Introducción
El 14 de mayo de 2017, los sistemas del Servicio Nacional de Salud del Reino Unido colapsaron en cuestión de horas. Hospitales cancelaron cirugías, médicos perdieron acceso a historiales clínicos y pacientes fueron derivados a otros centros de emergencia. El culpable no fue un ejército de hackers trabajando durante semanas: fue un programa malicioso que se propagó solo, en minutos, aprovechando una vulnerabilidad que tenía parche disponible desde hacía dos meses.
Ese ataque, conocido como WannaCry, infectó más de 230.000 sistemas en 150 países en un solo día y se convirtió en el recordatorio más brutal de lo que el ransomware puede hacer cuando encuentra las condiciones adecuadas.
Casi una década después, el ransomware no desapareció. Evolucionó. Se profesionalizó. Y Latinoamérica, históricamente subestimada como objetivo, se convirtió en una de las regiones con mayor crecimiento de ataques en el mundo.
Este artículo explica qué es el ransomware, cómo funciona, qué está pasando en la región y, sobre todo, qué puede hacer una empresa para protegerse de forma concreta y efectiva.
Qué es el ransomware
El ransomware es un tipo de software malicioso que cifra los archivos de un sistema o de una red completa, dejándolos inaccesibles para sus dueños. Una vez completado el cifrado, los atacantes exigen un rescate económico a cambio de la clave que permite recuperar los datos.
El nombre lo dice todo: ransom en inglés significa rescate. Es, en esencia, un secuestro digital.
Lo que hace al ransomware especialmente devastador no es solo el cifrado de archivos. Es la combinación de factores que lo acompaña. Los sistemas quedan inutilizables de forma inmediata, lo que paraliza la operación del negocio. La recuperación sin pagar el rescate puede tardar días o semanas, durante los cuales la empresa no puede operar con normalidad. Y en los ataques más sofisticados, los datos son también exfiltrados antes de ser cifrados, lo que añade una segunda amenaza: si no se paga, la información confidencial se publica en la internet oscura.
Cómo funciona un ataque de ransomware
Entender el mecanismo de un ataque ayuda a entender por qué las defensas tradicionales no siempre son suficientes.
Un ataque de ransomware moderno típicamente sigue una secuencia que los especialistas llaman kill chain, la cadena de eventos que va desde el primer punto de entrada hasta el cifrado final.
El punto de entrada es casi siempre uno de tres vectores: un correo de phishing con un archivo adjunto malicioso o un link que lleva a una página que instala el malware, una vulnerabilidad en software desactualizado que permite al atacante entrar al sistema sin interacción del usuario, o credenciales robadas o filtradas que permiten acceder a sistemas de acceso remoto como RDP o VPN.
El período de latencia es quizás el aspecto más inquietante del ransomware moderno. Una vez dentro del sistema, el malware no actúa de inmediato. Puede pasar días, semanas o incluso meses antes de que el cifrado se active. Durante ese tiempo, el atacante explora la red silenciosamente, mapea los sistemas, identifica los datos más valiosos, elimina los backups que puede alcanzar y se asegura de tener el mayor alcance posible antes de revelar su presencia.
El cifrado ocurre cuando el atacante decide que está listo. En los ataques más sofisticados, se ejecuta simultáneamente en cientos o miles de dispositivos de la organización, maximizando el impacto y reduciendo la posibilidad de contención.
La extorsión llega en forma de una nota que aparece en las pantallas de los sistemas afectados, con instrucciones para el pago y un plazo límite. En los grupos de ransomware más organizados, existe incluso un servicio de atención al cliente para negociar el rescate.
El panorama en Latinoamérica: una región en la mira
Durante años, Latinoamérica fue considerada un objetivo secundario para los grupos de ransomware. Eso cambió de forma significativa en los últimos años.
Según datos del informe de amenazas de Kaspersky para 2024, Latinoamérica registró más de 1.1 millones de intentos de ataque de ransomware en un año, lo que equivale a aproximadamente 3.000 intentos por día. Brasil, México, Colombia, Perú y Argentina concentran la mayor parte de los incidentes, pero ningún país de la región está exento.
Los casos de alto perfil se acumulan. En 2022, el gobierno de Costa Rica sufrió un ataque del grupo Conti que paralizó múltiples ministerios y obligó al país a declarar emergencia nacional. En Chile, el Poder Judicial fue víctima de un ataque en 2022 que comprometió más de 360 gigabytes de información. En Argentina, el PAMI, el mayor organismo de salud para jubilados del país, sufrió en 2023 un ataque que expuso datos de millones de afiliados. En Colombia, la empresa Keralty, que opera la red de salud Sanitas, fue atacada en 2022 afectando la atención de miles de pacientes.
