- El ransomware ha evolucionado desde simples bloqueadores en disquetes hasta cifradores avanzados con doble y triple extorsión, afectando a todos los sectores.
- La combinación de criptomonedas, Ransomware-as-a-Service e intermediarios de acceso inicial ha industrializado el cibercrimen y disparado el número de ataques.
- WannaCry, NotPetya y el Big Game Hunting marcaron hitos al mezclar extorsión, sabotaje geopolítico y ataques muy dirigidos a grandes organizaciones.
- La defensa eficaz exige copias de seguridad inmutables, segmentación, soluciones de endpoint modernas, detección proactiva e inversión en formación y respuesta a incidentes.
El ransomware se ha convertido en el “negocio estrella” del cibercrimen: ha pasado de ser una curiosidad técnica en los años 80 a una maquinaria global de extorsión que mueve miles de millones y paraliza hospitales, fábricas, universidades y administraciones públicas. Lejos de ser una moda pasajera, es una amenaza que se reinventa con cada avance tecnológico, desde la popularización de Internet hasta la irrupción de la inteligencia artificial.
Para entender por qué cada año vemos más incidentes y rescates más altos, hay que seguir el recorrido histórico del ransomware: sus orígenes, sus mutaciones técnicas y su modelo de negocio. Solo conociendo cómo ha evolucionado —desde los disquetes del “troyano AIDS” hasta las plataformas de Ransomware-as-a-Service potenciadas por IA— es posible diseñar defensas realistas, tomar mejores decisiones cuando ocurre un incidente y, sobre todo, preparar a la organización para evitar ser el siguiente titular.
De los disquetes al cifrado asimétrico: los primeros pasos del ransomware
La historia documentada del ransomware arranca en 1989 con un caso tan peculiar como inquietante: el biólogo evolutivo Joseph L. Popp distribuyó 20.000 disquetes infectados entre asistentes a una conferencia internacional sobre el SIDA. Los disquetes, etiquetados como “Información sobre el SIDA – Disquetes introductorios”, incluían un supuesto cuestionario para evaluar el riesgo de contraer la enfermedad.
Tras un número determinado de reinicios del sistema, el malware —conocido como “Troyano del SIDA” o “PC Cyborg”— modificaba el arranque de MS-DOS y cifraba la información de la máquina, mostrando una nota de rescate que exigía el pago de 189 dólares a un apartado postal en Panamá. La policía consiguió rastrear el origen y detener a Popp, pero fue declarado incapaz de ser juzgado, y el incidente quedó como una rareza en la historia de los virus informáticos.
Durante los años 90 y principios de los 2000, la atención se centró más en gusanos masivos, ataques DDoS y virus “clásicos”, en parte porque el ransomware resultaba más fácil de rastrear a través de los pagos. Sin embargo, el avance de la criptografía y la aparición de los pagos digitales anónimos preparaban el terreno para su regreso.
Hacia 2005 apareció PGPCoder o Gpcode, uno de los primeros ransomware distribuidos masivamente a través de Internet. Se propagaba como adjunto de correo electrónico mediante técnicas de phishing de clonación haciéndose pasar por solicitudes de empleo y se centraba en documentos y archivos comprimidos (.doc, .xls, .rar, .zip, .jpg, entre otros). Sus primeras variantes usaban cifrados relativamente débiles, pero rápidamente evolucionaron hacia claves RSA de 660 y 1024 bits, mucho más difíciles de romper.
En 2006 surgió Archiveus (también conocido como Archievus), un troyano que popularizó el uso del cifrado asimétrico RSA en el ransomware. Cifraba todo el contenido de la carpeta “Mis documentos” del usuario y dejaba un archivo “how to get your files back.txt” explicando que, para recuperar los datos, la víctima debía realizar compras en una farmacia en línea a cambio de una contraseña de decenas de caracteres. Más tarde se descubrió que una única contraseña servía para todas las víctimas, lo que dio al traste con el negocio de esa variante concreta.
Bloqueadores y crecimiento con la adopción masiva de Internet
Con la expansión de Internet a principios de los 2000 —correo electrónico, redes sociales, foros, redes P2P— el ransomware encontró un canal de propagación perfecto para atacar a millones de usuarios. En esta etapa se popularizaron los llamados “bloqueadores”, que no cifraban los archivos, sino que impedían el uso normal del sistema.
WinLock, muy activo entre 2011 y 2014, bloqueaba el acceso al escritorio de Windows y mostraba en pantalla una imagen pornográfica acompañada de una petición de pago mediante SMS de tarificación especial. Técnicamente era más simple que los cifradores modernos, pero muy efectivo: el usuario veía su equipo inutilizado y, por vergüenza o miedo, pagaba rápidamente.
Poco después aparecieron variantes que se hacían pasar por cuerpos policiales. Reveton, detectado en torno a 2012, mostraba un mensaje supuestamente procedente del FBI u otras fuerzas de seguridad, acusando al usuario de delitos (piratería, distribución de pornografía, etc.) y exigiendo una “multa” de unos 200 dólares para desbloquear el equipo. La combinación de intimidación legal y bloqueo del sistema disparó la tasa de pago.
En paralelo, se consolidaba el uso de métodos de pago alternativos y semianónimos, como monederos electrónicos y servicios de SMS premium. Este modelo de extorsión resultaba muy rentable, hasta el punto de que las fuerzas de seguridad y los proveedores de pago empezaron a reaccionar.
La respuesta regulatoria y policial se centró en cortar la financiación y activar alertas de seguridad en Internet: endurecer el control sobre los pagos electrónicos, seguir el rastro del dinero y cerrar los canales utilizados para cobrar los rescates. Esta presión redujo la rentabilidad del modelo de los bloqueadores y forzó a muchos grupos a cambiar de táctica o desaparecer.
La revolución de los cifradores y el impacto de Bitcoin
El auténtico salto cualitativo llegó con la popularización de Bitcoin y otras criptomonedas. Al ofrecer un sistema de pago difícil de rastrear y sin control centralizado, se convirtió en el complemento perfecto para el ransomware. Los atacantes ya no tenían que depender de SMS premium ni de monederos electrónicos más regulados.
En vez de limitarse a bloquear el sistema operativo o el navegador, las nuevas familias comenzaron a cifrar los archivos personales y corporativos de forma robusta, de modo que la víctima no podía recuperarlos ni reinstalando el sistema. Para los actores maliciosos, esto abría la puerta a rescates mucho más elevados: cientos de dólares a usuarios particulares y decenas de miles a empresas.
Entre 2014 y 2016, los datos de Kaspersky muestran que los intentos de infección por ransomware se dispararon: de algo más de 130.000 a más de 700.000 en un solo año. Familias como TeslaCrypt, CTB-Locker, Scatter o Cryakl dominaron el panorama, acaparando cerca del 80 % de los ataques detectados en ese periodo, aunque algunas de ellas terminaron con herramientas de descifrado públicas.
La geografía de los ataques también se amplió. Países como India, Rusia, Kazajistán, Vietnam, Argelia, Brasil o Ucrania se vieron afectados sobre todo por variantes “más antiguas” o menos sofisticadas, mientras que en mercados como Italia y Alemania empezó a ser habitual enfrentarse a cifradores agresivos, donde “ransomware” se convirtió prácticamente en sinónimo de “todo tu disco cifrado”.
Al mismo tiempo, los delincuentes cambiaron de foco: pasaron de atacar casi exclusivamente a usuarios domésticos a centrarse también en empresas. La proporción de organizaciones afectadas creció rápidamente, ya que el impacto operativo de perder servidores, bases de datos y sistemas críticos convertía a las compañías en objetivos mucho más lucrativos.
CryptoLocker, Petya y la profesionalización del modelo
El año 2013 marcó un antes y un después con CryptoLocker. Este malware introdujo de forma masiva el uso de servidores de mando y control (C&C) para gestionar el ataque: una vez infectada la máquina, se comunicaba con una infraestructura remota controlada por los atacantes, que generaban claves únicas, negociaban plazos y podían incluso prolongar la presión sobre la víctima.
Gracias a este enfoque más “empresarial” —campañas amplias, negociación, plazos, soporte “al cliente” para pagar— CryptoLocker recaudó decenas de millones de dólares en pocos meses. Fue también uno de los primeros en exigir sistemáticamente el pago en Bitcoin, sentando la base del modelo actual.
En 2014 y 2015, el ransomware amplió sus objetivos técnicos: dispositivos Android y sistemas Linux comenzaron a ser atacados mediante familias como SimpleLocker, Sypeng o Encoder, que se distribuían a menudo disfrazados de actualizaciones de software legítimo (por ejemplo, falsas actualizaciones de Flash). El mensaje era claro: ya no se trataba solo de PCs con Windows.
En 2016 apareció Petya, que dio una vuelta de tuerca al enfoque clásico de cifrar solo archivos. En lugar de eso, atacaba la tabla maestra de archivos (MFT) del disco, inutilizando por completo el sistema. El equipo quedaba bloqueado con una temida calavera roja en pantalla y la única opción aparente era pagar. Su distribución mediante campañas de phishing dirigidas a empresas demostró que los atacantes habían perfeccionado el uso del correo electrónico como vector.
