Activar suscripción >
Añadir dispositivos o actualizar >
Renovar suscripción >
Secure Hub >
¿No tienes una cuenta?
Regístrate >
< Products
¿Tiene una infección informática?
¿Le preocupa que sea una estafa?
Pruebe nuestro antivirus con una versión de prueba gratuita y completa de 14 días
Obtenga gratis su kit de herramientas de seguridad digital
Encuentre la ciberprotección adecuada para usted
< Business
< Pricing
Proteja sus dispositivos y datos personales
Proteja los dispositivos y datos de su equipo, sin necesidad de conocimientos informáticos
Explore la galardonada seguridad de puntos finales para su empresa
< Resources
< Support
Clientes de Malwarebytes y Teams
Clientes de Nebula y Oneview
El ransomware es una forma de malware que bloquea al usuario el acceso a sus archivos o dispositivo, luego demanda un pago para restaurar el acceso. Los atacantes de ransomware atacan a empresas, organizaciones e individuos por igual.
Antivirus gratuito
Conceptos básicos de ciberseguridad
Productos relacionados
View all Malwarebytes products
Artículos recientes
El ransomware acaparó titulares durante todo el 2021 y sigue siendo noticia en 2022. Puedes haber oído historias de ataques a grandes empresas, organizaciones o agencias gubernamentales, o quizás como individuo has experimentado un ataque de ransomware en tu propio dispositivo.
Es un problema significativo y una perspectiva aterradora tener todos tus archivos y datos como rehenes hasta que pagues. Si quieres saber más sobre esta amenaza, sigue leyendo para conocer las diferentes formas del ransomware, cómo te afecta, de dónde proviene, a quiénes dirige, y en última instancia, qué puedes hacer para protegerte contra él.
El malware de rescate, o ransomware, es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y exige el pago de un rescate para recuperar el acceso. Aunque algunas personas podrían pensar que “un virus bloqueó mi ordenador”, el ransomware se clasificaría normalmente como una forma de malware distinta de un virus.
Las primeras variantes de ransomware se desarrollaron a finales de la década de 1980, y el pago debía enviarse por correo postal. Hoy en día, los autores de ransomware ordenan que el pago se envíe mediante criptomoneda o tarjeta de crédito, y los atacantes atacan a particulares, empresas y organizaciones de todo tipo. Algunos autores de ransomware venden el servicio a otros ciberdelincuentes, lo que se conoce como Ransomware-as-a-Service o RaaS.
¿Cómo exactamente un actor de amenazas lleva a cabo un ataque de ransomware? Primero, deben obtener acceso a un dispositivo o red. Tener acceso les permite utilizar el malware necesario para cifrar o bloquear tu dispositivo y datos. Hay varias maneras diferentes en que el ransomware puede infectar tu computadora
Cualquiera que sea el método que el actor de amenazas utiliza, una vez que obtienen acceso y el software de ransomware (normalmente activado cuando la víctima hace clic en un enlace o abre un archivo adjunto) cifra tus archivos o datos para que no puedas acceder a ellos, luego verás un mensaje exigiendo un pago de rescate para restaurar lo que tomaron. A menudo el atacante demandará el pago vía criptomoneda.
Los tres tipos principales de ransomware son el scareware, los bloqueadores de pantalla y el ransomware de cifrado:
No queriéndose quedar fuera del juego del ransomware, los autores de malware para Mac lanzaron el primer ransomware para Mac OSes en 2016. Llamado KeRanger, el ransomware infectó una aplicación llamada Transmission que, al lanzarse, copiaba archivos maliciosos que permanecían ejecutándose silenciosamente en segundo plano durante tres días hasta detonarse y cifrar archivos. Afortunadamente, el programa antimalware integrado de Apple, XProtect, lanzó una actualización poco después de que se descubriera el ransomware que lo bloquearía de infectar sistemas de usuarios. Sin embargo, el ransomware para Mac ya no es teórico.
Después de KeRanger aparecieron Findzip y MacRansom, ambos descubiertos en 2017. Más recientemente, en 2020, surgió lo que parecía ransomware (ThiefQuest, también conocido como EvilQuest), pero resultó ser en realidad lo que se llama una “wiper”. Pretendía ser ransomware como una cobertura para el hecho de que estaba exfiltrando todos tus datos, y aunque cifró archivos, nunca tenía una forma para que los usuarios los desencriptaran o contactaran con la banda sobre pagos.
