English
Español
Ciberseguridad7 min lectura
Ransomware en 2025: Prevención, Detección y Respuesta.
La cadena de ataque del ransomware moderno
El ransomware actual no es el virus que encripta archivos de forma inmediata. Los grupos como LockBit, BlackCat o Cl0p operan con paciencia. Pueden estar semanas dentro de tu red antes de activar el cifrado, robando datos para extorsión doble: te piden rescate por la clave Y amenazan con publicar la información.
Comprender la kill chain es fundamental para saber dónde intervenir. El MITRE ATT&CK framework documenta más de 40 técnicas utilizadas específicamente por grupos ransomware.
Fase
01
Acceso inicial
Phishing, RDP expuesto, vulnerabilidades en VPN. El vector más común es un email con un documento Office malicioso o un enlace a una página de phishing de credenciales.
Fase
02
Persistencia y escalada
Instalación de RATs, abuso de herramientas legítimas (Living-off-the-Land). Escalada de privilegios para obtener acceso de Administrador de Dominio.
Fase
03
Exfiltración de datos
Transferencia de datos sensibles antes del cifrado. Se usan servicios legítimos (Rclone, MEGAsync) para evitar detección. Este es el paso de la "extorsión doble".
Fase
04
Cifrado y demanda
Despliegue masivo del payload ransomware mediante GPO o PSExec. Encriptación de archivos, backups y shadow copies. Nota de rescate en cada directorio.
La regla 3-2-1-1-0 para backups
La regla de oro para la recuperación es la 3-2-1-1-0: 3 copias de datos, en 2 tipos de medios distintos, con 1 copia offsite, 1 copia air-gapped (sin conexión de red) y 0 errores verificados en los backups. Un backup que no se ha probado no es un backup.
Script de detección PowerShell — Extensiones
sospechosas
Detectar la aparición masiva de extensiones de archivo inusuales es una señal temprana de ransomware activo en la red.
# Alerta en tiempo real de extensiones ransomware conocidas
= "C:\Users"
= @(".locked",".encrypted",".WNCRY",".crypt",".ryuk",".lk")
= New-Object System.IO.FileSystemWatcher
.Path =
.Filter = "*.*"
.IncludeSubdirectories = True
.EnableRaisingEvents = True
Register-ObjectEvent Created -Action {
= [IO.Path]::GetExtension(.SourceArgs[1].FullPath)
if ( -contains ) {
Send-Alert "RANSOMWARE DETECTADO: "
Isolate-Host -ComputerName DESKTOP-3M7HOPP
}
}
"Pagar el rescate no garantiza recuperar los datos. El 80% de las víctimas que pagan sufren un segundo ataque."
Zenith — Fuente: Cybereason Ransomware Study
Plan de respuesta a incidente ransomware
- 01
Aislar — Desconectar inmediatamente los sistemas afectados de la red. Nunca apagar (preserva evidencia en memoria RAM).
- 02
Identificar — Determinar el alcance: qué sistemas, qué datos, qué variante. Herramientas: ID Ransomware, análisis de logs de EDR.
- 03
Notificar — Comunicar a dirección, legal y si aplica, a la AEPD (obligatorio si hay datos personales afectados en <72h).
- 04
Restaurar — Reconstruir sistemas desde imagen limpia. Restaurar desde el backup más reciente verificado y air-gapped.
- 05
Fortalecer — Post-mortem completo. Parchear el vector de entrada original. Implementar mejoras para evitar la reinfección.
Etiquetas :