¿Por qué Latinoamérica se convirtió en un objetivo creciente? Las razones son varias y se potencian entre sí. La digitalización acelerada de los últimos años amplió enormemente la superficie de ataque sin que la inversión en ciberseguridad creciera al mismo ritmo. El uso extendido de software sin licencia o desactualizado deja abiertas vulnerabilidades que en otros mercados ya están parcheadas. Y la baja cultura de seguridad informática en muchas organizaciones hace que los ataques de phishing, el vector de entrada más común, sean especialmente efectivos.
Los grupos de ransomware más activos en la región
El ransomware ya no es obra de hackers solitarios. Es una industria organizada con modelos de negocio sofisticados.
El modelo dominante se llama Ransomware as a Service (RaaS): los desarrolladores del malware lo alquilan a grupos afiliados que ejecutan los ataques y comparten las ganancias. Esto permite que personas con conocimientos técnicos limitados lleven adelante ataques sofisticados usando herramientas desarrolladas por otros.
Los grupos que más actividad han tenido en Latinoamérica en los últimos años incluyen a LockBit, uno de los más prolíficos globalmente y con numerosas víctimas en la región; BlackCat/ALPHV, conocido por su sofisticación técnica y por usar técnicas de doble extorsión; Cl0p, que ha atacado a instituciones financieras y educativas en varios países latinoamericanos; y Medusa, un grupo más reciente que ha crecido rápidamente con ataques en múltiples países de la región.
Estos grupos tienen estructuras organizativas, equipos de negociación y en algunos casos hasta políticas sobre qué sectores no atacar. Son, en todos los sentidos relevantes, organizaciones criminales profesionales.
Por qué el antivirus tradicional ya no es suficiente
Una de las concepciones más peligrosas en ciberseguridad es creer que tener un antivirus instalado equivale a estar protegido contra el ransomware. No es así, y entender por qué es fundamental para tomar mejores decisiones de seguridad.
El antivirus tradicional funciona comparando archivos contra una base de datos de amenazas conocidas. Si el malware coincide con una firma registrada, lo bloquea. Si no coincide, lo deja pasar.
El problema es que los grupos de ransomware modifican constantemente su código para que no coincida con ninguna firma conocida. Un ransomware nuevo puede circular durante días sin que ningún antivirus lo detecte. Y muchas técnicas de ataque modernas no usan archivos maliciosos en absoluto: ejecutan código directamente en memoria, usando herramientas legítimas del sistema operativo, de una forma que un antivirus convencional simplemente no puede ver.
La protección efectiva contra el ransomware moderno requiere un enfoque en capas, donde múltiples controles se complementan para cubrir los puntos ciegos de cada uno.
Cómo proteger tu empresa: un enfoque en capas
La primera capa: detección basada en comportamiento
En lugar de buscar amenazas conocidas, las soluciones modernas analizan el comportamiento de los procesos en tiempo real. Cuando un proceso empieza a cifrar archivos de forma masiva, a comunicarse con servidores externos desconocidos o a intentar deshabilitar herramientas de seguridad, el sistema lo detecta como anómalo y lo detiene, incluso si nunca había visto ese malware antes.
Bitdefender GravityZone es una de las plataformas que más consistentemente aparece en los rankings independientes de detección de amenazas. Su módulo de protección contra ransomware incluye detección por comportamiento, remediación automática que puede revertir los cambios realizados por el malware antes de que sea detenido, y protección específica de los procesos de backup para evitar que el ransomware los elimine antes de activarse. Para empresas medianas y grandes que necesitan gestionar la seguridad de muchos endpoints desde una consola central, GravityZone ofrece visibilidad y control sobre toda la infraestructura desde un único panel.
Heimdal Security complementa esa protección desde una capa diferente. Su módulo de Threat Prevention opera en la capa DNS y de red, bloqueando las comunicaciones entre el malware y sus servidores de comando y control antes de que el ataque pueda ejecutarse. La mayoría del ransomware moderno necesita comunicarse con un servidor externo para recibir las claves de cifrado: si esa comunicación se corta, el ataque no puede completarse. Heimdal también automatiza la gestión de parches, eliminando una de las causas más frecuentes de infección.
La segunda capa: backup y recuperación
Si la primera capa falla, el backup es lo que determina si una empresa sobrevive a un ataque de ransomware o no. Y no cualquier backup: uno que el ransomware no pueda alcanzar y eliminar.
