¿Qué es ransomware? Todo lo que debes saber
El ransomware es un tipo de malware cuyo objetivo es secuestrar los recursos de los que dependen las organizaciones. El objetivo es impedir que las víctimas puedan acceder a los datos o bien extorsionarlas ante su posible difusión a terceros.
Esta amenaza aparece como una de las formas más dañinas que han desarrollado los ciberdelincuentes para explotar las vulnerabilidades digitales de las organizaciones.
Con el número de ataques multiplicándose en los últimos años, resulta indispensable saber qué es ransomware y cómo proteger los equipos frente a esta amenaza. Es más, los costes de los ataques ransomware para las organizaciones continúan creciendo: datos citados por IBM cuantifican este coste en cifras de hasta 7 y 8 dígitos para una empresa atacada.
Por suerte, hay fórmulas para prevenir y atajar este problema que cada vez pone más en jaque a miles de organizaciones. Te contamos todo lo que necesitas saber sobre el ransomware y cómo protegerse.
Tabla de contenidos
¿Qué es ransomware? Una definición
El ransomware es un tipo de malware que bloquea datos o inhabilita un dispositivo informático, amenazando con mantenerlo inaccesible para las víctima a menos que ésta pague un rescate al atacante. Su nombre, de hecho, proviene de la conjunción de dos palabras: “ransom” (secuestro) y “ware” mercancía – malware.
En su forma más tradicional el malware se ocupa de cifrar archivos y, en cierto modo, tomarlos como rehenes. Para recuperar el control, los ciberdelincuentes exigen recibir un rescate a cambio. En dispositivos móviles el cifrado es más inusual, y los ciberdelincuentes suelen inhabilitar el acceso al dispositivo.
Existen diferentes tipos de ransomware, muchos de ellos acercándose a la extorsión digital. En estos casos, los criminales amenazan con hacer públicos datos confidenciales, o pueden llegar a subastarlos en la dark web. También se enmarcan dentro del ransomware aquellos ataques de estados nación que lo han empleado para interrumpir las operaciones de sus enemigos.

Etapas de un ataque de ransomware
1. Acceso inicial
En primer lugar, los atacantes buscan el método para entrar en el sistema. Suelen emplearse métodos como el phishing, la explotación de otras vulnerabilidades, además de otros métodos (archivos aparentemente familiares, servicios remotos externos…). También es común el uso de troyanos de acceso como Valak, Bazar, QakBot o TrickBot.
2. Post explotación
En esta segunda etapa, los atacantes emplean malware ofensivo o una herramienta de acceso remoto para tomar el control del equipo.
3. Comprensión y ampliación
Llega una fase de reconocimiento, en la que los ciberdelincuentes intentan obtener información de los sistemas. Se ocupan así de dominar el sistema y adquirir credenciales para tener acceso a los datos que les interesan (información financiera, propiedad intelectual…). Para ello, tiene lugar un movimiento lateral, que les permite infectar otros sistemas en red a partir del que ya han comprometido.
4. Selección y exfiltración de datos
Se pone en marcha en este momento la fuga de información, con el objetivo de poder filtrarla más adelante. Aprovechan aquí los backdoors, y las herramientas de acceso remoto, entre otras. Incluso, algunos grupos tienen sus propias herramientas de exfiltración de datos. Así, la información se envía a un servidor remoto para emplearla más adelante como moneda de cambio durante la extorsión.
5. Implementación del ransomware
Los ataques de ransomware finalizan cuando los operadores implementan el ransomware en la red de la víctima para cifrar sus archivos. De este modo, se impide el acceso a los mismos a menos que se pague el rescate. Los cibercriminales dejan un mensaje junto a un método de pago, comenzando la extorsión.
En algunas de las variantes observadas, los cibercriminales están optando cada vez más por evitar el cifrado de los datos, empleando directamente el modelo de extorsión. La amenaza de publicar los datos exfiltrados es suficiente para muchas víctimas para pagar el rescate.

Tipos de ransomware
Bloqueador de sistema
Esta variante de ransomware se caracteriza por bloquear completamente el acceso al sistema operativo de un dispositivo. En lugar de cifrar los archivos, como lo hacen otros tipos de ransomware, este malware utiliza técnicas que impiden que el usuario pueda utilizar su ordenador o dispositivo móvil.
Para ello, modifica o daña componentes clave del sistema operativo (archivos de inicio, registros del sistema…), haciendo que el dispositivo no pueda arrancar correctamente o que quede atrapado en una pantalla de bloqueo.
