Ransomware

Ransomware: Tipo de malware que cifra los archivos o sistemas de la víctima y exige el pago de un rescate (ransom) — generalmente en criptomonedas — a cambio de la clave de descifrado. Representa la amenaza cibernética con mayor impacto financiero para empresas en 2025-2026.
Pantalla bloqueada por ransomware con mensaje de rescate en criptomonedas

El ransomware causó daños por $20 mil millones USD en 2026 globalmente (Cybersecurity Ventures). En LATAM, creció un 73% en 2024, con México, Brasil y Argentina entre los más afectados. El costo promedio de recuperación para una PYME es de $200,000 USD — incluyendo tiempo de inactividad, recuperación y daño reputacional (IBM Cost of Data Breach 2025).

Las 5 fases de un ataque de ransomware

  1. Acceso inicial: phishing (70%), RDP expuesto (20%), software sin parche (10%) (Palo Alto Unit 42)
  2. Movimiento lateral: el atacante explora la red, escala privilegios, identifica servidores de backup y AD
  3. Exfiltración: copia datos valiosos antes de cifrar — doble extorsión: pagan o publican datos
  4. Cifrado: AES-256 + RSA-2048 — sin la clave, los archivos son irrecuperables
  5. Negociación: mensaje con instrucciones de pago en Bitcoin/Monero, countdown timer

Grupos de ransomware más activos en LATAM 2026

GrupoOrigenSectores LATAMRescate promedio
LockBit 3.0Rusia (RaaS)Gobierno, salud, manufactura$200K-2M USD
BlackCat (ALPHV)Rusia (RaaS)Finanzas, energía, legal$500K-5M USD
Cl0pUcrania/RusiaUniversitario, corporativo$3M-20M USD
MedusaDesconocidoMunicipios, escuelas LATAM$50K-500K USD
TrigonaDesconocidoPYMES Argentina, Chile$20K-200K USD
Diagrama de las 5 fases de un ataque de ransomware desde phishing hasta cifrado y rescate
Las 5 fases de un ataque de ransomware: del phishing inicial al cifrado y negociación

Cómo prevenir el ransomware: guía de 10 controles

ControlDescripciónPrioridad
Backups 3-2-13 copias, 2 medios distintos, 1 offline/offsiteCrítica
Parches y actualizacionesParchear sistemas en <72h para vulnerabilidades críticasCrítica
MFA en todos los accesosEspecialmente RDP, VPN, correo corporativoCrítica
EDR/XDRCrowdStrike, SentinelOne — detección comportamentalAlta
Segmentación de redVLANs separadas — limita movimiento lateralAlta
Principio de mínimo privilegioCada usuario solo accede a lo que necesitaAlta
Filtrado de email avanzadoMicrosoft Defender, Proofpoint — bloquear phishingAlta
Capacitación anti-phishingSimulaciones trimestrales + concienciaciónMedia
Plan de respuesta a incidentesProcedimiento documentado antes de que ocurraMedia
Seguro de ciberseguridadCyber insurance — creciente en LATAMMedia

¿Pagar el rescate? La respuesta correcta

Los organismos de seguridad (FBI, INTERPOL, ENISA) recomiendan no pagar. Razones:

  • El 80% de quienes pagan sufren un segundo ataque en los siguientes 12 meses (Cybereason)
  • Solo el 65% recibe todas sus claves de descifrado después de pagar
  • El pago puede ser ilegal si el grupo está en lista de sanciones (OFAC, EE.UU.)
  • Financia futuras operaciones criminales
Infografía: ransomware cómo funciona fases ataque grupos LATAM y 10 controles de prevención
Infografía: guía completa de ransomware — cómo funciona, grupos en LATAM y 10 controles de prevención

Aprende a proteger empresas del ransomware con el Experto en Ciberseguridad

Módulos de seguridad perimetral, respuesta a incidentes y análisis de malware — con casos reales y herramientas actuales.

Ver Experto en Ciberseguridad →

Referencias

  • Cybersecurity Ventures. Ransomware Damage Report 2025. cybersecurityventures.com.
  • IBM. Cost of a Data Breach Report 2025. ibm.com/security/data-breach.
  • Palo Alto Unit 42. Ransomware Threat Report 2025. paloaltonetworks.com/unit42.
  • Cybereason. Ransomware: True Cost to Business 2025. cybereason.com.
  • CISA. Ransomware Guide. cisa.gov/ransomware.