El impacto mediático de estas campañas —con capturas de pantalla, empresas paradas y testimonios públicos— sirvió involuntariamente como campaña de marketing para el ransomware, despertando el interés de nuevos grupos criminales que vieron en este tipo de ataque una fuente de ingresos muy superior a otros fraudes online tradicionales.
WannaCry, NotPetya y el ransomware como arma geopolítica
Entre 2017 y 2018, el uso de vulnerabilidades de día cero robadas a agencias gubernamentales llevó el ransomware a una nueva escala. La filtración de herramientas como EternalBlue y EternalRomance —atribuida a la NSA— permitió a los atacantes combinar cifrado con capacidades de gusano, propagándose de una máquina a otra sin intervención humana.
WannaCry, en 2017, es probablemente el caso más conocido: en pocas horas infectó cientos de miles de equipos en más de 150 países, afectando a empresas, hospitales, organismos públicos y todo tipo de organizaciones. Se aprovechaba de EternalBlue para moverse lateralmente en redes Windows sin parchear, mostrando un mensaje de rescate con un temporizador y amenazando con eliminar los datos.
Paradójicamente, la propia agresividad de WannaCry jugó en contra de sus creadores: el ataque se expandió tan rápido que perdieron el control sobre su propia campaña, y la detección de un “kill switch” en el código ayudó a detener la propagación. Aun así, el daño económico fue enorme y muchas empresas respondieron invirtiendo en copias de seguridad y planes de recuperación de desastres.
Los grupos criminales no tardaron en adaptarse. Si las organizaciones se protegían mejor con backups, el siguiente paso era atacar también los repositorios de copia de seguridad y los sistemas de almacenamiento redundante, de forma que la única alternativa viable para muchas víctimas fuera negociar el rescate.
NotPetya, también en 2017 y con origen en el conflicto entre Rusia y Ucrania, reutilizó parte de las mismas vulnerabilidades, pero con un propósito diferente. Aunque se presentaba como un ransomware, en la práctica funcionaba como un “wiper” diseñado para destruir datos a gran escala. Su objetivo real no parecía ser recaudar dinero, sino causar el máximo daño en infraestructuras críticas ucranianas y empresas relacionadas, afectando incluso a cadenas de suministro internacionales.
Este tipo de incidentes demostró que el ransomware ya no era solo una herramienta de extorsión económica, sino también un arma de guerra digital. Gobiernos y grandes compañías empezaron a tomarse mucho más en serio la necesidad de parches rápidos, segmentación de red y planes de continuidad de negocio.
Big Game Hunting y la era de la doble y triple extorsión
A partir de 2019 se consolidó una estrategia distinta: en lugar de lanzar campañas masivas y ruidosas, muchos grupos optaron por ataques selectivos contra grandes organizaciones. Esta táctica se conoce como “Big Game Hunting”: el valor de cada víctima es tan alto que compensa el esfuerzo adicional de reconocimiento y penetración.
Los atacantes analizan a fondo su objetivo, identifican sistemas críticos, estudian la facturación, buscan pólizas de ciberseguro e incluso negocian con conocimiento de las capacidades económicas de la empresa. Durante este periodo, las demandas medias de rescate se triplicaron, pasando de cifras de cinco a seis o siete dígitos en dólares.
Al mismo tiempo surgió el modelo de doble extorsión. Ya no basta con cifrar los datos: antes de hacerlo, los delincuentes los exfiltran. Si la víctima decide restaurar desde copias de seguridad y no pagar, el grupo amenaza con publicar información sensible (código fuente, datos de clientes, historiales médicos, etc.) en foros de la dark web o filtrarla a medios de comunicación.
Algunos grupos llegaron a presionar directamente a clientes, pacientes o socios de las empresas afectadas, anunciándoles que sus datos estaban comprometidos y que podrían divulgarse si la organización no pagaba. Un caso especialmente sonado fue el de una clínica de psicoterapia en Finlandia, donde se llegó a extorsionar a pacientes uno por uno.
Familias como Maze, Egregor o Sodinokibi/REvil perfeccionaron este modelo, combinando cifrado, robo de datos y campañas de comunicación agresivas. Las páginas de “shaming” en la dark web, donde se listan víctimas que se niegan a pagar, se convirtieron en un elemento central de la estrategia de presión.
