Should I pay the ransomware ransom?

Law enforcement agencies universally advise against paying. Only 65% of victims who pay actually get their data back, and paying encourages more attacks. Focus on prevention and backups instead.

Can ransomware spread through email?

Yes, email is the most common delivery method. Ransomware is typically hidden in attachments (Word docs with macros, PDFs, ZIP files) or delivered via links to malicious websites.

Can antivirus software stop ransomware?

Modern antivirus can detect known ransomware variants, but new strains are created daily. Anti-ransomware features that detect suspicious file encryption behavior provide better protection than signature-based detection alone.

← Volver al Blog

¿Qué es el ransomware y cómo funciona?

Ciberseguridad17 de marzo de 2026·8 min de lectura

Imagínese encender su computadora y ver un mensaje: "Todos sus archivos han sido cifrados. Pague $5,000 en Bitcoin dentro de 72 horas o sus datos se eliminarán permanentemente". Esto es ransomware, y es una de las amenazas cibernéticas más devastadoras de nuestro tiempo.

En 2025, los ataques de ransomware causaron más de $30 mil millones en daños en todo el mundo. Los hospitales se vieron obligados a rechazar pacientes. Las escuelas perdieron años de récords. Las pequeñas empresas cerraron permanentemente. Nadie es inmune.

Cómo funciona el ransomware: paso a paso

Etapa 1: Infección

El ransomware ingresa a su sistema a través de uno de estos vectores:

Correos electrónicos de phishing: un correo electrónico convincente con un archivo adjunto o enlace malicioso (más común, ~70% de los casos)
Vulnerabilidades explotadas: software sin parches con agujeros de seguridad conocidos
Protocolo de escritorio remoto (RDP): contraseñas débiles de fuerza bruta en servidores RDP expuestos
Sitios web comprometidos: descargas no autorizadas desde sitios legítimos infectados
Unidades USB: dispositivos USB infectados dejados en lugares públicos

Etapa 2: Ejecución y Persistencia

Una vez dentro, el ransomware:

Desactiva antivirus y herramientas de seguridad
Establece persistencia (sobrevive a los reinicios)
Se propaga a otros dispositivos en la red
Identifica y elimina copias de seguridad (Copias instantáneas en Windows)
Se comunica con el servidor de comando del atacante para recibir claves de cifrado

Etapa 3: Cifrado

El ransomware cifra sus archivos mediante cifrado de grado militar (normalmente AES-256). Se dirige a documentos, fotografías, bases de datos y copias de seguridad. La clave de cifrado se almacena únicamente en el servidor del atacante.

El ransomware moderno cifra archivos selectivamente: omite los archivos del sistema para que su computadora aún arranque y pueda ver la nota de rescate.

Etapa 4: Demanda de rescate

Aparece una nota exigiendo el pago en criptomonedas (normalmente Bitcoin o Monero). Las demandas van desde 500 dólares para individuos hasta millones para organizaciones. Un temporizador de cuenta regresiva crea urgencia.

Doble y Triple Extorsión

Las bandas de ransomware modernas no solo cifran: también roban tus datos primero. Si se niega a pagar por el descifrado, lo amenazan con publicar sus archivos confidenciales en línea. Esto es "doble extorsión".

La "triple extorsión" agrega un ataque DDoS contra su organización mientras intenta recuperarse y se comunica con sus clientes o socios para presionarlo a pagar.

5 Los mayores ataques de ransomware de la historia

WannaCry (2017): infectó más de 200.000 computadoras en 150 países en horas, paralizando el sistema de salud NHS del Reino Unido
NotPetya (2017) — causó daños por valor de 10 mil millones de dólares, dirigidos principalmente a Ucrania pero que se extendieron a nivel mundial
Colonial Pipeline (2021): cerró el oleoducto de combustible más grande de EE. UU., lo que provocó escasez de gas en la costa este
Kaseya (2021): ataque a la cadena de suministro que afecta a más de 1500 empresas a través de un único proveedor de software
MOVEit (2023): explotó una herramienta de transferencia de archivos utilizada por gobiernos y corporaciones, que afecta a más de 60 millones de personas

Cómo protegerse

Para Individuos

Realice copias de seguridad periódicamente: Siga la regla 3-2-1: 3 copias, 2 medios diferentes, 1 fuera del sitio. Mantenga al menos una copia de seguridad desconectada.
Actualizar todo: Habilite las actualizaciones automáticas para su sistema operativo, navegador y todas las aplicaciones.
Utilice contraseñas seguras: Genere contraseñas únicas con un generador de contraseñas para cada cuenta.
Habilitar 2FA: Incluso si su contraseña está comprometida, autenticación de dos factores evita el acceso no autorizado.
Tenga cuidado con los correos electrónicos: Nunca abra archivos adjuntos inesperados. Verificar remitentes a través de un canal diferente.

Para Organizaciones

Segmente su red: Limite el movimiento lateral para que el ransomware no pueda propagarse a todos los sistemas.
Deshabilitar RDP: Si se necesita acceso remoto, use una VPN con MFA.
Capacitar a los empleados: Simulaciones periódicas de phishing y capacitación en concientización sobre seguridad.
Implementar EDR: Las herramientas de detección y respuesta de endpoints pueden detectar el comportamiento del ransomware antes de que se complete el cifrado.
Pruebe sus copias de seguridad: Verifique periódicamente que las copias de seguridad realmente se puedan restaurar.

Qué hacer si estás infectado

Desconectar inmediatamente: desconecte el dispositivo infectado de la red para evitar la propagación
No pague: solo el 65% de las víctimas que pagan recuperan sus datos
Reportarlo: comuníquese con las autoridades (FBI IC3 en EE. UU., Action Fraud en el Reino Unido)
Check No More Ransom: el proyecto en nomoreransom.org tiene herramientas de descifrado gratuitas para muchas variantes de ransomware
Restaurar desde copias de seguridad: borra el sistema infectado y restaura copias de seguridad limpias

Preguntas frecuentes

¿Debo pagar el rescate del ransomware?

Los organismos encargados de hacer cumplir la ley desaconsejan universalmente el pago. Sólo el 65% de las víctimas que pagan recuperan sus datos, y pagar fomenta más ataques. En su lugar, céntrese en la prevención y las copias de seguridad.

¿Se puede propagar el ransomware a través del correo electrónico?

Sí, el correo electrónico es el método de entrega más común. El ransomware normalmente se oculta en archivos adjuntos (documentos de Word con macros, PDF, archivos ZIP) o se entrega a través de enlaces a sitios web maliciosos.

¿Puede el software antivirus detener el ransomware?

Los antivirus modernos pueden detectar variantes conocidas de ransomware, pero diariamente se crean nuevas cepas. Las funciones anti-ransomware que detectan comportamientos de cifrado de archivos sospechosos brindan una mejor protección que la detección basada únicamente en firmas.

¿Puede el ransomware infectar mi teléfono?

Sí, el ransomware móvil existe, aunque es menos común. Por lo general, bloquea la pantalla en lugar de cifrar archivos. Cíñete a las tiendas de aplicaciones oficiales y mantén tu teléfono actualizado.

Herramientas relacionadas

Generador de contraseñas — evita puntos de entrada de fuerza bruta
Anatomía de un ataque de phishing: reconoce el método de entrega de ransomware número uno