El ransomware ha dejado de ser el dominio exclusivo de grupos técnicamente sofisticados. El modelo Ransomware-as-a-Service (RaaS) lleva años funcionando, pero en 2026 ha alcanzado un nivel de madurez operativa que lo hace accesible a actores con conocimientos técnicos mínimos. Contratar el servicio, seleccionar objetivos y gestionar los pagos del rescate requiere menos habilidad técnica que configurar un servidor de correo corporativo.
El modelo funciona como un negocio en franquicia. Los desarrolladores del ransomware (los "operadores") crean y mantienen el malware, la infraestructura de pago y el panel de control. Los "afiliados" pagan una cuota de entrada o ceden un porcentaje de los rescates (habitualmente entre el 20% y el 30%) a cambio de acceso al kit completo: herramientas de cifrado, portal de negociación con las víctimas, soporte técnico y hasta guías de uso. Es un modelo de negocio con su propio sistema de reputación, sus reseñas de clientes y sus programas de fidelización.
Los grupos que marcan el ritmo en 2026
Akira, Black Basta y las variantes herederas de LockBit son los nombres que aparecen con más frecuencia en los informes de incidentes de este año. LockBit 5.0 incorporó en su última versión capacidades de persistencia avanzadas y técnicas de eliminación de snapshots que dificultan la recuperación sin pagar, algo que ya vimos cómo afectó a infraestructuras virtualizadas en nuestro análisis sobre los ataques a servidores VMware ESXi.
Lo que diferencia a los grupos actuales de sus predecesores no es solo la tecnología. Es la estrategia de extorsión. El cifrado de datos ya no es la única palanca: muchos grupos exfiltran los datos antes de cifrarlos y amenazan con publicarlos si no se paga. Algunos van más lejos y contactan directamente a los clientes o socios de la víctima para presionar. La extorsión se ha vuelto multicapa, y cada capa añade urgencia al cálculo de si pagar o no.
Por qué el objetivo son las pymes y la infraestructura crítica
Los grandes grupos de ransomware han aprendido a calibrar el objetivo. Los ataques a grandes corporaciones generan titulares y respuestas coordinadas de fuerzas policiales internacionales. Las pymes, en cambio, suelen tener menos recursos de seguridad, copias de seguridad menos robustas y mayor disposición a pagar rescates moderados para recuperar sus operaciones.
La infraestructura crítica (hospitales, utilities, logística) sigue siendo objetivo porque la presión operativa hace que la decisión de pagar sea más rápida. Un hospital que no puede acceder a su sistema de historiales clínicos tiene un umbral de tolerancia al tiempo de inactividad muy bajo.
En Europa, la directiva NIS2 obliga a los sectores críticos a implantar medidas de resiliencia y a notificar incidentes en plazos muy ajustados. El problema es que la transposición nacional de NIS2 avanza a velocidades diferentes según el país, y muchas organizaciones todavía no tienen claro qué les aplica y qué no.
Qué reduce el riesgo de forma real
La realidad incómoda del ransomware es que las medidas de protección más efectivas no son sofisticadas. Son básicas y conocidas, y muchas organizaciones siguen sin aplicarlas.
El primero es el backup. La regla 3-2-1 (tres copias, dos soportes distintos, una fuera del sitio) con verificaciones periódicas de restauración. Un backup que nunca se ha probado puede no funcionar cuando más se necesita. Y un backup que vive en el mismo sistema comprometido no sirve de nada.
El segundo es la segmentación de red. Si todos los sistemas de una organización son accesibles entre sí una vez dentro de la red, el movimiento lateral del ransomware es trivial. La segmentación limita el radio de explosión.
El tercero es la autenticación multifactor en todos los accesos remotos. VPN, escritorios remotos, accesos a consolas cloud: sin MFA, una credencial comprometida es un pasaporte directo al entorno.
El cuarto, y el más difícil de implementar, es la cultura. El phishing sigue siendo el vector de entrada más frecuente. Los simulacros de phishing y la formación periódica reducen la tasa de clics en correos maliciosos de forma medible.
El ransomware no va a desaparecer mientras sea rentable, y en 2026 sigue siendo uno de los negocios criminales más rentables del mundo. La pregunta no es si tu organización puede ser objetivo: con el RaaS actual, prácticamente cualquiera puede serlo. La pregunta es si cuando ocurra tienes las condiciones mínimas para recuperarte sin pagar.
0 Comentarios