Una vez que el sistema está bloqueado, el ransomware mostrará un mensaje en pantalla exigiendo un rescate para desbloquear el dispositivo y restaurar el acceso. El mensaje puede contener instrucciones sobre cómo realizar el pago, a menudo solicitando que se haga a través de criptomonedas para dificultar el rastreo.
No obstante, pagar el rescate no garantiza que se recupere el acceso al sistema: los ciberdelincuentes pueden no cumplir con su promesa y dejar el dispositivo bloqueado.
Cifrado de archivos
Conocido también como criptoransomware, consiste en cifrar los archivos de un dispositivo o red, haciendo que sean inaccesibles para el propietario legítimo. Utilizando algoritmos de cifrado fuertes, se impide la lectura o uso de los documentos o equipos sin la clave de descifrado correspondiente.
Este tipo de ransomware se propaga comúnmente a través de métodos como el phishing, descargas de software no confiable, sitios web comprometidos o vulnerabilidades de seguridad en el sistema operativo. Una vez que el ransomware infecta un dispositivo, comienza a buscar y cifrar una amplia variedad de archivos (documentos, imágenes, videos, bases de datos… todo tipo de archivo que contenga información valiosa para el usuario).
Una vez que los archivos están cifrados, el ransomware muestra un mensaje de rescate en el que los ciberdelincuentes exigen un pago en criptomonedas a cambio de proporcionar la clave de descifrado. Este mensaje generalmente incluye instrucciones sobre cómo realizar el pago y un plazo límite para cumplir con las demandas.
La situación puede empeorar cuando los atacantes amenazan con destruir la clave de descifrado o aumentar el monto del rescate si no se realiza el pago dentro del tiempo establecido.
En ocasiones, los ciberdelincuentes podrían emplear más de una clave de descifrado en un mismo incidente, o un algoritmo de recuperación deficiente, lo que complicaría recuperar los datos.
Leakware
Un ataque tipo "leakware" supone una variante de ransomware en la cual los ciberdelincuentes no solo cifran los archivos de la víctima y exigen un rescate para desbloquearlos, sino que también amenazan con filtrar o divulgar los archivos confidenciales si el pago no se realiza.
Scareware
Esta modalidad de ransomware utiliza tácticas de manipulación psicológica para asustar a las víctimas con el fin de obtener un rescate. El scareware no bloquea ni cifra los datos de la víctima, sino que muestra mensajes falsos y alarmantes en la pantalla para generar miedo e impulsar a la persona a pagar.
El objetivo principal del scareware es persuadir a los usuarios para que realicen un pago por un supuesto problema de seguridad o infección grave en su dispositivo. Estos mensajes pueden aparecer en forma de ventanas emergentes, alertas de seguridad falsas o interfaces simuladas de programas antivirus o antispyware.
El scareware utiliza tácticas de manipulación emocional y coerción para presionar a las personas a pagar rápidamente, aprovechando el miedo y la falta de conocimiento técnico de las víctimas.
Grupos más conocidos dedicados al ransomware
LockBit
En activo desde 2019, LockBit se convirtió en uno de los grupos más prolíficos en cuanto a ataques de ransomware. Se especuló con que sus integrantes procedían de Rusia, y ofrecían ransomware como servicio (RaaS).
En febrero de 2024, una operación internacional liderada por Europol y el FBI, conocida como “Operation Cronos”, logró desmantelar gran parte de su infraestructura, afectando significativamente sus capacidades operativas. A pesar de este golpe, sus afiliados continúan activos, lo que mantiene la amenaza latente de que LockBit pueda reaparecer bajo otra identidad.
LockBit ha desarrollado múltiples versiones de su malware que incorporan mejoras técnicas en velocidad de cifrado y evasión de defensas, consolidando su notoriedad en el cibercrimen.
Cl0p
Cl0p o Clop, surgió en diciembre de 2019 y está ocasionando gran impacto debido a la explotación de la vulnerabilidad sobre MOVEit, con picos de hasta 335 víctimas en un solo mes en 2025.
Este malware está siendo usado por grupos de gran impacto como FIN11 y TA505, siendo este último uno de los mayores distribuidores a nivel mundial de phishing y malspam.
Black Basta
Black Basta apareció por primera vez entre los grupos dedicados al ransomware a través de un ataque que afectó al menos a 20 empresas durante marzo de 2022. Se han especializado en robar los datos financieros de sus víctimas a través de troyanos bancarios.
