¿Qué es el ransomware y cómo puedes evitarlo en tu empresa?

Por qué este tipo de ataque, junto con la extorsión digital, genera pérdidas que van mucho más allá de lo económico en las organizaciones.

Tan solo en 2025, y según estimaciones de Cybersecurity Ventures, los ataques de ransomware cerraron con un costo empresarial de 57 mil millones de dólares a nivel global. No fue el malware más común, pero sí el más caro. ¿Por qué esta amenaza supera a cualquier otra en impacto financiero y operativo?

La digitalización ha traído nuevos riesgos para la información de las empresas; uno de los más relevantes es el ransomware, por el impacto que puede tener en operaciones diarias, finanzas y la confianza de los usuarios.

En este artículo conocerás cómo opera este tipo de ataque, por qué genera pérdidas tan altas y qué prácticas ayudan a disminuir su impacto.

¿Qué es el ransomware y por qué se llama así?

Se forma al unir ransom que significa rescate, con ware que es producto o mercancía.  En sí, es un tipo de malware (software diseñado para dañar e infectar sistemas informáticos) creado para bloquear o cifrar una gran cantidad de datos, así el atacante extorsiona para exigir un rescate económico a cambio de liberarlos.

Piénsalo así: la información más valiosa de tu empresa queda secuestrada y fuera de tu alcance y control. De un momento a otro, no puedes acceder a tus sistemas, tus archivos están cifrados y para recuperarlos alguien te exige un pago, que generalmente es en criptomonedas.

Diferencia entre malware y ransomware

Aunque todo ransomware es malware, no todo malware es ransomware. La diferencia principal está en la intención y el impacto:

Esta distinción explica por qué el ransomware se ha convertido en una amenaza prioritaria para las empresas.

¿Cómo funciona un ataque?

• Primer paso: el atacante investiga a la empresa. Analiza sus sistemas, servicios, vulnerabilidades e incluso su capacidad financiera para calcular el monto del rescate.
• Segundo paso: busca el acceso inicial, comúnmente a través de phishing (técnica de fraude digital en la que se suplanta a una entidad confiable para robar credenciales mediante correos, mensajes o enlaces falsos) o accesos remotos mal protegidos.
• Tercer paso: una vez dentro, explora la red, identifica activos críticos y comienza el cifrado de archivos. En muchos casos, copia previamente la información para usarla como palanca de presión.
• Cuarto paso: aparece la nota de rescate, acompañada de amenazas que pueden incluir la filtración pública de los datos (doble o incluso triple extorsión).

En México, dos casos recientes ayudan a dimensionar el impacto:

• El caso PCM: Este proveedor de grandes compañías fue atacado por el grupo RansomHub, que sustrajo 3 GB de información sensible que terminó publicada en la dark web. Afectó Bimbo, Coca-Cola FEMSA, Walmart de México y Heineken.
• Filtración masiva en fiscalía estatal de Guanajuato: en noviembre de 2025, un ataque expuso más de 250 GB de información confidencial, afectando plataformas internas y la confianza institucional.

Tipos y clasificaciones

No todos los ataques funcionan igual. Existen dos formas principales: de cifrado y de bloqueo. Con el tiempo, han evolucionado en subtipos más sofisticados como la doble extorsión, el scareware (ingeniería social) y el ransomware como servicio. Cuando una empresa conoce estas variantes, puede identificar riesgos y reaccionar a tiempo.

1. De cifrado (crypto-ransomware)

Es el más común y destructivo. Cifra archivos, bases de datos y documentos, dejando el sistema operativo activo pero los datos completamente inaccesibles sin la clave de descifrado. Suele propagarse mediante phishing, accesos remotos vulnerables o software sin actualizar.

WannaCry, LockBit o Ryuk son algunos grupos y software maliciosos comunes que han atacado y paralizado operaciones completas. Aunque los atacantes prometen una clave tras el pago, no existe garantía real de recuperación.

2. De bloqueo (locker-ransomware)

Imagina que intentas usar tu computadora o celular y de pronto el equipo queda totalmente congelado. No es que tus archivos hayan desaparecido, es que te han bloqueado el acceso. Este tipo de ataque bloquea el acceso a la pantalla o al dispositivo por completo.

Aunque tus datos siguen ahí, si tu equipo no puede entrar al sistema, el negocio se detiene. Es el equivalente digital a que alguien ponga una cadena y un candado en la puerta de un local.

3. Subtipos avanzados y modelos híbridos

De acuerdo con Microsoft, IBM, y Kaspersky, con el tiempo, los atacantes han combinado técnicas para incrementar la presión y el impacto:

• Scareware: uso de falsas alertas de virus o sanciones legales para forzar pagos rápidos.
• Doxware o leakware: robo de información sensible con amenaza de hacerla pública.
• Doble extorsión: cifrado de datos más filtración como palanca de presión.
• Destrucción de datos: amenaza directa de borrar archivos si no se paga.
• Ransomware como servicio (RaaS): plataformas listas para usar que permiten a atacantes sin conocimientos técnicos lanzar campañas a gran escala.

Esta evolución demuestra que el ransonware dejó de ser un tema únicamente del área de tecnologías de información y hoy llega a ser parte de las decisiones estratégicas y directivas de una empresa.

¿Cómo se detecta un ransomware?

Detectar un ataque en sus primeros minutos puede ser la diferencia entre un susto y una tragedia financiera. Toma nota:

• Nombres extraños: De pronto tus archivos tienen extensiones que nunca habías visto (como .locky o .crypted) y no abren con nada.
• Mensajes invasivos: Aparece una nota de rescate, a veces con un cronómetro de cuenta regresiva que no puedes cerrar.
• Comportamiento errático: Si tu red se vuelve extremadamente lenta o si notas que tu computadora empieza a abrir programas por su cuenta y sin pedir autorización, es momento de actuar.

Herramientas como EDR (solución avanzada de ciberseguridad que monitorea continuamente los dispositivos), antivirus con IA y análisis de logs permiten detección temprana. La prevención empieza con actualizaciones constantes y un enfoque zero trust.

¿Cómo se elimina el ransomware?

Si ya estás bajo ataque, de acuerdo a expertos como Microsoft y Banco Santander, lo mejor que puedes hacer es:

• Aísla inmediatamente el equipo de la red.
• No pagues el rescate: solo alrededor del 20% logra recuperar los datos completos.
• Restaura desde backups offline, nunca conectados.
• Escanea con herramientas como ESET o Malwarebytes.
• Busca descifradores gratuitos en NoMoreRansom.org.

Consulta siempre a especialistas; una mala acción puede propagar el ataque.

¿Por qué es el ransomware la amenaza más costosa?

El ransomware no solo exige rescates. Genera interrupciones operativas, pérdida de ingresos, multas regulatorias y daño reputacional.

En México, representa un problema económico y de seguridad. En promedio, el costo de un ataque de este tipo puede superar los 2 millones de dólares, según Kaspersky.
En PyMEs, los daños promedio rondan 70,000 dólares, cifra que logra comprometer operaciones enteras, esto de acuerdo con el IBM X-Force Threat Intelligence Index.

¿Cómo puedes protegerte del ransomware?

La buena noticia es que puedes reducir el riesgo si actúas a tiempo. Sigue algunos pasos básicos recomendados por Microsoft, Expansión e IBM:

• Backups 3-2-1 (tres copias, dos medios, una offline).
• Capacitación continua contra phishing.
• MFA, parches y segmentación de red.
• Firewalls de nueva generación y XDR.

En México, considera la NOM-151 y evalúa seguros cibernéticos como parte de tu estrategia de negocio.

Conoce cómo puedes desarrollar habilidades para protegerte de cualquier ciberataque

Empieza a creer que puedes ser víctima del ransomware en cualquier momento, y debes de estar preparado para enfrentarlo.

Las empresas que sobreviven son las que prevén y confían en expertos capaces de ver más allá de la pantalla, anticipar el peligro y actuar con la mente fría cuando cada segundo cuenta.

Aquí es donde tu camino profesional se conecta con la adaptación de tu organización. Si buscas que tu equipo tenga las habilidades para detectar, contener y responder a ese tipo de amenazas y además destacar en un mercado donde estos incidentes aumentan, una Maestría en Ciberseguridad te ayuda a dar ese salto.

Si este artículo te ayudó a entender por qué la ciberseguridad es el reto más grande (y valioso) de nuestra era, no te quedes solo con la información: ¡conviértela en acción!

Comparte este artículo y ayuda a tu equipo a estar alerta. La seguridad es una responsabilidad compartida.

Da el siguiente paso, y descubre cómo la Maestría en Ciberseguridad puede darte las herramientas para transformar el riesgo en una oportunidad de crecimiento para tu empresa.