BRIEFING DE SEGURIDAD · 10.07.2026 DEENFRES

Glosario de seguridad

¿Qué es el ransomware? Definición, proceso y protección

Por Benedikt Langer · 8 de julio de 2026 · 6 min de lectura

¿Qué es ransomware? Ransomware es malware que bloquea el acceso a datos y sistemas, normalmente mediante cifrado. Los atacantes exigen un rescate para liberar los datos. El BSI clasifica este tipo de ataque como una amenaza a la disponibilidad y como una forma de extorsión digital. Los ataques modernos suelen combinar el cifrado con el robo de datos y la amenaza de publicar la información.

Lo más importante en resumen

  • Mecánica: El cifrado deja los sistemas inoperativos; para obtener la clave, los atacantes exigen un rescate. Los datos robados se usan como segundo medio de presión.
  • Desarrollo: Los atacantes ingresan mediante phishing, vulnerabilidades o accesos remotos abiertos, se propagan en la red y cifran al final.
  • Protección: Copias de seguridad offline probadas, segmentación de red, MFA y parcheo continuo reducen el riesgo de forma más eficaz.

Cómo ocurre un ataque en la realidad

Un incidente de ransomware comienza mucho antes de la encriptación visible. Las vías de entrada más comunes son correos de phishing con archivos adjuntos maliciosos, vulnerabilidades explotables en sistemas accesibles desde fuera y accesos remotos poco seguros como RDP. El BSI ha ubicado estos tres vectores en primer lugar durante años.

Después del acceso, los atacantes aseguran un acceso permanente y amplían sus privilegios, a menudo mediante credenciales robadas y cuentas de administrador. Luego se desplazan lateralmente dentro de la red, típicamente a través de servicios como SMB o RDP. MITRE ATT&CK describe estas fases como Movimiento lateral.

950 visualizaciones

Ataques de ransomware en Alemania durante el período de informe 2024/2025

Fuente: Informe de situación BSI 2025

Antes de la encriptación, los atacantes suelen exfiltrar datos en la gran mayoría de los casos. Solo después comienza la encriptación real, catalogada en MITRE ATT&CK como técnica T1486. La demanda de rescate aparece al final de una operación que suele durar días o semanas. Exactamente en ese intervalo, una detección eficaz puede evitar el daño.

Doble extorsión como modelo de negocio

La doble extorsión significa: los atacantes exigen rescate por la descifración y además amenazan con la publicación de los datos robados. El BSI observa este doble palanca en la mayoría de los casos de ransomware. El pago no garantiza la seguridad de los datos ni evita que se produzca un filtrado.

Detrás de los ataques se basa una criminalidad especializada. En el modelo Ransomware-as-a-Service, los operadores proporcionan el software malicioso y la infraestructura; los socios ejecutan los ataques y ambos comparten los ingresos. Alrededor del 80 Prozent de los ataques anunciados en Alemania afectaron, según el informe de situación del BSI, a pequeñas y medianas empresas. Los atacantes buscan objetivos accesibles con defensas débiles, sin nombres prominentes.

Qué deben revisar ahora las empresas

La defensa más eficaz actúa antes del cifrado. Los backups determinan la capacidad de recuperación, por eso deben almacenarse separados de la red de producción y probarse regularmente para asegurar su restaurabilidad. La segmentación limita la propagación, la MFA protege los accesos, esos por los que los atacantes suelen entrar con más facilidad.

Revisar ahora

  • Backups según el 3-2-1-Prinzip, mantener una copia offline, probar la restauración
  • Segmentar la red, de modo que un cliente comprometido no ponga en riesgo toda la red
  • Imponer MFA a todos los accesos remotos y cuentas privilegiadas
  • Aplicar prioritariamente actualizaciones de seguridad en sistemas accesibles desde fuera
  • Documentar el plan de respuesta a incidentes, definir los canales de reporte y practicar el caso extremo

Diferenciación con conceptos relacionados

El ransomware persigue el chantaje: los atacantes ofrecen una clave a cambio de pago. En cambio, el wiper‑malware destruye los datos de forma irreversible, sin posibilidad de recuperación mediante rescate. La malware tradicional, como spyware o troyanos bancarios, persigue objetivos diferentes, desde el espionaje hasta el acceso a cuentas.

Un concepto extendido equivoca a los backups. Estos permiten restaurar la disponibilidad, pero la confidencialidad de los datos robados sigue vulnerada. Quien solo se apoya en backups negocia bajo presión incluso en casos de doble extorsión. Además, las copias mal aisladas suelen cifrarse regularmente.

Preguntas frecuentes

Cada pregunta está cerrada. Al tocarla se desbloquea la respuesta.

¿Hay que pagar el rescate?

El BSI recomienda abstenerse. El pago no garantiza ni la descifración ni la eliminación de los datos robados y financia ataques adicionales. Las víctimas deben presentar una denuncia.

¿Sirven los backups como protección?

Los backups son esenciales para la recuperación, pero no resuelven el problema de los datos robados. En caso de doble extorsión, la amenaza de publicación persiste. Además, los backups deben estar offline y probados, de lo contrario se cifran junto con los demás.

¿Cómo acceden los atacantes a la red?

Los métodos más comunes son correos de phishing, vulnerabilidades explotables en sistemas accesibles desde fuera y accesos remotos mal protegidos, como RDP.

¿Qué es la doble extorsión?

Los atacantes cifran sistemas y roban datos antes de eso. Además del rescate por la descifración, amenazan con publicar los datos. El BSI observa este patrón en la mayoría de los casos.

¿Qué obligaciones de notificación se aplican ante un incidente?

Las entidades reguladas por NIS2 notifican incidentes graves al BSI en tres fases: advertencia temprana en 24 Stunden, segunda comunicación en 72 Stunden, informe de cierre después de, como máximo, un mes. Si se ven afectados datos personales, también se aplica la notificación de la RGPD a la autoridad de protección de datos.

Selección de la redacción

RecomendadoSüdwestfalen-IT: la lección de la TI municipalRecomendadoCuando el HCI convierte el respaldo en una superficie de ataqueRecomendadoA partir de cuándo el plazo de notificación realmente comienza a correr

Más de la red MBF Media

cloudmagazinGemini-CLI CVSS 10 RCE: qué deben parchear ahora los arquitectos de la nube en CI/CDMyBusinessFutureMes de acción IA: Ciberseguridad para PYMES sin TIDigital ChiefsMandato tecnológico en el consejo de supervisión: NIS2, Ley de IA de la UE y brecha de competencias

Lectura adicional

Una revista de Evernine Media GmbH