Ir para o conteúdo
Menu Menu Menu

Logo NIC.br Logo CERT.br

Ransomware: cómo se produce

Autor: CERT.br
Versión: 1.0 — 5 de octubre de 2025

Traducción: Laureana Pavón
Apoyo de difusión: LACNIC CSIRT

Ver también

Ransomware: cómo protegernos

Ransomware: cómo detectarlo

Ransomware: cómo responder

Folleto para descargar

Resumen

Introducción

El ransomware surgió originalmente como un tipo de malware diseñado para bloquear el acceso a datos y sistemas hasta que la víctima pagara un rescate al atacante. Por lo general, cifraba datos o partes de los sistemas y exigía un pago a cambio de la clave de cifrado, sin importar qué sistemas hubieran sido infectados.

Más recientemente, el ransomware ha evolucionado hacia un tipo de ataque más sofisticado, realizado por grupos de varias personas que se dividen las tareas y coordinan las distintas fases del ataque.

Los atacantes irrumpen en redes corporativas, comprometen sistemas críticos, exfiltran información, destruyen copias de seguridad, cifran datos y realizan múltiples formas de extorsión. Exigen el pago de un rescate a cambio de las claves de cifrado y amenazan con publicar los datos si este no se paga. Además, pueden realizar otras formas de extorsión, como amenazar con lanzar ataques de denegación de servicio (DDoS) contra la empresa o chantajear a los clientes amenazando con hacer pública la información confidencial filtrada.

Con la aparición del modelo de negocio RaaS (Ransomware as a Service), se han vuelto más frecuentes los ataques y se han elevado los montos de extorsión. En este modelo, grupos especializados actúan de forma organizada asumiendo diferentes roles:

  • Operadores de Ransomware: crean y mantienen el código del ransomware y operan la infraestructura de Comando y Control (C2), exponen los datos filtrados, y se encargan de negociar y procesar los pagos. El nombre del ransomware suele coincidir con el nombre del operador que lo creó.
  • Afiliados: son responsables de comprometer a las víctimas y ejecutar los ataques. Reciben un porcentaje del rescate y suelen comprar información de acceso a los brokers de acceso inicial.
  • Brokers de acceso inicial (Initial Access Brokers o IAB): atacantes que se especializan en vulnerar redes y sistemas para vender la información de acceso, como credenciales comprometidas y exploits para vulnerabilidades.

Comprender cómo se producen los ataques de ransomware ayuda a definir medidas de protección, detección y respuesta ante estos incidentes. Identificar el ransomware específico utilizado en un ataque puede guiar las fases de la respuesta.

Aunque no todos los ataques de ransomware son exactamente iguales ya que dependen tanto del entorno de la víctima como del modus operandi del atacante, es posible destacar algunas fases comunes. La infografía "Ransomware: cómo se produce" ilustra las fases comunes de un ataque, las cuales se detallan a continuación.

Infografía Ransomware: cómo se produce
Infografía Ransomware: cómo se produce

1. Acceso inicial

El atacante busca invadir la red de la empresa utilizando diferentes vectores, como credenciales comprometidas, vulnerabilidades de software, técnicas de ingeniería social (cuando se engaña al usuario para que eluda alguna medida de seguridad) y malware. Los siguientes son algunos ejemplos frecuentes:

  • Credenciales de acceso remoto, como VPN y RDP, comprometidas por fugas de datos, ataques de fuerza bruta o malware, por ejemplo, infostealer.
  • Vulnerabilidades en sistemas expuestos a Internet, especialmente en dispositivos periféricos, como firewalls y VPN.
  • Phishing, por correo electrónico o mensaje de texto, que redirige a sitios web maliciosos para capturar credenciales o instalar malware.
  • Malware distribuido como un archivo adjunto en un correo electrónico o descargado de sitios web maliciosos, por ejemplo, a través de enlaces patrocinados.
  • Llamadas telefónicas, por ejemplo, cuando un atacante se hace pasar por personal de soporte técnico para instalar herramientas de escritorio remoto, o un supuesto empleado de la empresa solicita el restablecimiento de una contraseña.

El acceso inicial suele estar a cargo de un afiliado o de un IAB. En este último caso, el acceso puede haber ocurrido con anterioridad al ataque de ransomware, y la información puede haber sido vendida a múltiples afiliados.

Un mecanismo muy extendido para capturar credenciales de acceso, incluso tokens de sesión, son los infostealers. Entre los principales vectores de infección para este tipo de malware se encuentran las aplicaciones para generar claves de producto/activación (keygens) y los programas o aplicaciones no originales (software "craqueado").

2. Persistencia y C2

El atacante busca establecer un acceso persistente, es decir, un acceso que le permita regresar al entorno incluso si se elimina el acceso inicial. También busca establecer un mecanismo de comunicación entre el sistema comprometido y la infraestructura de C2. Las técnicas utilizadas incluyen:

  • Creación de nuevas cuentas o modificación de cuentas existentes.
  • Instalación de malware, como puertas traseras (backdoor).
  • Programación de procesos y scripts de inicio maliciosos.
  • Abuso de herramientas de acceso remoto legítimas, como RDP y SSH.

3. Escalamiento de privilegios

El atacante busca obtener permisos elevados que le permitan realizar tareas de administrador, acceder a datos confidenciales y moverse lateralmente dentro de la red. Las técnicas más utilizadas incluyen:

  • Explotación de vulnerabilidades.
  • Compromiso de cuentas privilegiadas, por ejemplo, mediante contraseñas comprometidas o dump de credenciales.
  • Modificación de cuentas, por ejemplo, mediante la adición de permisos o la inclusión en grupos.

4. Movimiento lateral

El atacante busca conocer el entorno y obtener acceso a sistemas y datos críticos. También propaga el ransomware (malware) por el entorno para realizar el cifrado durante la fase de impacto. Las técnicas utilizadas incluyen:

  • Escaneo de redes.
  • Credenciales comprometidas.
  • Vulnerabilidades de software.
  • Herramientas de acceso remoto, como RDP y SSH.

Con cada nuevo acceso obtenido, el atacante puede intentar escalar privilegios en otros sistemas y establecer nuevos puntos de persistencia y C2.

5. Impacto

El atacante busca generar el máximo impacto para presionar a la empresa a pagar el rescate, interrumpiendo las operaciones y provocando pérdidas financieras y daños a la reputación. Las técnicas más comunes incluyen:

  • Exfiltración de datos: exigir un pago a cambio de no publicar datos sensibles, por ejemplo, datos personales o propiedad intelectual. Estos datos también pueden venderse en la Dark Web o utilizarse para extorsionar a los clientes.
  • Cifrado de datos: con el objetivo de hacer que los sistemas y datos sean inaccesibles y exigir un pago a cambio de las claves de cifrado.
  • Destrucción de copias de seguridad: para impedir la recuperación del entorno sin necesidad de las claves de cifrado.