Ransomware-as-a-Service y la industrialización del delito
En torno a 2020-2021, el ransomware dio otro salto: la aparición de plataformas de Ransomware-as-a-Service (RaaS) que funcionan casi como startups criminales. Los desarrolladores del malware proporcionan la infraestructura, el panel de control y las herramientas de cifrado; los afiliados se encargan de comprometer a las víctimas y desplegar el ataque.
A cambio, los operadores de la plataforma se quedan con un porcentaje del rescate —en ocasiones cercano al 10 %, dejando el 90 % al afiliado—, lo que reduce drásticamente la barrera de entrada para ciberdelincuentes con menos conocimientos técnicos. Casos como la franquicia Conti mostraron hasta qué punto podía profesionalizarse el modelo, con “empleados junior”, sueldos fijos, bonus y manuales internos filtrados.
En paralelo, ganaron protagonismo los Intermediarios de Acceso Inicial (IAB), grupos especializados en obtener credenciales, explotar vulnerabilidades o mantener puertas traseras en redes corporativas para luego revender ese acceso a operadores de ransomware y otros actores maliciosos. De este modo, la fase de intrusión se “subcontrata” a especialistas.
Los estudios de inteligencia de amenazas apuntan a que, solo en la segunda mitad de 2021, hubo más de un millar de accesos corporativos en venta destinados específicamente a operaciones de ransomware. Atacar el negocio de estos intermediarios se ha convertido en un objetivo clave para frenar la cadena de valor del ransomware.
Todo este ecosistema ha llevado a que el ransomware funcione hoy como una industria criminal perfectamente estructurada, con roles diferenciados (desarrolladores, afiliados, negociadores, lavadores de dinero, IAB…), servicios de soporte y un ciclo de innovación continua del malware.
Ransomware en cifras: impacto global y por sectores
Las estadísticas recientes muestran la magnitud del problema. En la primera mitad de 2022 se registraron más de 236 millones de ataques de ransomware a nivel mundial, según Statista. Otro informe apuntaba a que cerca del 71 % de las empresas sufrieron al menos un incidente de ransomware en ese mismo año, y que casi dos tercios de las víctimas terminaron pagando.
Al analizar por sectores, destacan como objetivos recurrentes las pequeñas y medianas empresas, sanidad, educación, administraciones públicas, servicios industriales y banca. En sanidad, por ejemplo, el impacto no es solo económico: se han documentado retrasos en cirugías, desvíos de ambulancias e incluso muertes relacionadas indirectamente con la indisponibilidad de sistemas críticos.
Estudios conjuntos de fabricantes de seguridad y firmas de análisis, como VDC Research y Kaspersky, han estimado pérdidas potenciales en decenas de miles de millones de dólares solo en sectores como el manufacturero. Regiones como Asia-Pacífico concentran una parte muy significativa de ese riesgo debido a su rápida transformación digital.
El uso de criptomonedas sigue siendo la norma. Durante años, más del 95 % de los pagos de algunos grandes grupos pasaban por plataformas de intercambio poco reguladas, muchas de ellas en jurisdicciones con menor cooperación internacional, lo que complica la persecución policial.
Todo ello convierte al ransomware en una de las amenazas económicas más graves para las empresas en la actualidad, con un coste medio de brecha que ronda varios millones de dólares cuando se suman rescate, paradas de producción, pérdidas de reputación y sanciones regulatorias.
Del cifrado a la extorsión múltiple y los ataques sin cifrado
Más allá del mero cifrado, el ransomware actual se ha transformado en un mecanismo de extorsión flexible. La doble extorsión (cifrar + robar datos) se ha consolidado, y muchos grupos han dado el salto a la triple extorsión, añadiendo ataques DDoS o presión directa sobre clientes y socios.
En los últimos años también se ha observado un aumento de ataques sin cifrado, en los que el grupo prescinde de bloquear los sistemas y se centra únicamente en robar información sensible. Al mostrar a la víctima una pequeña muestra de los datos robados, buscan demostrar que tienen el resto y acelerar el pago, reduciendo el tiempo de permanencia dentro de la red y el riesgo de ser detectados.
En este contexto, la relación entre atacante y víctima se ha vuelto más “negocial”. Ya no es tan común el mensaje estático con un temporizador; ahora es habitual que haya canales de comunicación interactivos (chats en la dark web, correos cifrados) donde se discuten plazos, descuentos, pruebas de descifrado parcial, etc.
