Ransomware.

El ransomware cifra archivos, bases de datos, máquinas virtuales o volúmenes de almacenamiento completos y muestra una nota que exige criptomoneda a cambio de la clave de descifrado. Los operadores actuales suelen ejecutar campañas de "doble extorsión": antes de cifrar exfiltran los datos y amenazan con publicarlos en sitios de filtración si la víctima se niega a pagar. El acceso inicial se obtiene normalmente mediante phishing, portales RDP/VPN expuestos, vulnerabilidades de software o credenciales comprometidas.

Las campañas reales muestran este patrón. WannaCry (mayo de 2017) se propagó como un gusano por las redes usando el exploit EternalBlue en SMB. El incidente de Colonial Pipeline (mayo de 2021) —causado por afiliados de DarkSide que entraron a través de una contraseña de VPN filtrada y sin MFA— detuvo el suministro de combustible en toda la costa este de Estados Unidos. Semanas después, REvil explotó un día cero en el software de gestión VSA de Kaseya (CVE-2021-30116) para distribuir ransomware aguas abajo a entre 800 y 1.500 empresas en un único golpe a la cadena de suministro, y luego exigió un descifrador universal de 70 millones de dólares.

flowchart LR
  A[Acceso inicial<br/>phishing / RDP / VPN] --> B[Reconocimiento y escalada de privilegios]
  B --> C[Exfiltracion de datos]
  C --> D[Cifrado masivo]
  D --> E[Nota de rescate + amenaza de filtracion]
  E --> F{La victima paga?}
  F -->|Si| G[Quiza se entregue el descifrador]
  F -->|No| H[Datos filtrados / sistemas perdidos]

Las defensas eficaces incluyen copias de seguridad inmutables y fuera de línea, EDR/XDR, MFA en todo el acceso remoto, parcheo rápido, segmentación de red, cuentas con privilegios mínimos y un plan de respuesta a incidentes probado. Pagar no garantiza la recuperación y puede financiar nuevos ataques.