Sin embargo, en 2025 atraviesa una fase de inactividad tras la filtración de unos 200.000 mensajes internos que expusieron conflictos, fraudes y traiciones dentro del grupo. Esta crisis ha provocado su disolución práctica, dejando a la organización sin cohesión ni capacidad operativa estable.
Sin embargo, muchos de sus antiguos miembros se han trasladado a bandas emergentes como BlackSuit, Cactus, INC, Lynx o Nokoyawa, manteniendo vivas sus tácticas y herramientas.
BlackCat (Alphv)
BlackCat fue observado a finales de 2021 y era considerado uno de los ransowmare más sofisticados y técnicamente avanzados hasta diciembre de 2023, cuando fue intervenido y desmantelado en una operación multinacional liderada por Estados Unidos.
Son actores que habitualmente destacan por el despliegue de otros ransomware que han planteado numerosos problemas (p.ej. Ryuk, REvil) aunque hasta 2025 no se ha producido un regreso efectivo del grupo. Su colapso ha contribuido directamente al crecimiento de nuevas bandas como RansomHub, Akira o Hunters International, que han absorbido parte de su red y operativa.

Ataques ransomware más famosos
WannaCry
El ataque de ransomware WannaCry se considera uno de los ataques cibernéticos más devastadores. Tuvo lugar en mayo de 2017 y afectó a miles de organizaciones en todo el mundo, incluyendo hospitales, empresas de telecomunicaciones, e instituciones gubernamentales, entre otras. WannaCry supuso sin duda alguna un antes y un después para numerosas organizaciones que comenzaron a plantearse muy seriamente la inversión en ciberseguridad para frenar este tipo de ataques.
Para propagarse rápidamente, explotó la función de protocolo de escritorio remoto (RDP) llamada "EternalBlue" en Windows. Esto lo volvió particularmente destructivo.
Una vez que WannaCry infectaba un dispositivo, cifraba los archivos del usuario y mostraba un mensaje exigiendo el pago de un rescate en Bitcoin para desbloquear los archivos.
Aunque hoy ya no representa una amenaza activa, sigue siendo un ejemplo paradigmático de cómo un exploit filtrado de la NSA pudo desencadenar una crisis mundial.
GrandCrab
El ataque GrandCrab es otro ejemplo notable de ransomware que adquirió renombre en el mundo de la ciberseguridad. Fue un tipo de ransomware distribuido como servicio (RaaS, por sus siglas en inglés) que estuvo activo desde principios de 2018 hasta mediados de 2019, aunque han surgido variantes posteriores.
GrandCrab se propagó principalmente a través de campañas de phishing y exploit kits, aprovechando vulnerabilidades en el software y utilizando correos electrónicos maliciosos con archivos adjuntos infectados. Una vez que infectaba un sistema, GrandCrab cifraba los archivos del usuario y mostraba un mensaje de rescate que exigía un pago en criptomonedas, generalmente Bitcoin, a cambio de la clave de desencriptación.
Ataques en el sector de manufactura
Uno de los ciberataques de ransomware más notables, llevado a cabo durante marzo de 2023 tuvo lugar contra la empresa de software y hardware Acer, de la que se consideran expuestos 160GB de contenido clasificado. Esta compañía ya se enfrentó a la petición de un rescate de 50 millones de dólares en 2021, una de las más importantes dentro de los registros históricos de rescates por ransomware por entonces.
En 2021 la operación se atribuyó al grupo REvil, el cual publicó diversos ficheros y datos robados en su propio portal web. Para presionar y lograr el pago del rescate, REvil ofreció un descuento del 20% si el rescate se pagaba en una fecha determinada, procediendo en tal caso a eliminar los archivos robados, ofrecer un descifrador, y cerrar el asunto con un informe de vulnerabilidad. A su vez, también amenazaron con duplicar el precio si se pasaba el plazo.
En la actualidad, los ataques contra el sector manufacturero no han disminuido: grupos como RansomHub, BlackSuit y Akira han dirigido campañas específicas contra cadenas de suministro y sistemas de producción, exfiltrando propiedad intelectual y planos industriales. El sector es hoy uno de los más presionados por la triple extorsión: cifrado, robo y amenaza pública.
Ataques en el sector salud
A lo largo de 2020 y 2021, diversas oleadas de ataques de ransomware fueron perpetradas contra el sector de investigación de vacunas contra el COVID-19 y el sector de la salud.
Entre los casos más recordados está el ataque al Ejecutivo de Servicios de Salud de Irlanda (HSE) en 2021, atribuido al grupo Conti, que obligó a cerrar sus sistemas a nivel nacional, provocando importantes retrasos y cancelaciones de visitas médicas durante la crisis sanitaria.
Además, un caso particularmente siniestro tuvo lugar a finales de 2020, cuando un ataque del grupo DopplePaymer contra el Hospital de Dusseldorf (Alemania) provocó el desvío de una ambulancia mientras que una paciente estaba siendo trasladada, y que finalmente falleció.
En 2023, uno de los ataques más notorios a los 15 sistemas de salud responsables de gestionar 29 hospitales fueron atacados por incidentes de ransomware fue el ciberataque al Hospital Clínic de Barcelona. Ocurrido en marzo, logró interrumpir la actividad normal de esta institución y expuso información sensible de pacientes y profesionales. La Agencia de Ciberseguridad de Cataluña aseguró que el ciberataque, “sofisticado y complejo”, era responsabilidad del grupo Ransom House.
La tendencia ha seguido al alza: grupos como LockBit, Medusa y Hunters International han atacado hospitales en EE.UU., Reino Unido y Europa. De hecho, solo en los dos primeros meses de 2025 Medusa duplicó su actividad respecto al año anterior, con más de 40 víctimas confirmadas, varias de ellas en el sector salud.
Ataques a sistemas de transporte
Alrededor de mayo de 2021, tuvo lugar un ataque al Colonial Pipeline, responsable del mayor sistema de transporte de derivados del petróleo en Estados Unidos. Este incidente provocó un grave e inmediato colapso en el suministro de combustible de todo el país. Darkside, el grupo responsable del ataque, recibió un pago de alrededor de cinco millones de dólares, pese a que casi la mitad pudieron ser interceptados por las fuerzas de seguridad del país.
Más tarde, en enero de 2023, la compañía noruega DNV, proveedora de software marítimo, sufrió un ataque que afectó a un millar de embarcaciones, mientras que en febrero del mismo año Pierce Transit, en EE.UU., fue víctima de LockBit, que exigió un rescate de 2 millones de dólares.
Desde entonces, los ataques al transporte no han cesado: en 2024 y 2025 se han reportado incidentes en operadores ferroviarios europeos y compañías logísticas internacionales. Grupos como BlackCat/ALPHV (antes de su desmantelamiento parcial) y Akira han seguido apuntando a este sector clave, combinando impacto económico con presión reputacional.
Trinity Ransomware: el supuesto ataque a la Agencia Tributaria
En diciembre de 2024, un grupo poco conocido hasta entonces llamado Trinity Ransomware aseguró haber llevado a cabo un ataque contra la Agencia Tributaria Española (AEAT).
Según su comunicado, habían robado y cifrado 560 GB de datos sensibles y exigían un rescate de 38 millones de dólares, con fecha límite del 31 de diciembre. Publicaron muestras parciales de la información como prueba de la brecha.
La AEAT negó categóricamente haber sufrido compromiso alguno y aseguró que sus sistemas funcionaban con normalidad y sin pérdida de datos. En agosto de 2025, no existen pruebas concluyentes que confirmen la intrusión. Sin embargo, el caso ha tenido un fuerte eco mediático y sirve como ejemplo de cómo los grupos de ransomware utilizan la desinformación y la presión reputacional como parte de su estrategia.
Independientemente de su autenticidad, este episodio ha subrayado la vulnerabilidad percibida de infraestructuras críticas y la necesidad de reforzar sus sistemas de defensa.

Protección contra ransomware
Ante la complejidad y gravedad del ransomware, las empresas deben diseñar cuidadosamente los mecanismos de seguridad.
Así, un correcto análisis de riesgo se traducirá en la implementación de diferentes medidas: desde la instalación de soluciones de seguridad para la detección de infecciones (antimalware), a la gestión de copias de respaldo, la protección de los procesos de autenticación o el despliegue de soluciones de sistemas de prevención, detección y monitorización, entre otros muchos.
El objetivo es poner en marcha las herramientas necesarias para crear una arquitectura de seguridad por capas, que sea decisiva a la hora de frenar esta amenaza.
Prevención y vacunación
Existen múltiples medidas para prevenir el ransomware que las empresas pueden implementar:
- Actualización del sistema y aplicaciones, con los últimos parches de seguridad
- Instalación de una solución antimalware y un cortafuegos correctamente configurado. También aparecen herramientas anti ransom específicas contra este tipo de ataques
- Puesta en marcha de un filtro antispam, ya que muchos de los ataques se distribuyen a través de campañas masivas de correo electrónico.