No fue hasta el auge del infame CryptoLocker y otras familias similares en 2014 que el ransomware se vio a gran escala en dispositivos móviles. El ransomware móvil generalmente muestra un mensaje que el dispositivo ha sido bloqueado debido a algún tipo de actividad ilegal. El mensaje indica que el teléfono se desbloqueará después de pagar una tarifa. El ransomware móvil a menudo se entrega a través de aplicaciones maliciosas y requiere que inicies el teléfono en modo seguro y elimines la aplicación infectada para recuperar el acceso a tu dispositivo móvil.
Cuando el ransomware se introdujo (y luego se reintrodujo), sus víctimas iniciales fueron sistemas individuales (también conocidos como personas comunes). Sin embargo, los ciberdelincuentes comenzaron a darse cuenta de su potencial completo cuando implementaron ransomware a empresas. El ransomware fue tan exitoso contra empresas, deteniendo la productividad y resultando en pérdida de datos e ingresos que sus autores dirigieron la mayoría de sus ataques hacia ellas.
Para finales de 2016, el 12.3 por ciento de las detecciones de empresas globales fueron ransomware, mientras que sólo el 1.8 por ciento de las detecciones de consumidores fueron ransomware a nivel mundial. Para 2017, el 35 por ciento de las pequeñas y medianas empresas habían experimentado un ataque de ransomware. Avanzando rápido hasta la pandemia global en 2020, y la amenaza persiste: Las pandillas de ransomware atacaron hospitales e instalaciones médicas, y desarrollaron nuevas tácticas como “doble extorsión”, en la que los atacantes pueden extorsionar más dinero con amenazas de filtrar datos sensibles que descifrar las computadoras que cifraron. Algunos grupos de ransomware ofrecen sus servicios a otros, utilizando un modelo Ransomware-as-a-Service o RaaS.
Informe de ransomware en pequeñas y medianas empresas.
Geográficamente, los ataques de ransomware siguen centrándose en los mercados occidentales, con el Reino Unido, EE.UU. y Canadá como los tres principales países objetivo, respectivamente. Al igual que otros actores de amenazas, los autores de ransomware siguen al dinero, por lo que buscan zonas con una amplia adopción de PC y una riqueza relativa. A medida que los mercados emergentes de Asia y América del Sur aceleran su crecimiento económico, es de esperar que el ransomware (y otras formas de malware) aumente también allí.
Dicen que una onza de prevención vale más que una libra de cura. Esto es ciertamente cierto cuando se trata de ransomware. Si un atacante cifra tu dispositivo y demanda un rescate, no hay garantía de que lo descifren, pagues o no.
Es por eso que es fundamental estar preparado antes de ser atacado por ransomware. Dos pasos clave a tomar son:
Si te encuentras con una infección de ransomware, la regla número uno es nunca pagar el rescate. (Este consejo es ahora avalado por el FBI.) Todo lo que hace es alentar a los ciberdelincuentes a lanzar ataques adicionales contra ti o alguien más.
Una opción potencial para eliminar el ransomware es que puedes ser capaz de recuperar algunos archivos cifrados utilizando desencriptadores gratuitos. Para ser claros: no todas las familias de ransomware tienen desencriptadores creados para ellas, en muchos casos porque el ransomware usa algoritmos de cifrado avanzados y sofisticados.
Y aunque haya un desencriptador, no siempre está claro si es para la versión correcta del malware. No querrás cifrar aún más tus archivos utilizando el script de desencriptado incorrecto. Por lo tanto, necesitarás prestar mucha atención al mensaje de rescate en sí, o tal vez pedir el consejo de un especialista en seguridad/IT antes de intentar cualquier cosa.
Otras maneras de lidiar con una infección de ransomware incluyen descargar un producto de seguridad conocido por su capacidad de remediación y ejecutar un escaneo para eliminar la amenaza. Tal vez no recuperes tus archivos, pero puedes estar seguro de que la infección será eliminada. Para ransomware que bloquea la pantalla, podría ser necesario un restablecimiento completo del sistema. Si eso no funciona, puedes intentar ejecutar un escaneo desde un CD o unidad USB de arranque.
Si quieres intentar frustrar una infección de ransomware que encripta mientras está en acción, necesitas estar particularmente atento. Si notas que tu sistema se ralentiza sin razón aparente, apágalo y desconéctalo de Internet. Si, al reiniciar, el malware sigue activo, no podrá enviar ni recibir instrucciones del servidor de comando y control. Eso significa que sin una clave o forma de obtener el pago, el malware podría permanecer inactivo. En ese punto, descarga e instala un producto de seguridad y ejecuta un escaneo completo.
Sin embargo, estas opciones para eliminar el ransomware no funcionarán en todos los casos. Como se ha indicado anteriormente, para los consumidores, sea proactivo en su defensa contra el ransomware instalando software de seguridad como Malwarebytes Premiumy haciendo copias de seguridad de todos sus datos importantes. Para las empresas, obtenga más información sobre las soluciones empresariales Malwarebytes , que incluyen detección, prevención y reversión de ransomware.
Los expertos en seguridad coinciden en que la mejor forma de protegerse del ransomware es evitar que se produzca en primer lugar.
Lee sobre las mejores formas de prevenir una infección de ransomware.
Si bien hay métodos para lidiar con una infección de ransomware, son soluciones imperfectas en el mejor de los casos y a menudo requieren mucha más habilidad técnica de lo que posee el usuario promedio de computadoras. Así que aquí te damos nuestra recomendación sobre lo que la gente debería hacer para evitar las consecuencias de los ataques de ransomware.
El primer paso en la prevención del ransomware es invertir en una ciberseguridad impresionante: un programa con protección en tiempo real diseñado para frustrar ataques avanzados de malware como el ransomware. También debes buscar funciones que protejan los programas vulnerables frente a las amenazas (tecnología antiexploit) y que impidan que el ransomware retenga los archivos como rehenes (componente antirransomware ). Los clientes que utilizaban la versión premium de Malwarebytes para Windows, por ejemplo, estaban protegidos frente a los principales ataques de ransomware de 2017.
A continuación, por mucho que te duela, tienes que crear copias de seguridad seguras de tus datos con regularidad. Nuestra recomendación es utilizar almacenamiento en la nube que incluya cifrado de alto nivel y autenticación de múltiples factores. Sin embargo, puedes comprar USBs o un disco duro externo donde guardar archivos nuevos o actualizados -sólo asegúrate de desconectar físicamente los dispositivos de tu ordenador después de hacer la copia de seguridad, de lo contrario también pueden infectarse con ransomware.
A continuación, asegúrese de que sus sistemas y software están actualizados. El brote de ransomware WannaCry se aprovechó de una vulnerabilidad en el software de Microsoft. Aunque la empresa había publicado un parche para la brecha de seguridad en marzo de 2017, mucha gente no instaló la actualización, lo que les dejó expuestos al ataque. Entendemos que es difícil estar al tanto de una lista cada vez mayor de actualizaciones de una lista cada vez mayor de software y aplicaciones utilizadas en su vida diaria. Por eso te recomendamos que cambies la configuración para activar las actualizaciones automáticas.
Finalmente, mantente informado. Una de las formas más comunes de infección de ransomware es a través de ingeniería social. Infórmate (y a tus empleados si eres dueño de un negocio) sobre cómo detectar correos maliciosos, sitios web sospechosos y otras estafas. Y sobre todo, usa el sentido común. Si algo parece sospechoso, probablemente lo sea.
GandCrab, SamSam, WannaCry, NotPetya… todos ellos son diferentes tipos de ransomware que están afectando gravemente a las empresas. De hecho, los ataques de ransomware a empresas aumentaron un 88% en la segunda mitad de 2018, a medida que los ciberdelincuentes se alejan de los ataques centrados en el consumidor. Los ciberdelincuentes reconocen que los grandes negocios se traducen en grandes ganancias, apuntando a hospitales, agencias gubernamentales e instituciones comerciales. En total, el coste medio de una filtración de datos, incluida la reparación, las sanciones y los pagos por ransomware, asciende a 3,86 millones de dólares.
La mayoría de los casos de ransomware en los últimos tiempos han sido identificados como GandCrab. Detectado por primera vez en enero de 2018, GandCrab ya ha pasado por varias versiones mientras los autores de la amenaza hacen que su ransomware sea más difícil de defender y fortalecen su cifrado. Se estima que GandCrab ya ha recaudado alrededor de 300 millones de dólares en rescates pagados, con rescates individuales que oscilan entre 600 y 700,000 dólares.
En otro ataque notable que ocurrió en marzo de 2018, el ransomware SamSam paralizó la ciudad de Atlanta al interrumpir varios servicios esenciales de la ciudad, incluidos la recaudación de ingresos y el sistema de mantenimiento de registros policiales. En total, el ataque de SamSam le costó a Atlanta 2.6 millones de dólares en remediación.
Considerando la oleada de ataques de ransomware y el tremendo costo asociado con ellos, ahora es un buen momento para informarse sobre cómo proteger tu negocio del ransomware. Hemos cubierto el tema en gran detalle previamente, pero aquí tienes un breve resumen sobre cómo proteger tu negocio del malware.
¿Qué haces si ya eres víctima de ransomware? Nadie quiere lidiar con el ransomware después de que ocurra.
El primer ransomware, conocido como PC Cyborg o SIDA, se creó a finales de la década de 1980. PC Cyborg encriptaba todos los archivos del directorio C: después de 90 reinicios y, a continuación, exigía al usuario que renovara su licencia enviando 189 dólares por correo a PC Cyborg Corp. El cifrado utilizado era bastante sencillo de revertir, por lo que suponía una pequeña amenaza para aquellos que tuvieran conocimientos informáticos.
Tras la aparición de algunas variantes en los 10 años siguientes, una verdadera amenaza de ransomware no llegaría a la escena hasta 2004, cuando GpCode utilizó un cifrado RSA débil para pedir un rescate por los archivos personales.
En 2007, WinLock anunció el auge de un nuevo tipo de ransomware que, en lugar de cifrar archivos, bloqueaba el escritorio de los usuarios. WinLock se apoderaba de la pantalla de la víctima y mostraba imágenes pornográficas. A continuación, exigía el pago a través de un SMS de pago para eliminarlas.
Con el desarrollo de la familia de ransomware Reveton en 2012 llegó una nueva forma de ransomware: el ransomware de las fuerzas de seguridad. A las víctimas se les bloqueaba el escritorio y se les mostraba una página de aspecto oficial que incluía credenciales de organismos policiales como el FBI y la Interpol. El ransomware afirmaba que el usuario había cometido un delito, como piratería informática, descarga de archivos ilegales o incluso pornografía infantil. La mayoría de las familias de ransomware de las fuerzas del orden exigían el pago de una multa de entre 100 y 3.000 dólares con una tarjeta de prepago como UKash o PaySafeCard.
Los usuarios medios no sabían qué pensar y creían que realmente estaban siendo investigados por las fuerzas del orden. Esta táctica de ingeniería social, que ahora se denomina “culpabilidad implícita”, hace que el usuario se cuestione su propia inocencia y, en lugar de ser denunciado por una actividad de la que no se siente orgulloso, pague el rescate para que todo desaparezca.
En 2013, CryptoLocker volvió a introducir en el mundo el ransomware de cifrado, solo que esta vez era mucho más peligroso. CryptoLocker utilizaba cifrado de grado militar y almacenaba la clave necesaria para desbloquear los archivos en un servidor remoto. Esto significaba que era prácticamente imposible que los usuarios recuperaran sus datos sin pagar el rescate.
Este tipo de ransomware encriptador sigue utilizándose hoy en día, ya que ha demostrado ser una herramienta increíblemente eficaz para que los ciberdelincuentes ganen dinero. Los brotes de ransomware a gran escala, como WannaCry en mayo de 2017 y Petya en junio de 2017, utilizaron ransomware de cifrado para atrapar a usuarios y empresas de todo el mundo.
A finales de 2018, Ryuk irrumpió en la escena del ransomware con una serie de ataques a publicaciones de noticias estadounidenses, así como a la Autoridad de Agua y Alcantarillado Onslow de Carolina del Norte. En un giro interesante, los sistemas objetivo se infectaron primero con Emotet o TrickBot, dos troyanos de robo de información que ahora se utilizan para entregar otras formas de malware como Ryuk, por ejemplo. El director de Malwarebytes Labs, Adam Kujawa, especula que Emotet y TrickBot se utilizan para encontrar objetivos de alto valor. Una vez que un sistema está infectado y marcado como un buen objetivo para el ransomware, Emotet/TrickBot reinfecta el sistema con Ryuk.
En 2019, los delincuentes detrás del ransomware Sodinokibi (una supuesta rama de GandCrab) han comenzado a utilizar proveedores de servicios gestionados (MSP) para propagar infecciones. En agosto de 2019, cientos de consultorios dentales de todo el país descubrieron que ya no podían acceder a los registros de sus pacientes. Los atacantes utilizaron un MSP comprometido, en este caso una empresa de software de registros médicos, para infectar directamente a más de 400 consultorios dentales que utilizan el software de mantenimiento de registros.
También en 2019, Malwarebytes descubrió la familia de ransomware Maze. Según el Informe sobre el Estado del Malware 2021 de Malwarebytes, “Maze iba más allá de mantener los datos como rehenes: incluía la amenaza adicional de hacer públicos los datos robados si no se pagaba el rescate.” Otra banda de ransomware que apareció por primera vez el mismo año es REvil, también conocida como “Sodin” o “Sodinokibi”. REvil, una sofisticada banda de ransomware, utiliza un modelo de ransomware como servicio (RaaS) para vender a otros que quieran utilizar su software para cometer ataques de ransomware.
En 2020, otra nueva familia de ransomware llamada Egregor entró en escena. Se cree que es una especie de sucesor de la familia Maze, ya que muchos de los ciberdelincuentes que trabajaban con Maze se pasaron a Egregor. Al igual que Maze, Egregor utiliza un ataque de “doble extorsión”, en el que cifra archivos y roba datos de la víctima que amenaza con publicar en Internet a menos que se pague el rescate.
Aunque los ataques de ransomware contra particulares han sido un problema durante varios años, los ataques de ransomware contra empresas, hospitales y sistemas de salud, escuelas y distritos escolares, gobiernos locales y otras organizaciones han sido noticia en 2021. Desde Colonial Pipeline hasta el gran envasador de carne JBS, pasando por Steamship Authority, el mayor servicio de ferry de Massachusetts, los atacantes de ransomware han demostrado que son capaces y están dispuestos a perturbar a grandes empresas que suministran bienes cotidianos como gasolina, alimentos y transporte.
A lo largo de 2021, hemos visto titular tras titular de grandes ataques de ransomware a grandes empresas y organizaciones (consulte la sección de noticias anterior para leer sobre muchos de ellos). A mediados de año, el gobierno de Estados Unidos declaró que el ransomware iba a ser investigado como terrorismo, y creó el sitio web StopRansomware.gov para reunir información sobre cómo detener y sobrevivir a los ataques de ransomware.
¿Qué nos deparará el resto de 2021 y 2022 en el panorama de las amenazas de ransomware? Aunque no lo sabemos, estaremos aquí para mantenerle informado. Vuelve a esta página para futuras actualizaciones y sigue el blog deMalwarebytes Labs para enterarte de las últimas noticias sobre ciberseguridad.
¿Qué es la detección y respuesta gestionadas (MDR)?
¿Qué es la Detección y Respuesta en el Punto Final (EDR)?
¿Qué es la seguridad de los puntos finales?
Un programa malicioso ataca 30 plugins de WordPress sin parchear
Malwarebytes : protección de ciberseguridad todo en uno siempre a tu lado.
SEGURIDAD INFORMÁTICA
SEGURIDAD MÓVIL
PROTECCIÓN DE PRIVACY
PROTECCIÓN DE LA IDENTIDAD
APRENDER SOBRE CIBERSEGURIDAD
ASOCIARSE CON MALWAREBYTES
DIRECCIÓN
One Albert Quay
2nd Floor
Cork T12 X8N6
Irlanda
2445 Augustine Drive
Suite 550
Santa Clara, CA
EE.UU., 95054
ACERCA DE MALWAREBYTES
POR QUÉ
AYUDA
¿Quiere estar informado de las últimas novedades en ciberseguridad? Suscríbase a nuestro boletín y descubra cómo proteger su ordenador de las amenazas.
© 2026 Todos los derechos reservados
