Guía del ransomware: cómo funciona, quién lo hace y cómo protegerte
El Equipo de TheWatcher · 28/08/2025 · 5 min de lectura
Ransomware: la amenaza que más caro le sale a las empresas españolas
Si tuvieras que elegir una sola palabra para resumir la ciberseguridad empresarial de los últimos años, probablemente sería "ransomware". No es la técnica más sofisticada que existe, pero es la que mejor combina dos cosas que interesan a un criminal: un daño inmediato y muy visible para la víctima, y un modelo de negocio que se ha vuelto asombrosamente industrializado. Esta guía explica cómo funciona, quién está detrás y qué se puede hacer al respecto, sin dar nada por sabido.
Qué es exactamente el ransomware
En esencia, es un malware que cifra los archivos de una organización y exige un pago —casi siempre en criptomonedas— a cambio de la clave para recuperarlos. Pero quedarse en esa definición se queda corto para entender el problema real de hoy. La mayoría de los ataques modernos ya no se conforman con cifrar: primero copian los datos y amenazan con publicarlos si no se paga (lo que en el sector se conoce como doble extorsión), y en los casos más agresivos añaden una tercera capa de presión llamando o escribiendo directamente a clientes, empleados o medios de comunicación para forzar el pago. También es habitual que los atacantes vayan a por las copias de seguridad antes de cifrar nada, precisamente para que restaurar sin pagar no sea una opción.
Quien quiera ver cómo estas filtraciones aterrizan en la práctica puede revisar las fugas de datos más relevantes en España, varias de las cuales están relacionadas con este tipo de ataques.
El modelo que lo cambió todo: Ransomware-as-a-Service
Gran parte de la actividad actual no la ejecutan los mismos que programan el malware. Grupos como LockBit, Akira o Qilin funcionan más como una franquicia que como una banda tradicional: desarrollan la herramienta, la infraestructura y hasta el "servicio de atención al cliente" para negociar con las víctimas, y luego la alquilan a afiliados que se encargan de entrar en las redes y ejecutar el ataque a cambio de un porcentaje del rescate. Este reparto de trabajo explica por qué un mismo grupo puede aparecer detrás de cientos de ataques simultáneos en todo el mundo: no hace falta que sean muchos, basta con que tengan muchos afiliados. Analizamos en detalle cómo opera uno de los más activos en nuestro artículo sobre LockBit 3.0.
Este modelo afecta especialmente a las pymes, que suelen tener menos recursos para detectar un acceso inicial antes de que escale. Repasamos los fallos más comunes que facilitan esa entrada en los errores de ciberseguridad más frecuentes en pymes españolas.
Cómo se desarrolla un ataque, paso a paso
- Acceso inicial. Casi siempre a través de credenciales filtradas (compradas o encontradas en la dark web) o de una vulnerabilidad sin parchear en un VPN o servicio de acceso remoto.
- Movimiento lateral y escalada de privilegios. Una vez dentro, el atacante busca ampliar sus permisos hasta tener control administrativo sobre la red.
- Exfiltración de datos. Antes de cifrar nada, se copian los datos que más presión puedan generar: información de clientes, contratos, datos financieros.
- Cifrado y nota de rescate. El malware se despliega de forma masiva y aparece la exigencia de pago, normalmente con un plazo límite.
Si sospechas que credenciales de tu empresa pueden haber circulado antes de llegar a este punto, conviene comprobarlo cuanto antes: lo explicamos en la guía sobre cómo saber si tus datos están en la dark web.
Cifras que dan contexto
El rescate medio exigido en ataques a empresas españolas ha superado ya los 500.000 €, y más del 60% de las pymes del país reconoce haber sufrido algún incidente de seguridad en el último año. España, además, se mantiene entre los diez países más afectados por ransomware a nivel mundial. Son cifras que no deberían leerse como una fatalidad, sino como una razón concreta para invertir primero en las medidas más básicas.
Qué reduce el riesgo de verdad
No hace falta un presupuesto enorme para marcar una diferencia real. Las medidas con mejor relación entre esfuerzo y protección son la autenticación multifactor en todos los accesos críticos, copias de seguridad que sigan la regla 3-2-1 (tres copias, en dos soportes distintos, una de ellas fuera de la red principal), mantener los sistemas parcheados —sobre todo VPN, RDP y cualquier acceso remoto— y formar al personal para reconocer intentos de phishing, que sigue siendo la puerta de entrada más habitual. Detallamos estos pasos con más ejemplos en 5 pasos para proteger tu pyme.
Si ya estás sufriendo un ataque
Aislar los sistemas comprometidos de la red es la prioridad inmediata, seguido de contactar con tu proveedor de ciberseguridad o un CSIRT. En paralelo conviene revisar si los datos ya han aparecido publicados —muchos grupos usan sitios de extorsión donde listan a sus víctimas— y evaluar si existe obligación de notificar el incidente a la AEPD dentro de las 72 horas que marca el RGPD. Repasamos ese marco legal en detalle en normativas de ciberseguridad en España.
Compruébalo tú mismo
No hace falta esperar a sufrir un ataque para empezar a vigilar esta amenaza. El feed de ciberamenazas en España recoge en tiempo real menciones de ransomware, filtrable por tipo de incidente y nivel de gravedad: entra, filtra por "ransomware" y comprueba si tu sector aparece mencionado esta semana. El mapa de geointeligencia muestra esa misma actividad de forma visual, útil para hacerte una idea rápida de dónde se concentra sin tener que leer cada entrada una por una. Ninguna de las dos herramientas requiere registro.
Recursos útiles
- INCIBE — Instituto Nacional de Ciberseguridad de España.
- ENISA — Agencia de la Unión Europea para la Ciberseguridad.
- El feed de amenazas de TheWatcher, que recoge sitios de extorsión y filtraciones relacionadas con ransomware en España.
Preguntas frecuentes
¿Debo pagar el rescate si sufro un ataque? No se recomienda. No hay garantía de recuperar los datos, y cada pago realizado alimenta el modelo de negocio que sostiene a estos grupos.
¿Cómo sé si mi empresa aparece en un sitio de extorsión de ransomware? Monitorizando los blogs de filtración que usan estos grupos para presionar a sus víctimas. Es justo lo que hace el feed de amenazas de TheWatcher.
¿Qué sectores son los más atacados en España? Sanidad, energía, logística y servicios profesionales con datos sensibles de clientes suelen concentrar buena parte de los casos, aunque ninguna pyme está realmente exenta.
Si quieres que alguien vigile estos activos de forma continua en lugar de comprobarlo manualmente, puedes escribirnos y lo revisamos sin compromiso.