- Establecimiento de bloqueadores de JavaScript, capaces de bloquear la ejecución de todo código sospechoso.
Además, dado que los grupos de cibercriminales emplean cada vez más la investigación previa de víctimas potenciales, es muy recomendable emplear medidas de monitorización sobre la huella digital de la empresa. De esta forma, se aplica la cibervigilancia sobre la propia entidad como una medida preventiva que permita conocer toda la información pública que los atacantes podrían emplear contra la entidad, para intentar minimizar esta información y aplicar posibles contramedidas.
Respecto a la detección del malware, destacan herramientas como CLAUDIA, desarrollado por S2 Grupo para la detección de anomalías y usos indebidos en el puesto de usuario. Capaz de detectar malwares complejos y movimientos laterales relacionados con amenazas avanzadas persistentes (APT), ofrece rapidez y eficiencia en la investigación y resolución de incidentes de seguridad.
En este área destaca igualmente microCLAUDIA, servicio especializado en la vacunación de equipos. Válido ante nuevas campañas y amenazas, proporciona protección frente a los malware de código ransomware específicamente, con actualizaciones automáticas y en tiempo real.
Ambas herramientas, además, se nutren de detectores que forman parte del esfuerzo continuo de los analistas de S2 Grupo.
Respuestas a incidentes
Las empresas deben, asimismo, estar preparadas para responder ante potenciales incidentes.
En este sentido, deberán desarrollar políticas orientadas a:
- Identificar y contener los sistemas o dispositivos infectados tras la detección del ataque. Esto ayuda a prevenir la propagación del ransomware a otros sistemas y minimiza el impacto.
- Informar de inmediato al equipo de seguridad de la organización y a las partes pertinentes, como el equipo de T o el de gestión de incidentes y, si es necesario, a las autoridades competentes. Esto es crucial para desarrollar una respuesta coordinada y el apoyo necesario.
- Determinar la extensión del impacto del ransomware, el nivel de cifrado y el tipo de ransomware utilizado.
- Si se dispone de copias de seguridad confiables y actualizadas, restaurar los sistemas y los datos afectados a partir de ellas.
- Monitorizar el uso de los recursos materiales y humanos de la organización.
Herramientas
La amplia oferta de herramientas para combatir el ransomware brinda opciones a las organizaciones para protegerse. Sin embargo, es importante elegir soluciones confiables, mantenerlas actualizadas y complementarlas con buenas prácticas de seguridad para una protección integral contra el ransomware.
Algunas de ellas incluyen:
Descrifradores
Los descifradores (también conocidos como "decryptors" en inglés) son herramientas específicas diseñadas para descifrar los archivos cifrados por ciertos tipos de ransomware.
El objetivo es proporcionar una solución para las víctimas de ransomware y ayudarles a recuperar el acceso a sus archivos sin tener que pagar un rescate.
Herramientas de vigilancia y detección
Componentes clave en la defensa contra el ransomware, se ocupan de monitorear y analizar constantemente el tráfico de red, los sistemas y los comportamientos sospechosos para identificar y alertar sobre posibles ataques de ransomware en tiempo real.
Vacunas
Las vacunas representan mecanismos de protección que se utilizan para prevenir o mitigar los ataques de ransomware. De un modo similar a las vacunas médicas que nos protegen contra enfermedades, las vacunas de ransomware son métodos defensivos que ayudan a evitar que el ransomware infecte archivos en un sistema.
Para ello, funcionan creando archivos o entradas de registro que imitan ser objetivos potenciales para el ransomware. Estos señuelos engañan al ransomware haciéndole creer que el sistema ya ha sido infectado o que los archivos ya están cifrados, lo que puede evitar que el ransomware se ejecute o se propague correctamente.
Es aquí donde destacan herramientas como microCLAUDIA, el servicio de S2 Grupo especializado en la vacunación de equipos.
Informes sobre ransomware
¿Quieres saber más sobre ransomware, cómo han evolucionado estas amenazas hasta el día de hoy y qué pasos son imprescindibles para la protección de las organizaciones?
Descarga el informe de S2 Grupo y accede a todas las claves para comprender el ransomware hoy y cómo protegerse.

Estadísticas y datos sobre ransomware
- Según Sophos, el 53 % paga menos de lo que se exige en un inicio y el 18 % paga incluso más.
- En 2025, el pago medio y el promedio por rescate se dispararon a 1,13 millones de dólares y 400.000 dólares respectivamente, según Mcpro.
- En 2024, se produjo un incremento del 33% de los ataques de Ransomware, según Digital Inside.