Ransomware industrializado: haciendo frente a la nueva realidad

En el fin de semana de Pascua de 2025, algo no iba bien en las tiendas de un minorista en todo el Reino Unido. Los pagos contactless fallaban. Los pedidos de "click and collect" desaparecieron. Estantes vacíos. 

Los minoristas dependen mucho de los fines de semana de las vacaciones para obtener ingresos. En su lugar, este minorista informaría en última instancia de una pérdida de 300 millones de libras esterlinas en valor de mercado, tuvo que recurrir al lápiz y papel para realizar un seguimiento del inventario y cerrar toda su operativa online durante más de seis semanas.

Los culpables no fueron atacantes promovidos por naciones ni hackers de élite, sino grupos de ciberdelincuentes disgregados que utilizaban herramientas de ransomware como servicio (RaaS) comercialmente disponibles.

Basta con que se ponga en duda la estrategia de seguridad actual de la empresa.

Esta es la incómoda verdad: El ransomware no solo está evolucionando, sino que se está industrializando. Y su estrategia de seguridad podría estar dejándolo expuesto.

El ransomware aumentó un 37 % en 2024, lo que representa el 44 % de las filtraciones de datos a nivel mundial, según el informe de investigación sobre filtraciones de datos de 2025 de Verizon. En Europa, Oriente Medio y África, el 27 % de las empresas sufrieron un ataque de ransomware en ese mismo periodo. En América Latina, esa cifra alcanzó el 29 %, con las pymes cada vez más en el punto de mira.

Pero las estadísticas no captan el caos operativo. 

La víctima del ataque del fin de semana de Pascua tuvo que volver a procesos manuales para miles de millones de libras de inventario. Otro minorista cerró partes de sus sistemas de TI como medida de precaución, lo que llevó a que las estanterías de sus más de 2000 tiendas se quedaran vacías. Una tercera empresa restringió el acceso a Internet. No se trataba solo de incidentes de TI, sino auténticas crisis empresariales.

¿Quiénes fueron los atacantes detrás de estas vulneraciones? Se informó de que eran miembros de Scattered Spider y DragonForce, grupos que han convertido la ingeniería social en un arma con un efecto devastador. 

No atacan a los sistemas; atacan a las personas. Llaman a su servicio de asistencia técnica, suplantan a los empleados y convencen a su propio personal de TI de que les den sus credenciales. Luego implementan programas de ransomware que no solo cifran, sino que también extorsionan, exfiltran y destruyen.

El ransomware tradicional bloqueaba los archivos y exigía un pago. Pero esta estrategia ya está obsoleta.

Los atacantes de hoy en día despliegan campañas de extorsión en varias etapas que aumentan la presión desde todos los frentes. Cifran sus sistemas. Les roban sus datos y amenazan con publicarlos. Lanzan ataques distribuidos de denegación de servicio (DDoS) contra la infraestructura que está de cara al cliente. Y, en algunos casos, se ponen en contacto directamente con sus clientes, socios y organismos reguladores.

Los tres grupos de ransomware históricamente más prominentes (‌ALPHV/BlackCat, CL0P y LockBit ‌) ‌han llevado a cabo campañas de extorsión cuádruples. Según TechRadar, en febrero de 2025, CL0P se adjudicó la responsabilidad de 385 ataques en solo unas pocas semanas, estableciendo un nuevo récord para el mayor número de ataques atribuidos a un solo grupo en un mes.

Esto no es teoría. Está sucediendo ahora, a gran escala, contra organizaciones que pensaban que estaban preparadas.

Mientras está experimentando con la IA para aumentar la productividad, los atacantes la están utilizando como arma para sus ataques.

Grupos como FunkSec y Black Basta parece que han utilizado la IA generativa y los modelos de lenguaje de gran tamaño (LLM) para crear código de ransomware y mejorar los ataques de ingeniería social, según el informe de Akamai sobre ransomware de 2025. Forest Blizzard (también conocido como Fancy Bear) y Emerald Sleet han aprovechado los LLM para imitar documentos oficiales en campañas de phishing y llevar a cabo investigaciones sobre las vulnerabilidades. Herramientas como WormGPT, DarkGPT y FraudGPT están democratizando técnicas de ataque sofisticadas.

¿El resultado? Los atacantes ahora pueden operar con una escala, sofisticación y eficiencia sin precedentes, mientras que su equipo de seguridad se ahoga en las alertas.

A pesar de la creciente amenaza, las organizaciones están cambiando su comportamiento. Los pagos totales de ransomware casi se duplicaron a 1100 millones de USD en 2023, según la empresa de seguimiento de criptomonedas Chainalysis. Sin embargo, la proporción de víctimas que realmente pagaron las peticiones de rescate cayó a un récord bajo del 29 % en el cuarto trimestre de 2023, desde el 85 % a inicios de 2019, según la empresa de negociación de ransomware Coveware.

¿Por qué? Porque pagar no garantiza la recuperación. No previene la reinfección. Y solo financia la próxima generación de ataques.

La mejor pregunta: ¿Por qué las organizaciones siguen encontrándose en situaciones en las que pagar es incluso una opción?

Es probable que su arquitectura de seguridad actual asuma un perímetro que ya no existe. Se basa en sistemas de detección que generan más ruido que información. Trata el ransomware como un problema de los terminales cuando en realidad se trata de una crisis de movimiento lateral.

La investigación del estudio sobre el impacto de la segmentación en 2025 de Akamai nos cuenta una historia diferente. De los 1200 directivos de seguridad globales encuestados, el 79 % ha sufrido o detectado al menos un ataque de ransomware en su organización en los últimos 24 meses. Este no es un problema de ransomware, es un problema de contención.

Las organizaciones que están ganando esta lucha no son las que tienen las herramientas más caras. Son los que han replanteado fundamentalmente la forma en que diseñan su resiliencia.

Esto es lo que muestran los datos: las empresas que utilizan la microsegmentación contienen los ataques de ransomware un 21,4 % más rápido de media. Para las grandes organizaciones con más de 1000 millones de USD de ingresos, esa cifra aumenta hasta unos tiempos de contención un 33 % más rápidos.

¿Por qué es esto importante? Porque, a los principales minoristas, cada minuto de tiempo de inactividad durante un incidente de ransomware puede costarles millones. Cuando sus sistemas de pago están inactivos, cuando su cadena de suministro queda congelada, cuando los datos de sus clientes están siendo exfiltrados, la velocidad no es solo importante. Es vital.

La microsegmentación funciona porque opera con un principio fundamentalmente diferente al de la seguridad tradicional. En lugar de intentar evitar cada intrusión, asume que hay una brecha de seguridad y se centra en la contención. Crea zonas de seguridad granulares que limitan el movimiento lateral, lo que evita que los atacantes campen a sus anchas por el entorno incluso después de un ataque inicial.

La brecha de seguridad del fin de semana de Pascua se inició supuestamente a través de un centro de asistencia de TI de terceros. La ingeniería social proporcionó a los atacantes el acceso inicial. Pero lo que convirtió esa exposición inicial en una disrupción catastrófica en el negocio fue la capacidad de los atacantes para moverse lateralmente por los sistemas, para escalar los privilegios y cifrar la infraestructura crítica.

La microsegmentación podría haber contenido esa onda expansiva.

La vulneración del fin de semana de Pascua comenzó con un contratista externo. Los que pueden ser sus puntos más fuertes de seguridad también pueden ser sus eslabones más débiles. Solicite auditorías de seguridad, aplique controles de acceso y segmente el acceso de terceros sin piedad.

La mayoría de los planes de respuesta a incidentes se centran en la detección y la notificación. Esto es necesario, pero insuficiente. Necesita procedimientos de contención documentados que se puedan ejecutar en minutos, no en horas. Sepa exactamente qué sistemas aislar, qué datos proteger y qué comunicaciones activar antes de que se produzca un ataque.

Realice simulacros de seguridad. Haga simulaciones de vulneraciones. Pruebe la integridad y la velocidad de recuperación de sus copias de seguridad. Según se informa, el minorista británico no tenía planes de continuidad empresarial para los incidentes cibernéticos. No espere a una crisis como la del fin de semana de Pascua para descubrir sus carencias.

Todo director de seguridad de la información debe hacerse las siguientes preguntas:

1. Cuando llegue el próximo ataque, y llegará, ¿podemos contenerlo en minutos en lugar de en días?
2. ¿Podemos evitar el movimiento lateral en nuestro entorno? 
3. ¿Podemos proteger nuestros activos más importantes incluso cuando las defensas perimetrales fallen? 
4. ¿Podemos mantener las operaciones empresariales mientras investigamos y solucionamos simultáneamente una vulneración activa?

Si no puede responder con confianza sí a estas preguntas, no está preparado. Está usted expuesto.

Una vez más, las organizaciones que sobrevivirán a la era del ransomware no son las que tienen los mayores presupuestos de seguridad. Son las que han diseñado la resiliencia en todas las capas de su infraestructura. Han asumido que hay una vulneración, han planificado la contención y han creado sistemas que limitan la onda expansiva incluso cuando la prevención falla.