¿Qué es un ataque de ransomware? – Definición y ejemplos

Imagina que enciendes tu ordenador un lunes por la mañana y, en lugar de tu escritorio habitual, aparece una pantalla roja con un mensaje escalofriante: “Todos tus archivos han sido cifrados. Paga 500 dólares en Bitcoin antes de 48 horas o perderás tus datos para siempre”. No es una película de terror, ni una prueba de sistema. Es un ataque de ransomware, y ocurre cada 11 segundos en algún lugar del mundo.

En términos simples, el ransomware es un tipo de software malicioso que bloquea o cifra los archivos de un dispositivo (ordenador, servidor, móvil) y exige un rescate económico a cambio de liberarlos. Su nombre viene del inglés: ransom (rescate) + ware (software). Pero detrás de esta definición sencilla hay una realidad compleja: cada año, miles de empresas, hospitales, universidades y particulares pierden millones de euros por no estar preparados.

En este artículo no solo vas a entender qué es el ransomware, sino que recorrerás su evolución, conocerás ejemplos reales de ataques famosos, descubrirás cómo protegerte y, al final, comprobarás tus conocimientos con una lista de resultados de aprendizaje. Si eres estudiante de ciberseguridad, informática o simplemente un usuario preocupado, sigue leyendo. Lo que aprendas aquí puede salvarte de un susto mayúsculo.

Definición técnica de ransomware

Desde un punto de vista técnico, el ransomware es una familia de malware que utiliza algoritmos de cifrado asimétrico o simétrico (como AES o RSA) para hacer ilegibles los archivos de la víctima. Una vez ejecutado, el ransomware busca extensiones concretas (.docx, .pdf, .jpg, .xlsx, .sql, etc.) y las modifica añadiendo una extensión extra (por ejemplo, .encrypted, .locky, .crypt).

El proceso típico sigue cuatro pasos:

1. Infección: El usuario abre un archivo adjunto malicioso, hace clic en un enlace fraudulento o se conecta a un servidor vulnerado.
2. Instalación silenciosa: El ransomware se copia en el sistema y, a menudo, desactiva antivirus o herramientas de recuperación.
3. Cifrado: Recorre discos duros, unidades externas y recursos de red compartidos. Puede cifrar desde documentos hasta bases de datos enteras.
4. Exigencia de rescate: Muestra una nota de rescate (en forma de archivo .txt, .html o ventana emergente) con instrucciones para pagar, normalmente en criptomonedas como Bitcoin o Monero.

Lo más peligroso es que el cifrado moderno es matemáticamente irrompible si está bien implementado. Sin la clave privada del atacante, la única opción es restaurar desde copias de seguridad limpias… o pagar.

¿Cómo se propaga el ransomware? Vías de infección comunes

Para entender los ejemplos que veremos después, es clave conocer las puertas de entrada del ransomware. Las más habituales son:

• Correos de phishing y spear phishing: Un email que parece de tu banco, de la universidad o de un compañero de trabajo, con un enlace o archivo adjunto (factura falsa, currículum, notificación judicial). Al abrirlo, se descarga el ransomware.
• Descargas drive-by: Entras a una página web legítima que ha sido comprometida sin saberlo. Un script malicioso aprovecha vulnerabilidades de tu navegador o plugins (Flash, Java) para instalar el malware.
• RDP (Remote Desktop Protocol) expuesto: Muchos administradores dejan abierto el puerto 3389 con contraseñas débiles. Los atacantes fuerzan la entrada por fuerza bruta y ejecutan el ransomware manualmente.
• Unidades USB infectadas: Especialmente en entornos sin conexión a internet (como plantas industriales o laboratorios).
• Actualizaciones falsas: Anuncios emergentes que te piden “actualizar Adobe Flash Player” o “instalar un códec de vídeo”, cuando en realidad descargan ransomware.

Dato clave para estudiantes: Según el informe anual de Verizon, el 54% de los incidentes de ransomware comienzan con un correo de phishing. La concienciación del usuario es la primera barrera.

Tipos de ransomware: no todos son iguales

No todo ransomware funciona del mismo modo. Para una comprensión completa, debes conocer las tres grandes categorías:

Ransomware de cifrado (crypto-ransomware)

El más común. Cifra archivos personales y exige rescate. Ejemplos: WannaCry, Ryuk, LockBit.

Ransomware de bloqueo (locker-ransomware)

Bloquea la pantalla del dispositivo (no cifra archivos) con una nota falsa que suele hacerse pasar por la policía o una agencia gubernamental. Pide una multa ficticia. Hoy es menos frecuente.

Doxware o leakware

Además de cifrar, los atacantes amenazan con publicar información sensible (fotos íntimas, datos médicos, secretos empresariales) si no se paga. Es una doble extorsión muy efectiva.

Ransomware como servicio (RaaS)

Modelo de negocio criminal: los creadores del ransomware alquilan su infraestructura a otros delincuentes (afiliados) a cambio de un porcentaje del rescate. Esto ha democratizado los ataques, permitiendo que personas sin conocimientos técnicos lancen campañas masivas.

Ejemplos reales de ataques de ransomware (2017 – 2025)

Aquí es donde la teoría cobra vida. Analicemos cinco casos emblemáticos que cambiaron la historia de la ciberseguridad.

🔐 WannaCry (2017) – El terremoto global

¿Qué pasó? En mayo de 2017, WannaCry infectó más de 230.000 ordenadores en 150 países en apenas cuatro días. Afectó a hospitales británicos (NHS), Telefónica en España, FedEx y Renault.
¿Cómo funcionaba? Usaba una vulnerabilidad de Windows llamada EternalBlue, filtrada previamente por la NSA. No necesitaba que el usuario hiciera clic en nada; se propagaba solo por la red.
Consecuencias: El NHS tuvo que cancelar 19.000 citas médicas. Las pérdidas se estiman en 4.000 millones de dólares. Un investigador detuvo la propagación al registrar un dominio web que funcionaba como “interruptor de muerte”.
Lección: Mantener los sistemas actualizados evita desastres. Microsoft había lanzado el parche dos meses antes.

🔐 NotPetya (2017) – Más destrucción que rescate

Aunque parecía ransomware, NotPetya era en realidad un wiper (software de borrado) disfrazado. Su objetivo era destruir datos, no obtener dinero. Afectó a Maersk, Merck y la cadena de suministro de Ucrania.
Dato escalofriante: Maersk, la mayor naviera del mundo, tuvo que reinstalar 4.000 servidores y 45.000 ordenadores desde cero. Las pérdidas superaron los 10.000 millones de dólares.
¿Quién lo hizo? Atribuido a Rusia como parte de un ciberataque contra Ucrania.

🔐 Ryuk (2018-2020) – El terror de los hospitales

Ryuk era un ransomware de alta precisión operado manualmente. Primero, los atacantes pasaban semanas dentro de la red robando credenciales; luego ejecutaban Ryuk en horas de baja actividad. Sus víctimas favoritas: hospitales y gobiernos locales.
Caso conmovedor: En septiembre de 2020, un hospital alemán sufrió un ataque Ryuk que provocó la redirección de una paciente en estado crítico. Murió en el trayecto a un hospital a 30 km. Fue el primer fallo atribuido directamente a un ransomware.

🔐 Colonial Pipeline (2021) – Impacto en la vida real

El mayor oleoducto de combustible de Estados Unidos (2,5 millones de barriles diarios) fue paralizado por un ataque de ransomware DarkSide. El pánico de compra de gasolina se extendió por 17 estados. La empresa pagó 4,4 millones de dólares en Bitcoin (aunque la CIA recuperó parte después).
Consecuencias políticas: El gobierno de EE. UU. declaró el ransomware como amenaza a la seguridad nacional y prohibió pagar rescates a ciertas entidades.

🔐 LockBit 3.0 (2022-2024) – El rey del RaaS

LockBit se convirtió en el ransomware más prolífico de la historia gracias a su modelo RaaS. En 2023, el FBI lo declaró la principal amenaza de ransomware, con más de 1.700 víctimas en un año, incluyendo la multinacional Continental y el ayuntamiento de Lisboa.
Innovación: LockBit fue el primero en ofrecer un “bug bounty” criminal: pagaba a hackers por encontrar vulnerabilidades en sus propias herramientas.

¿Se debe pagar el rescate? El debate ético y práctico

Esta es una de las preguntas más difíciles. Las posiciones oficiales son claras:

• FBI, Europol y la mayoría de gobiernos: Recomiendan no pagar nunca. Pagar financia el crimen organizado y fomenta más ataques. Además, no garantiza que devuelvan los archivos (el 20% de quienes pagan no recuperan sus datos según estudios de CyberEdge).
• Perspectiva empresarial: Si no hay copias de seguridad y el negocio se detiene, algunas empresas pagan para salvar su supervivencia inmediata. Pero es una apuesta peligrosa.

Para estudiantes: El pago medio de rescate en 2024 fue de 1,5 millones de dólares en empresas, y 2.500 dólares en usuarios particulares. Sin embargo, tras pagar, muchas víctimas sufren un segundo ataque porque los atacantes venden su información a otros grupos.

La única estrategia sostenible es la prevención y las copias de seguridad offline (desconectadas físicamente de la red).

Cómo protegerte del ransomware (guía paso a paso)

Aquí tienes un plan concreto, útil tanto para estudiantes como para sus familias o futuros entornos laborales.

✅ Para usuarios domésticos:

1. Actualiza todo: Sistema operativo, navegadores y programas. Activa las actualizaciones automáticas.
2. No abras archivos sospechosos: Verifica el remitente del correo. Desconfía de facturas inesperadas, premios o notificaciones urgentes.
3. Copia de seguridad externa: Usa un disco duro externo que solo conectes cuando hagas la copia. Desconéctalo después. El ransomware puede cifrar unidades conectadas.
4. Desactiva macros de Office por defecto (muchos ransomware entran por macros maliciosos en Excel/Word).
5. Instala un antivirus con protección contra ransomware (Windows Defender moderno es suficiente para el usuario medio).

✅ Para administradores y estudiantes de TI:

• Principio de mínimo privilegio: Los usuarios no deben tener permisos de administrador en su día a día.
• Segmentación de red: Separa los servidores críticos de los equipos de usuario.
• Deshabilita RDP si no es necesario o usa VPN + autenticación de dos factores.
• Realiza simulacros de phishing para educar a los empleados.
• Mantén copias de seguridad 3-2-1: 3 copias, en 2 soportes diferentes, 1 fuera de línea.

¿Qué hacer si ya estás infectado?

Si el ransomware ya ha cifrado tus archivos y aparece la nota de rescate:

1. No pagues inmediatamente (lee la sección anterior).
2. Desconecta el ordenador de la red (cable Ethernet y WiFi) para evitar que se propague a otros equipos.
3. Desconecta discos externos y la nube si está sincronizada (algunas versiones cifran también Dropbox/Google Drive si están enlazados localmente).
4. Identifica la variante usando páginas como ID Ransomware (subes la nota de rescate y te dice qué familia es).
5. Busca descifradores gratuitos: Proyecto NoMoreRansom (iniciativa de Europol, Kaspersky y McAfee) ofrece más de 160 herramientas gratuitas para desbloquear ransomware antiguos.
6. Si no hay descifrador y no tienes copia de seguridad, valora la importancia de los datos. A veces, formatear e instalar de cero es más barato que pagar.

El futuro del ransomware: tendencias que debes conocer

Como estudiante, te interesa mirar hacia adelante. El ransomware está evolucionando hacia:

• Ataques a la nube: Con el teletrabajo, los atacantes cifran contenedores Docker o buckets S3 mal configurados.
• Ransomware para Linux y macOS: Antes centrado en Windows, ahora crecen variantes como LockBit para Linux (apuntando a servidores web).
• IA generativa aplicada al phishing: Los correos ya no tienen faltas de ortografía; la IA redacta mensajes perfectamente personalizados usando datos de redes sociales.
• Presión psicológica extrema: Llamadas telefónicas directas a los directivos o amenazas de filtraciones a medios de comunicación.

Resultados de aprendizaje

Después de leer este artículo completo, el estudiante será capaz de:

1. Definir con precisión qué es un ataque de ransomware, diferenciando entre crypto-ransomware, locker-ransomware, doxware y RaaS.
2. Identificar las cinco vías de infección más comunes (phishing, RDP expuesto, descargas drive-by, USB infectadas y actualizaciones falsas) y explicar cómo evitarlas.
3. Describir al menos tres ejemplos reales de ataques históricos (WannaCry, NotPetya, Ryuk, Colonial Pipeline o LockBit) detallando su método de propagación, consecuencias y lecciones aprendidas.
4. Argumentar razonadamente si se debe pagar o no un rescate en un ataque de ransomware, citando las posturas oficiales del FBI/Europol y los riesgos asociados.
5. Aplicar una estrategia de protección concreta en un entorno doméstico y otro empresarial (copias de seguridad 3-2-1, actualizaciones, desactivación de macros, principio de mínimo privilegio).
6. Ejecutar un plan de respuesta paso a paso ante una infección real (aislamiento, identificación de variante, búsqueda de descifradores gratuitos en NoMoreRansom).
7. Predecir tendencias futuras del ransomware, incluyendo el impacto de la IA generativa y los ataques a infraestructura cloud.

Rodrigo Ricardo Editor y fundador