Los grupos de ransomware lo saben. Una de sus primeras acciones al entrar a un sistema es buscar y eliminar los backups locales y los snapshots de sistemas de virtualización. Si lo logran, la única opción que queda es pagar el rescate.
La respuesta a esto son los backups inmutables en la nube: copias que, una vez creadas, no pueden ser modificadas ni eliminadas durante un período determinado, ni siquiera por alguien con credenciales de administrador.
Acronis Cyber Protect combina backup con protección contra malware en una única plataforma. Su funcionalidad de backup inmutable en la nube garantiza que siempre haya una copia de los datos que el ransomware no puede tocar. Además incluye detección de malware integrada en el proceso de backup, lo que impide que una copia infectada restaure el problema junto con los datos. Para empresas que quieren simplificar su stack de seguridad, la combinación de protección y backup en una sola herramienta tiene un valor operativo significativo.
La tercera capa: gestión de accesos y credenciales
Una proporción importante de los ataques de ransomware entra a través de credenciales comprometidas, ya sea por phishing, por filtraciones de datos o por ataques de fuerza bruta contra sistemas de acceso remoto con contraseñas débiles.
Reducir ese riesgo requiere dos controles básicos que muchas empresas todavía no tienen implementados. El primero es la autenticación multifactor en todos los accesos críticos: sistemas de acceso remoto, correo corporativo, paneles de administración. El segundo es una gestión centralizada de contraseñas que garantice que las credenciales corporativas sean únicas, complejas y no estén reutilizadas en múltiples sistemas.
La cuarta capa: capacitación del equipo
La tecnología puede cubrir muchos vectores de ataque, pero el phishing sigue siendo el punto de entrada más frecuente en los ataques de ransomware, y el phishing depende de que una persona haga clic en algo que no debería.
La capacitación en seguridad no es un evento de una vez al año: es un proceso continuo que incluye simulaciones de phishing, formación sobre cómo reconocer correos sospechosos y protocolos claros sobre qué hacer cuando alguien recibe algo dudoso. Las organizaciones que invierten en ese proceso reducen de forma medible su tasa de incidentes relacionados con phishing.
Qué hacer si tu empresa ya fue atacada
Si a pesar de las precauciones un ataque de ransomware logra ejecutarse, la forma en que la organización responde en las primeras horas determina en gran medida el alcance del daño.
Lo primero es aislar los sistemas afectados de la red inmediatamente para evitar que el ransomware siga propagándose. Desconectar de la red los equipos comprometidos, aunque estén en medio de procesos importantes, es la decisión correcta.
Lo segundo es no apagar los sistemas afectados. Contraintuitivamente, apagar puede destruir evidencia en memoria que puede ser útil para el análisis forense posterior y, en algunos casos, para intentar recuperar claves de cifrado.
Lo tercero es contactar a especialistas en respuesta a incidentes antes de tomar cualquier otra decisión, incluyendo la de pagar o no el rescate. Hay organizaciones como No More Ransom, un proyecto conjunto de Europol y múltiples empresas de seguridad, que mantiene un repositorio de claves de descifrado para muchas variantes de ransomware conocidas. En algunos casos, la recuperación es posible sin pagar.
Lo cuarto es no pagar el rescate si existe otra alternativa. Más allá de las implicancias éticas de financiar organizaciones criminales, el pago no garantiza la recuperación de los datos: una parte significativa de las empresas que pagan no recibe las claves o recibe claves que no funcionan correctamente.
Conclusión
El ransomware es hoy una de las amenazas más concretas y costosas que enfrentan las empresas latinoamericanas. No es una amenaza abstracta ni reservada para grandes corporaciones: los grupos de ransomware atacan a cualquier organización que perciben como vulnerable, independientemente de su tamaño o sector.
La buena noticia es que protegerse es posible y no requiere presupuestos inaccesibles. Requiere un enfoque en capas donde la detección por comportamiento, el backup inmutable, la gestión de accesos y la capacitación del equipo trabajen juntos para reducir tanto la probabilidad de un ataque exitoso como el impacto en caso de que uno ocurra.
Ninguna herramienta por sí sola garantiza protección total. Pero la combinación correcta de controles puede hacer la diferencia entre un incidente contenido y una crisis que paraliza el negocio.
¿Querés evaluar el nivel de exposición al ransomware de tu empresa? En aufieroinformatica.com podés consultar con nuestros especialistas en ciberseguridad.
