que lo descifren, pagues o no.

Es por eso que es fundamental estar preparado antes de ser atacado por ransomware. Dos pasos clave a tomar son:

  • Instala software de seguridad antes de ser atacado por ransomware
  • Haz una copia de seguridad de tus datos importantes (archivos, documentos, fotos, videos, etc.)

Si te encuentras con una infección de ransomware, la regla número uno es nunca pagar el rescate. (Este consejo es ahora avalado por el FBI.) Todo lo que hace es alentar a los ciberdelincuentes a lanzar ataques adicionales contra ti o alguien más. 

Una opción potencial para eliminar el ransomware es que puedes ser capaz de recuperar algunos archivos cifrados utilizando desencriptadores gratuitos. Para ser claros: no todas las familias de ransomware tienen desencriptadores creados para ellas, en muchos casos porque el ransomware usa algoritmos de cifrado avanzados y sofisticados.

Y aunque haya un desencriptador, no siempre está claro si es para la versión correcta del malware. No querrás cifrar aún más tus archivos utilizando el script de desencriptado incorrecto. Por lo tanto, necesitarás prestar mucha atención al mensaje de rescate en sí, o tal vez pedir el consejo de un especialista en seguridad/IT antes de intentar cualquier cosa.

Otras maneras de lidiar con una infección de ransomware incluyen descargar un producto de seguridad conocido por su capacidad de remediación y ejecutar un escaneo para eliminar la amenaza. Tal vez no recuperes tus archivos, pero puedes estar seguro de que la infección será eliminada. Para ransomware que bloquea la pantalla, podría ser necesario un restablecimiento completo del sistema. Si eso no funciona, puedes intentar ejecutar un escaneo desde un CD o unidad USB de arranque.

Si quieres intentar frustrar una infección de ransomware que encripta mientras está en acción, necesitas estar particularmente atento. Si notas que tu sistema se ralentiza sin razón aparente, apágalo y desconéctalo de Internet. Si, al reiniciar, el malware sigue activo, no podrá enviar ni recibir instrucciones del servidor de comando y control. Eso significa que sin una clave o forma de obtener el pago, el malware podría permanecer inactivo. En ese punto, descarga e instala un producto de seguridad y ejecuta un escaneo completo.

Sin embargo, estas opciones para eliminar el ransomware no funcionarán en todos los casos. Como se ha indicado anteriormente, para los consumidores, sea proactivo en su defensa contra el ransomware instalando software de seguridad como Malwarebytes Premiumy haciendo copias de seguridad de todos sus datos importantes. Para las empresas, obtenga más información sobre las soluciones empresariales Malwarebytes , que incluyen detección, prevención y reversión de ransomware. 

¿Cómo me protejo del ransomware?

Los expertos en seguridad coinciden en que la mejor forma de protegerse del ransomware es evitar que se produzca en primer lugar.


Lee sobre las mejores formas de prevenir una infección de ransomware.

Lee sobre las mejores formas de prevenir una infección de ransomware.

Si bien hay métodos para lidiar con una infección de ransomware, son soluciones imperfectas en el mejor de los casos y a menudo requieren mucha más habilidad técnica de lo que posee el usuario promedio de computadoras. Así que aquí te damos nuestra recomendación sobre lo que la gente debería hacer para evitar las consecuencias de los ataques de ransomware.

El primer paso en la prevención del ransomware es invertir en una ciberseguridad impresionante: un programa con protección en tiempo real diseñado para frustrar ataques avanzados de malware como el ransomware. También debes buscar funciones que protejan los programas vulnerables frente a las amenazas (tecnología antiexploit) y que impidan que el ransomware retenga los archivos como rehenes (componente antirransomware ). Los clientes que utilizaban la versión premium de Malwarebytes para Windows, por ejemplo, estaban protegidos frente a los principales ataques de ransomware de 2017.

A continuación, por mucho que le duela, debe crear copias de seguridad de sus datos de forma regular. Nuestra recomendación es utilizar un almacenamiento en la nube que incluya cifrado de alto nivel y autenticación multifactorial. Sin embargo, puede comprar memorias USB o un disco duro externo donde guardar los archivos nuevos o actualizados, pero asegúrese de desconectar físicamente los dispositivos de su ordenador después de realizar la copia de seguridad, ya que, de lo contrario, también pueden infectarse con ransomware.

Después, asegúrate de que tus sistemas y software estén actualizados. El brote de ransomware WannaCry se aprovechó de una vulnerabilidad en el software de Microsoft. Aunque la compañía había lanzado un parche para la falla de seguridad en marzo de 2017, muchas personas no instalaron la actualización, lo que las dejó expuestas al ataque. Entendemos que es difícil estar al tanto de una lista de actualizaciones en constante crecimiento de una lista de software y aplicaciones que usas diariamente. Por eso recomendamos cambiar tus configuraciones para habilitar la actualización automática.

Finalmente, mantente informado. Una de las formas más comunes de infección de ransomware es a través de ingeniería social. Infórmate (y a tus empleados si eres dueño de un negocio) sobre cómo detectar correos maliciosos, sitios web sospechosos y otras estafas. Y sobre todo, usa el sentido común. Si algo parece sospechoso, probablemente lo sea.

¿Quiénes son hackers?

¿Qué es el scareware?

¿Qué es un programa espía?