Los grupos tienen en cuenta si la empresa dispone de buenas copias de seguridad, si opera en un sector regulado, si está sujeta a GDPR u otras normativas de protección de datos, y adaptan las amenazas a la exposición legal y reputacional concreta de cada víctima. Esta sofisticación hace que la respuesta a incidentes requiera abogados, especialistas en cumplimiento, negociadores y expertos técnicos coordinados.
En paralelo, el propio uso del ransomware como tapadera para operaciones puramente destructivas —como en el caso de NotPetya— añade una capa extra de incertidumbre: no siempre está claro si el objetivo real es recaudar dinero o dañar la infraestructura, lo que complica la toma de decisiones durante un incidente.
IA, IoT y el futuro inmediato del ransomware
En los últimos años se ha empezado a ver el impacto de la inteligencia artificial y los modelos de lenguaje en manos de los atacantes. Grupos emergentes han utilizado IA para generar código, mejorar el phishing con mensajes casi indistinguibles de los legítimos o automatizar parte del reconocimiento previo al ataque.
También se observa un desplazamiento hacia vectores menos tradicionales, como dispositivos IoT, cámaras IP, electrodomésticos conectados y otros sistemas que a menudo están mal parcheados y carecen de soluciones de seguridad robustas. Estos equipos pueden servir tanto como puntos de entrada como de palanca de extorsión (por ejemplo, amenazando con divulgar vídeos o datos captados por estos dispositivos).
A corto plazo es probable que veamos plataformas de Ransomware-as-a-Service impulsadas por IA capaces de automatizar gran parte de la cadena de ataque: desde el escaneo masivo de objetivos, la explotación de vulnerabilidades y el movimiento lateral, hasta la redacción de notas de rescate personalizadas e incluso el uso de deepfakes para presionar a directivos.
Esta automatización podría disparar el número de víctimas, especialmente entre proveedores de servicios gestionados y cadenas de suministro complejas, donde un solo incidente se propaga a cientos o miles de clientes. Las operaciones de bajo coste y alto volumen se combinarán con ataques muy dirigidos a “presas grandes”, manteniendo diversificado el negocio criminal.
Frente a este panorama, las organizaciones necesitan reforzar no solo sus medidas tradicionales (parches, copias de seguridad, antivirus), sino también capacidades avanzadas de detección y respuesta, análisis de comportamiento, segmentación de red y controles específicos sobre el acceso remoto y los entornos en la nube.
Del antivirus clásico a la defensa en profundidad contra ransomware
Los antivirus tradicionales, basados principalmente en firmas, se quedan cortos frente a ransomware que cambia constantemente de forma y técnicas. Hoy es imprescindible combinar varias capas de protección que cubran desde el endpoint hasta la red y la nube.
Una buena estrategia pasa por integrar soluciones modernas de seguridad de endpoints (EPP/EDR/XDR) con capacidades de prevención de explotación, bloqueo de comportamiento sospechoso, aislamiento de procesos y respuesta automatizada. Estas herramientas permiten cortar movimientos laterales, detener la comunicación con servidores C&C y contener la amenaza en sus primeras fases.
Igual de crucial es disponer de copias de seguridad regulares, desconectadas e inmutables, almacenadas en sistemas que no estén permanentemente accesibles desde la red corporativa. De lo contrario, el ransomware puede cifrar también los backups y dejar a la organización sin plan B.
La microsegmentación de red, el endurecimiento de accesos privilegiados, la autenticación multifactor robusta y la actualización constante del software reducen significativamente la superficie de ataque. A ello se suma la formación continua de empleados para reconocer correos de phishing, enlaces sospechosos y comportamientos anómalos.
Por último, contar con un plan de respuesta a incidentes probado —que incluya roles claros, procedimientos de aislamiento, comunicación interna y externa, relación con las fuerzas de seguridad y análisis forense— y apoyarse en una plantilla resiliente para CISO marca la diferencia entre un susto controlado y una crisis prolongada.
Tras más de tres décadas de evolución, el ransomware ha pasado de un experimento distribuido en disquetes a convertirse en una industria criminal global altamente profesionalizada, apoyada en criptomonedas, servicios RaaS e inteligencia artificial. Aunque las tácticas, técnicas y objetivos han ido cambiando —bloqueadores, cifradores, doble extorsión, wipers disfrazados, ataques sin cifrado—, la esencia sigue siendo la misma: extorsión pura y dura. Las organizaciones que asumen que el ransomware ha llegado para quedarse y refuerzan su postura de seguridad con copias de seguridad robustas, defensa en profundidad, visibilidad sobre su red y formación constante, tendrán muchas más posibilidades de capear el temporal que quienes sigan confiando únicamente en soluciones básicas o desactualizadas.
