Del cifrado a la extorsión multicanal: La evolución del ransomware
El ransomware representa un 5 % del total de incidentes. Sin embargo, es una de las amenazas más temidas por las empresas, porque puede paralizar su actividad.
Sobre las posibilidades de enfrentarse al ransomware, se calcula que un 20 % de los casos podría haberse evitado.
Según datos recabados por el CERT interno de Stoïk, que ha publicado los resultados de su Informe de Siniestros Cibernéticos de 2025, los atacantes permanecen alrededor de 6 días y medio en los sistemas empresariales.
Esa es la media, mientras que el tiempo máximo de permanencia llega hasta los 22 días.
Durante este tiempo, se desplazan lateralmente por la red, amplían sus privilegios de acceso, roban datos sensibles y preparan el despliegue del ransomware. Todo sin levantar sospechas.
Tal y como explica Vincent Nguyen, director de ciberseguridad en Stoïk, “los ciberdelincuentes ya no solo penetran en las compañías, cifran y se van”.
“Ahora permanecen semanas dentro, observando, robando credenciales, filtrando datos y preparando su estrategia de extorsión antes de activar el cifrado”, relata.
“En algunos casos”, amplía, “incluso detectamos comportamientos parecidos al espionaje”.
Esto es, “con atacantes que permanecen dentro de la red durante semanas recopilando información empresarial antes de desplegar el ransomware”.
Ahora los grupos de ransomware no se limitan a aplicar cifrado de datos para forzar la respuesta de sus víctimas.
La tendencia que se está implantando consiste en una extorsión multicanal, que emplea varias vías de presión a la vez.
Las táctica más frecuente es la doble extorsión, que combina cifrado y extracción de datos sensibles con una amenaza de filtración.
Los atacantes también llaman por teléfono para forzar una negociación o contactan directamente con terceros, desde proveedores y empleados a la cartera clientes.
Otros deciden lanzar ataques DDoS para que la crisis se vuelve visible a ojos de socios y clientes
Ataques de ransomware actuales se apoyan en publicaciones de pruebas en la dark web. Esto incluye información confidencial, vídeos y capturas de pantalla.
Entre los mecanismos de presión también figuran mensajes a periodistas y publicaciones en redes sociales, que amplían el daño reputacional.
“Esta evolución refleja la adaptación de los ciberdelincuentes a un entorno donde cada vez más empresas se niegan a pagar rescates, al contar con mejores herramientas y equipos especializados”, explica Nguyen.
“Como respuesta, los atacantes han ampliado sus tácticas para acrecentar la presión psicológica, reputacional y regulatoria, transformando cada incidente en una campaña coordinada de presión”, indica.
“Esto cambia por completo la gestión del incidente y ya no basta con una respuesta técnica“, advierte.
“Ahora el ransomware también debe tratarse como una crisis reputacional y humana“, de acuerdo con el director de ciberseguridad en Stoïk.
Esto implica contar con protocolos predefinidos de comunicación y prepararse para afrontar la presión pública.
Stoïk considera que las organizaciones deben aplicar tanto medidas preventivas como soluciones reactivas para controlar el riesgo al que están sometidas.
(silicon.es)
Seguiremos brindándote más información sobre este tema en las siguientes presentaciones físicas y digitales de Channel News Perú
Mantente conectado a nuestra plataforma de negocios y revista, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario
