¿Qué es el ransomware? Cómo funciona, cómo entra y cómo evitar pagar

El ransomware es malware que cifra tus archivos y exige un rescate. Los ataques modernos añaden la 'doble extorsión': roban datos y amenazan con filtrarlos. Cómo funciona, las principales vías de entrada (phishing, VPN/RDP expuesta, fallos sin parchear) y cómo recuperarse sin pagar, solo defensa.

Publicado 2026-06-12 Actualizado 2026-06-12 6 min de lectura

«Tomar tus archivos de rehén y exigir un rescate»: eso es el ransomware. Aquí tienes cómo funciona y cómo evitar pagar (sin pasos de ataque).

Cómo funciona: un modelo de negocio, no solo un virus

El ransomware clásico cifra todos los archivos que alcanza en un dispositivo o servidor y deja una nota: «paga si quieres la clave de descifrado». Pero la naturaleza real de la amenaza de hoy tiene menos que ver con la tecnología y más con cómo gana dinero.

Doble extorsión

Cifrar Y robar datos, luego amenazar con filtrarlos. El descifrado no detiene la filtración

RaaS

Ransomware como servicio: las herramientas se 'alquilan', ampliando la base de atacantes

Horas a días

El tiempo de la intrusión al cifrado se reduce sin parar: a menudo demasiado tarde cuando lo notas

En la doble extorsión, los atacantes extraen los datos antes de cifrar. Así que aunque una víctima restaure desde sus propias copias de seguridad, queda una segunda amenaza: «paga o publicamos lo que robamos». Ese cambio es la razón por la que «tenemos copias, así que estamos bien» ya no se sostiene por sí solo. Encima, el RaaS (ransomware como servicio) divide el trabajo —quienes crean las herramientas y quienes ejecutan los ataques son ahora personas distintas—, lo que ha rebajado drásticamente la barrera de entrada.

Principales vías de entrada (cierra la puerta)

El ransomware no aparece por arte de magia; entra por un conjunto predecible de puertas. Cerrarlas es la primera línea de defensa.

1. Phishing

vía adjuntos / enlaces de correo. La puerta más común. defensa = MFA, filtrado de correo, formación

2. VPN/RDP expuesta

acceso remoto débil / sin MFA. defensa = exigir MFA, reducir la exposición

3. Fallos sin parchear

agujeros conocidos en software expuesto a Internet. defensa = parchear con prontitud

Las tres principales vías de entrada del ransomware. Todas se pueden cerrar con defensas.

Un caso real que hemos tratado, la brecha masiva de MOVEit (Cl0p), explotó una vulnerabilidad sin parchear en software expuesto a Internet y robó grandes volúmenes de datos antes de que hubiera una solución disponible: un caso de doble extorsión. Es un buen recordatorio de que «un adjunto de correo» no es la única forma en que entra el ransomware.

Defensa: haz posible la recuperación sin pagar

Mantén copias de seguridad sin conexión / inmutables (lo más importante)

Las copias de seguridad son lo que decide la recuperación. Pero una copia siempre en línea y modificable puede cifrarse junto con el resto, así que mantén al menos una copia sin conexión o inmutable (a prueba de manipulaciones) y haz pruebas de restauración con regularidad para confirmar que puedes recuperar los datos de verdad. Consulta fundamentos de copias de seguridad y recuperación (3-2-1).

Cierra la entrada: MFA y parches

Exige autenticación multifactor (MFA) en las puertas más grandes —inicios de sesión propensos al phishing y acceso remoto expuesto— y parchea las vulnerabilidades conocidas con prontitud en todo lo expuesto a Internet. Esto solo detiene una gran parte de las intrusiones (→ elegir MFA).

Limita el radio de impacto: privilegios mínimos y segmentación

Para que un solo compromiso no cifre toda la empresa, mantén los privilegios al mínimo necesario y segmenta la red. Diseñar de modo que una única máquina comprometida no pueda propagarse por todas partes mantiene el daño localizado.

Ten detección y un plan para 'después del impacto'

Aun con las puertas cerradas, la prevención nunca es perfecta. Así que detecta anomalías pronto y decide de antemano —en un plan de respuesta a incidentes— quién hace qué (aislar, notificar, restaurar, en ese orden). Construye la capacidad de contener y restaurar antes de que alguien entre en pánico y pague.

La visión de este sitio: pagar ni siquiera es el último recurso; el punto es la preparación

Sobre si pagar, nuestra postura es clara: construye de antemano la capacidad de no pagar. Pagar no garantiza el descifrado; con la doble extorsión tampoco detiene la filtración; y financia el crimen mientras te marca como pagador al que se vuelve a atacar. Así que el trabajo real es la preparación, no la respuesta al incidente. Una copia de seguridad sin conexión que puedas restaurar más una entrada cerrada con MFA y parches: con ambas en su sitio, el ransomware pasa de «evento catastrófico» a «incidente molesto pero recuperable».

Punto ciego: «tenemos copias» ya no significa «estamos a salvo»

Las copias de seguridad solían volver inofensivo al ransomware. Pero ahora que la doble extorsión es la norma, poder restaurar es un problema distinto de evitar el robo de datos. Los atacantes sacan los datos antes de cifrar y luego exigen el pago «o lo publicamos». Así que la defensa es de dos capas: no solo poder restaurar (copias de seguridad) sino también no dejarlos entrar ni salir (defensa en los puntos de entrada). El punto de partida de la defensa moderna contra el ransomware es negarse a quedarse en «pero tenemos copias».

Sigue leyendo

Aprende: fundamentos de copias de seguridad y recuperación (la base para recuperarse sin pagar: la regla 3-2-1)
Aprende: elegir MFA correctamente (cierra la mayor entrada)
Glosario: qué es el phishing (corta la principal vía de entrada en sí)
Caso: la brecha masiva de MOVEit (Cl0p) (doble extorsión vía un fallo sin parchear)
Glosario: qué es el C2 (mando y control) (el canal posterior a la infección a través del cual operan los atacantes)

FAQ

QSi me alcanza el ransomware, ¿debería pagar?

Inclínate firmemente por no pagar. Pagar no garantiza que recuperes tus archivos ni que los datos robados no se filtren. Además financia a grupos criminales y te marca como alguien que paga, convirtiéndote en objetivo recurrente (y pagar a grupos sancionados puede acarrear riesgo legal). Muchas autoridades desaconsejan pagar. Por eso lo que más importa es la preparación: copias de seguridad sin conexión que puedas restaurar sin pagar.

Q¿Cómo entra el ransomware?

Tres vías principales. (1) Adjuntos o enlaces en correos de phishing: la entrada más común. (2) Acceso remoto expuesto a Internet (VPN/RDP) que es débil o no tiene autenticación multifactor (MFA). (3) Vulnerabilidades conocidas y sin parchear en software expuesto a Internet. En resumen: acción humana, puntos de entrada expuestos y parches que faltan, todo lo cual puedes cerrar con defensas.

Q¿Basta con tener copias de seguridad?

Las copias de seguridad son el control más importante, pero con condiciones. Una copia siempre en línea y modificable puede cifrarse junto con todo lo demás, así que mantén al menos una copia sin conexión o inmutable (a prueba de manipulaciones) y haz pruebas de restauración con regularidad. Y como los ataques modernos roban datos antes de cifrar (doble extorsión), las copias te permiten 'recuperarte' pero no detienen una filtración: también necesitas defensas en los puntos de entrada para que los atacantes no entren ni extraigan datos de entrada.