Ataques de Ransomware: Así es como se desarrollan para la víctima

La respuesta gestionada a incidentes es especialmente efectiva contra los ataques de ransomware. Con esta herramienta se pueden observar con precisión los procesos reales de un ciberataque. Desde la perspectiva de la víctima, el ransomware suele ser la punta del iceberg de los ataques, no la base.

Ninguna organización desea ser víctima de la cibercriminalidad. Pero si existen vulnerabilidades de seguridad, es probable que los atacantes las encuentren y las exploten. Y puede llevar meses o incluso más tiempo antes de que la víctima se dé cuenta de la situación.

Los llamados incident responders ayudan a las empresas a identificar, bloquear y mitigar los ataques y sus efectos. Este monitoreo por parte de especialistas también permite un análisis detallado de los patrones de ataque y, como resultado, una visión cercana de cómo la cibercriminalidad realmente afecta a las víctimas.

El verdadero enemigo es el ser humano, no la máquina

Los atacantes son cada vez más hábiles para disfrazarse y evitar levantar sospechas en los equipos de seguridad, permaneciendo así sin ser detectados. Por lo tanto, se necesitan diferentes niveles de seguridad que interrumpan la cadena de ataque en diferentes puntos. Mientras que la violación inicial se realiza de manera automatizada, los hackers utilizan posteriormente herramientas legítimas de TI, como escáneres de red, para sus fines ilegales, evitando así las tecnologías de seguridad y moviéndose lateralmente a través de la red.

El desafío para las víctimas radica en que los equipos de seguridad informática deben ser especialmente vigilantes al evaluar herramientas que son legítimas y, por lo tanto, populares y frecuentemente utilizadas por los atacantes. Además, los atacantes comprometen regularmente cuentas de administrador existentes para ocultarse a plena vista. Si se detienen en sus ataques, intentan algo diferente. Y aquí se revela uno de los aspectos más significativos y aún subestimados por las víctimas de la cibercriminalidad: no se lucha contra el código de malware, se lucha contra personas.

Las intenciones ladronas de los atacantes a menudo tienen que ver con la sensibilidad de los datos que potencialmente se pueden «capturar». Fuente: iStock / Ja_Inter

El ransomware es el final de un ciberataque

Según los incident responders, muchas víctimas creen que un ataque ocurre poco antes de que se haga visible, por ejemplo, a través del mensaje de ransomware. Sin embargo, esto es muy raro. De hecho, los atacantes suelen haber estado en la red durante un tiempo antes de este momento.

Actúan ocultos bajo el radar, escanean el sistema, instalan puertas traseras y roban información. Todas estas actividades son marcadores que deben ser verificados para facilitar una recuperación completa después del ataque.

La parte del ataque que más hace sonar las alarmas es el inicio del ransomware. En este punto, el atacante ha logrado todos los métodos mencionados anteriormente en la red de la víctima, por lo que puede salir de su escondite y estar presente. En otras palabras: la implementación de ransomware marca el final de un ataque, no su comienzo.

Víctimas y atacantes están bajo gran estrés

Para la víctima de un ataque de ransomware, esto significa estrés y sobrecarga. Fuente: iStock / PRImageFactory

Alrededor del noventa por ciento de los ataques que ven los incident responders involucran ransomware, y los efectos de estos ataques a menudo son devastadores.

Esto es especialmente cierto para las organizaciones críticas, como las instalaciones de salud, donde un ataque exitoso puede significar operaciones canceladas, imágenes de rayos X desaparecidas, resultados de pruebas de cáncer cifrados y más.

Algunas víctimas se sienten impotentes y consideran el pago de un rescate como la única opción para recuperar el acceso a las copias de seguridad de datos que han sido capturadas por los atacantes. Otras organizaciones deciden no pagar. Otras, en cambio, se preocupan más por el daño a su reputación que por el rescate para obtener códigos de descifrado.

El ransomware en sí varía desde profesional y sofisticado hasta de baja calidad y descuidado. Los análisis de ransomware han mostrado que los ataques no solo son estresantes y aterradores para las víctimas, sino que los criminales también están cada vez más bajo «estrés de éxito»: presionan a las empresas que se niegan a pagar cada vez más.

Desafío de recuperación: Encuentra la fuente

Los datos de los incident responders también indican que a muchas víctimas les resulta difícil rastrear el movimiento del ransomware a través de la organización. Existe la suposición general de que se expande automáticamente desde su punto de inicio en todas las direcciones de la red, mientras que en realidad se concentra estratégicamente en una lista preseleccionada de dispositivos y áreas de red. Además, los atacantes no solo apuntan a documentos y otros datos, sino que simplemente quieren hacer que los dispositivos y sistemas sean tan disfuncionales que solo tengan suficientes recursos para iniciar la notificación de ransomware.

Para las víctimas de un ataque, esto significa: la recuperación del sistema no comienza con la restauración de una copia de seguridad y la búsqueda de lo que los atacantes han hecho. El proceso de recuperación a menudo comienza con el desafío significativo de reconstruir todas las máquinas afectadas. Y con ello, la difícil tarea de identificación: ¿de dónde provino el ataque y es posible que los criminales aún estén en el sistema?

Defensa contra amenazas solo con humano y máquina

A menudo, la brecha de seguridad es el ser humano y sus hábitos. Fuente: iStock / dusanpetkovic

Las cámaras de vigilancia pueden grabar delitos, quizás disuadir a los delincuentes, pero no pueden detener el robo. Lo decisivo es la intervención de la fuerza de seguridad que observa en vivo las grabaciones y toma las medidas correspondientes.

Desde que los ciberdelincuentes se mueven cada vez más en modo sigiloso y han mejorado sus habilidades para utilizar herramientas y procesos legítimos, el valor del factor humano en la caza de amenazas está aumentando.

Este método combina algoritmos avanzados de software de seguridad moderno con la experiencia humana diaria, capaz de evaluar las sutilezas de un ataque: una habilidad que el software (todavía) no posee.

Datos clave

Daños por ransomware a nivel mundial: Más de 20 mil millones de euros anualmente – tendencia al alza.

Tiempo promedio de inactividad: Las empresas pierden un promedio de 22 días de productividad después de un ataque de ransomware.

Preguntas frecuentes

¿Qué debe hacer primero en caso de un ataque de ransomware?

Aislar inmediatamente los sistemas afectados de la red, activar el plan de contingencia informática y poner en marcha el equipo de respuesta a incidentes. En ningún caso pagar el rescate de inmediato: según Cybereason, el 77 por ciento de los pagadores fueron atacados nuevamente. En su lugar: presentar una denuncia y contratar una respuesta profesional a incidentes.

¿Protege un backup de forma fiable contra el ransomware?

Solo si las copias de seguridad se almacenan fuera de línea o en una red aislada. El ransomware moderno busca específicamente los sistemas de respaldo y los cifra. La regla 3-2-1 (3 copias, 2 soportes, 1 externa) es el estándar mínimo.

¿Debe pagar un rescate?

El BSI y el BKA recomiendan claramente no hacerlo. El pago financia estructuras criminales y no garantiza la descifrado. Según Cybereason, el 77 por ciento de quienes pagaron fueron atacados nuevamente. En su lugar: presentar una denuncia y contratar una respuesta profesional a incidentes.

Artículos relacionados

• Estos consejos le protegen de una brecha de seguridad en el smartphone durante las vacaciones
• Los CIOs están preocupados por la seguridad del software de su empresa
• El ransomware se utiliza cada vez más para ataques dirigidos

Más del red de MBF Media

• Estrategias de TI para directivos en digital-chiefs.de
• Más tendencias de seguridad informática en mybusinessfuture.com

Fuente de imagen: iStock / glegorly

Hecho: Según el Allianz Risk Barometer 2025, los ciberataques son el mayor riesgo empresarial a nivel mundial.

Hecho: El daño promedio de un ataque de ransomware en 2024 fue de 1,54 millones de dólares, según Coveware.

En resumen

• Las intenciones ladronas de los atacantes a menudo tienen que ver con la sensibilidad de los datos que potencialmente se pueden «capturar».
• Víctimas y atacantes están bajo gran estrés Para la víctima de un ataque de ransomware, esto significa estrés y sobrecarga.
• Defensa contra amenazas solo con humano y máquina A menudo, la brecha de seguridad es el ser humano y sus hábitos.
• Los llamados incident responders ayudan a las empresas a identificar, bloquear y mitigar los ataques y sus efectos.

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow