Los ataques de ransomware se han posicionado como una de las amenazas más recurrentes que los cibercriminales utilizan para afectar a potenciales víctimas de todo el mundo, ya sean organizaciones, empresas o personas individuales.

Se trata de un tipo de malware o código malicioso que los atacantes usan para tomar el control de los sistemas infectados e impedir que estos puedan ser ocupados con normalidad.

Por lo tanto, de esta manera, pueden “secuestrar” los equipos mediante métodos como cifrar información relevante o bloquear la pantalla, por mencionar algunos ejemplos.

Luego, extorsionan a las víctimas y exigen dinero para que sus dispositivos o sistemas puedan volver a operar.

La líder global en soluciones innovadoras de ciberseguridad, Sophos, publicó recientemente su informe Sophos Active Adversary Report 2025, el cual detalla el comportamiento y las técnicas de los atacantes en más de 400 casos ocurridos en 2024.

En dicha revisión, la firma detectó que los cibercriminales pueden tomar el control de un sistema en solo 11 horas.

Este tipo de ciberataques se han detectado tanto en Chile como en el resto del mundo.

La empresa global de ciberseguridad y privacidad digital, Kaspersky, reportó en su Panorama de Amenazas de este año que en los últimos 12 meses se bloquearon más de 1.100.000 ataques de ransomware en América Latina.

En ese mismo periodo, se frustraron unos 43.000 solo en Chile, de acuerdo a los datos de la compañía.

Es por esto que las medidas de prevención son esenciales para eludir estos peligros, los cuales pueden comprometer información personal delicada o esencial para el funcionamiento de una empresa o institución.

El CISO de campo en información sobre amenazas de Sophos, John Shier, quien cuenta con más de dos décadas de experiencia en el ámbito de la ciberseguridad y es autor del informe anual Active Adversary Report, conversó con La Tercera sobre cómo operan estos ciberataques y qué medidas se pueden tomar para evitarlos.

Cómo operan los ciberataques de ransomware

Shier explica que los ciberataques de ransomware inician principalmente a través de dos vías: la explotación de vulnerabilidades de los sistemas y el uso de credenciales robadas o comprometidas.

“Hay otras formas. Por ejemplo, si buscas una herramienta, la descargas y la ejecutas, a veces contienen malware que compromete tu equipo. Y esa también es una manera que usan para entrar. En esos casos, los grupos criminales pagan para que su herramienta tenga mejor clasificación o buscan una herramienta legítima y crean un paquete similar (para que la descargues) y puedan acceder”.

Sin embargo, agrega el experto, las más comunes son las dos primeras mencionadas.

“Daré un ejemplo. A menudo vemos dispositivos externos como firewalls y dispositivos VPN comprometidos, lo que permite a un delincuente acceder directamente al entorno. Simplemente entran por la puerta principal con un exploit, y una vez dentro, comienzan a operar”.

“Otra forma es explotar un dispositivo VPN, por ejemplo. El exploit les permite recopilar todas las credenciales almacenadas en el dispositivo que tienen permiso de acceso. Supongamos que tienes un nombre de usuario y una contraseña para acceder al dispositivo VPN que luego accede al entorno, generalmente vinculado a Active Directory. El exploit descargará todas esas credenciales y las usará para volver a iniciar sesión”.

Los ciberdelincuentes pueden obtener credenciales para acceder a sistemas a través de métodos como los ataques de phishing, en los cuales se hacen pasar por fuentes confiables para robar información personal o confidencial.

Usualmente, se hacen pasar por bancos, tiendas o aplicaciones conocidas, por mencionar algunos ejemplos, para así pedirte de manera fraudulenta que hagas una acción determinada y luego terminen teniendo acceso a tus datos o a tus cuentas.

Shier comenta que es común que los ciberdelincuentes prueben credenciales de acceso que han sido vulneradas para entrar en otros espacios digitales vinculados a las mismas víctimas en cuestión.

Por ejemplo, si ya consiguieron los datos para entrar a la cuenta de LinkedIn de una persona, posteriormente pueden probar estos mismos en la cuenta de la empresa para la que trabaja esa persona.

Este es uno de los motivos de por qué los expertos generalmente recomiendan tener diferentes contraseñas para diferentes cuentas, además de elegir claves que no sean predecibles, entre otras medidas.

“​​Y si no tienes autenticación multifactor, entonces, de nuevo, el nombre de usuario y la contraseña están directamente en la puerta principal”, advierte Shier.

El especialista de Sophos comenta que, en ciertos casos, los cibercriminales que terminan los ataques de ransomware no siempre son los que los inician.

Los delincuentes pueden robar credenciales a través de lo que se denomina un infostealer (o ladrón de información).

En términos sencillos, se trata de un software malicioso que pueden traspasar a través de técnicas de phishing, archivos adjuntos, o sitios web comprometidos mediante lo que se conoce como envenenamiento por SEO. Esta última es una manera que utilizan para resaltar páginas web maliciosas en motores de búsqueda como Google o Bing.

“Una vez que lo introducen en tu equipo, buscan todo lo que consideran relevante. Pueden ser nombres de usuario y contraseñas, pero también monederos de criptomonedas o cualquier otra cosa que puedan obtener. Lo toman todo y luego lo venden a otros criminales”.

En los casos de los sistemas de empresas u organizaciones, los ataques de ransomware pueden llevar a que los cibercriminales obtengan las credenciales para crear, eliminar o deshabilitar las cuentas de otros administradores, entre otras acciones.

Generalmente, buscan conseguir cada vez más facultades a partir de un acceso que ya pudieron obtener, para así comprometer la mayor cantidad de información hasta llegar a los datos más relevantes y recopilarlos.

Una vez que los tienen, pueden cifrarlos para extorsionar a las víctimas y exigir dinero.

“Hasta ese momento todo es silencioso. Si sabes qué buscar, los verás moviéndose por tu red, pero su idea es no ser muy ruidosos hasta concretar el ataque de ransomware”, agrega el especialista de Sophos.

El principal objetivo de los cibercriminales que efectúan ataques de ransomware es obtener dinero, ya sea de compañías, organizaciones o personas individuales.

Cómo evitar ser víctima de un ataque de ransomware

En el caso de las empresas, Shier dice que para evitar un ataque de ransomware “es fundamental asegurarse de utilizar algún tipo de autenticación multifactor sólida y resistente al phishing, ya que si los nombres de usuario y las contraseñas son robados, los cibercriminales tendrán muchas dificultades para usar esas credenciales en la red”.

Aclara que con ello no se refiere únicamente a, por ejemplo, los dígitos que aparecen en el teléfono celular cuando se trata de iniciar sesión, sino que también a medidas de protección adicionales como usar YubiKeys, es decir, dispositivos físicos utilizados para la autenticación.

De la misma manera, recomienda a las compañías estar al tanto de “parchar la superficie externa”.

“Esto no significa que no puedan encontrar una forma de atacar. Pero al menos, si tu firewall, tu dispositivo VPN, tus servidores web, cualquier cosa accesible al público, está parchada y es robusta, puedes añadir capas adicionales”.

Shier agrega que, para las empresas, también es relevante “no publicar todo en Internet”.

“Veo compañías que instalan servidores RDP directamente en Internet. Entiendo que podría ser conveniente, ya que podría proporcionarles la capacidad de trabajar de forma remota y cosas así. Pero para los delincuentes es muy fácil acceder por fuerza bruta a servidores de este tipo, y lo vemos constantemente”.

El especialista afirma que es crucial revisar estos puntos, ya que pueden ocurrir casos en los que “un error, una mala configuración o que alguien estuviera probando algo y simplemente no se diera cuenta” de que hizo cambios, puede comprometer la seguridad de los sistemas.

Respecto a cómo las personas individuales pueden evitar ser víctimas de ataques de ransomware, detalla que primero es importante considerar que, actualmente, los intentos de fraude pueden ser altamente sofisticados.

Por ejemplo, los delincuentes pueden utilizar inteligencia artificial (IA) generativa para crear textos sin errores ortográficos ni gramaticales, mientras que también pueden recurrir a deepfakes para suplantar la identidad de fuentes confiables y así tratar de engañar.

“He visto que algunos incluso usan información de otras filtraciones sobre ti. Supongamos que tu nombre e información han sido objeto de una filtración, como tu correo electrónico, tu número de teléfono o tu dirección. Tomarán esos datos, los empaquetarán con el logotipo de tu operador móvil y la enviarán en un supuesto ‘PDF’, el cual en realidad es malware cuando haces clic”.

Para las personas individuales, Shier recomienda tener activada autenticación multifactor en todas las cuentas, así como poner claves de acceso.

“Lo que siempre le digo a quienes me rodean es que vayan despacio, que se dediquen un par de minutos más a revisar antes de hacer clic en un mensaje o abrir un archivo adjunto de un correo electrónico que podría ser de phishing”.

“Paren y pregúntense: ‘¿Qué es esto? ¿Qué me está diciendo?’. El phishing usualmente hace un llamado a la acción urgente, intenta que hagas algo. Por ejemplo, dicen: ‘Vamos a cortar su servicio, debe actuar ahora y hacer clic en esto’”.

“Si vas más despacio, puedes ver que, en primer lugar, te están diciendo que tienes que hacer algo. Ahí puedes preguntarte: ‘¿Soy cliente de este operador móvil? ¿Uso esta red? ¿Cómo puedo verificar si esto es real?’. Bueno, puedes abrir una ventana en el navegador, escribir el nombre del operador móvil e iniciar sesión en tu cuenta, o buscar un número de teléfono en el sitio web oficial y llamar”.

Shier enfatiza que la importancia de ir más despacio radica en que “te da tiempo para pensar y alejarte de la presión de la urgencia”.

Asimismo, por ejemplo, si te llega un mensaje que parece “demasiado bueno para ser verdad y te pide que hagas algo”, también es aconsejable detenerse y evaluar la situación con cautela antes de realizar alguna acción.

Por otro lado, para los casos en los que los delincuentes se hacen pasar por cercanos para exigir que se realice una acción, Shier recomienda tener códigos de seguridad previamente acordados de palabra.

“A modo de ejemplo, si un familiar se va de viaje y te preocupa recibir una llamada así, dígale con antelación: ‘Si alguna vez tienes problemas y necesitas llamarme, usa este código que solo nosotros conocemos’. Cuando los estafadores llamen y usted le pregunte cuál es, no lo sabrán”.

A esto se le suma, tanto para las personas individuales como para las empresas, tener cuidado con la información que se comparte en redes sociales y contar con múltiples copias de seguridad de los archivos y datos que son de relevancia.

Por ejemplo, se pueden tener como mínimo tres en dos medios diferentes y una en una ubicación sin conexión, para así disminuir el riesgo de que los pierdas completamente en caso de que los delincuentes tomen el control de tus equipos o cuentas.

Contar con tecnologías preventivas, como programas o aplicaciones de seguridad verificadas, también es un elemento fundamental.

Aunque distintos servicios ya cuentan con medidas de seguridad, Shier sugiere que adoptar más por cuenta propia y bajo modalidad de pago también puede contribuir a la prevención.

“¿Costaría dinero? Claro, pero como con todo, tú decides el valor de lo que proteges. Es como contratar un seguro para tu casa para proteger los objetos de valor que tengas dentro. Por ejemplo, si tienes la Mona Lisa, vas a contratar más que un simple seguro, vas a tener trampas láser, cámaras y guardias de seguridad”.

“Y creo que lo mismo ocurre con la vida digital. Si hay cosas que consideras más valiosas que otras, o cosas de las que no puedes prescindir, existen muchos servicios que pueden ayudarte a protegerlas, y tú decides si quieres invertir ese dinero o el tiempo en buscarlos”, sentencia Shier.