Un clic. Un archivo. Una empresa paralizada.
El 5 de marzo de 2023, el Hospital Clínic de Barcelona amaneció sin sistemas. Los ordenadores no arrancaban. Las urgencias funcionaban a mano. Las operaciones programadas se cancelaban. Los historiales médicos habían desaparecido detrás de un muro de cifrado que solo los atacantes podían abrir. El precio que pedían: 4,5 millones de dólares.
No fue un ataque de película. No hubo una sala de control con pantallas parpadeantes ni un genio informático descubriendo vulnerabilidades ocultas. Fue, en origen, algo mucho más sencillo: alguien abrió lo que no debía.
Eso es el ransomware. Un tipo de programa malicioso que cifra los archivos de un sistema y exige un rescate económico a cambio de la clave para recuperarlos. La tecnología detrás es sofisticada. El punto de entrada, casi siempre, no lo es. Y entender esa diferencia es lo que separa a las organizaciones que sobreviven a un ataque de las que no se recuperan nunca del todo.
Qué es exactamente el ransomware y cómo funciona
La palabra viene del inglés ransom (rescate) y ware (abreviatura de software). En español lo llamamos, cada vez más, programa de secuestro o código de extorsión, aunque el anglicismo sigue siendo el más extendido en la literatura técnica.
El mecanismo es, en esencia, una forma de extorsión digital. El programa entra en un sistema, busca todos los archivos accesibles (documentos, bases de datos, copias de seguridad, sistemas operativos), los cifra con una clave que solo el atacante conoce y deja un mensaje en pantalla: paga o pierdes todo. El pago se exige normalmente en criptomoneda, lo que dificulta el rastreo. Los plazos son cortos y la presión es máxima.
.png)
En los últimos años ha surgido una variante aún más agresiva: la doble extorsión. Además de cifrar los datos, los atacantes los copian antes de bloquearlos. Si la víctima no paga, amenazan con publicar esa información, convirtiendo el ataque en una filtración de datos masiva. En España, el 27% de los incidentes en 2022 ya incluían este componente. En el panorama actual, esta táctica se ha convertido en el estándar operativo de grupos como LockBit, elevando la presión no solo al bloqueo de archivos, sino a la destrucción reputacional de la entidad.
Un negocio criminal perfectamente organizado
La imagen del ciberdelincuente solitario tecleando en un cuarto oscuro no describe lo que ocurre realmente. El ransomware moderno es el producto de ecosistemas criminales organizados, con una división del trabajo tan clara como la de cualquier empresa de tecnología.
Existe el modelo RaaS, que en español vendría a ser ransomware como servicio. Funciona exactamente igual que el modelo de suscripción de cualquier plataforma tecnológica: unos desarrollan el programa malicioso, otros lo alquilan a terceros que realizan los ataques, y los beneficios se reparten según acuerdos preestablecidos. Los clientes de este servicio no necesitan conocimientos técnicos avanzados. Solo necesitan acceso al programa y a las instrucciones.
Grupos como LockBit, que llegó a atacar más de 1.000 organizaciones en 2023, o BlackCat han operado bajo este modelo durante años. En España, LockBit fue el responsable de ataques contra el Ayuntamiento de Sevilla (5.000 equipos bloqueados durante 40 días, rescate exigido de un millón de euros), Telepizza, Globalcaja y varios organismos públicos. No son incidentes aislados: son operaciones planificadas, ejecutadas con metodología y orientadas al beneficio económico.
La rentabilidad del negocio es extraordinaria. En 2024, un único grupo criminal recibió un pago de rescate de 75 millones de dólares, el más alto registrado públicamente hasta esa fecha. Los ataques de extorsión aumentaron un 58% en términos de víctimas listadas en foros de filtración. Y los sectores más afectados globalmente son los que menos pueden permitirse dejar de funcionar: sanidad, educación, infraestructuras críticas y servicios financieros.
España: más expuesta de lo que parece
España ocupa la quinta posición mundial en número de ataques de ransomware registrados en el primer semestre de 2024, según el informe de S21sec, con 58 incidentes documentados en seis meses, un 23% más que en el mismo periodo del año anterior. Los ataques crecieron un 72% entre 2023 y 2024, el mayor incremento entre los países europeos analizados.
Detrás de esas cifras hay una realidad incómoda. El 68% de las empresas españolas no tenía soluciones de respaldo adecuadas frente a incidentes a finales de 2023. El 35% de las pymes carecía de medidas de ciberseguridad básicas. Y la tasa de denuncia sigue siendo tan baja que las estadísticas oficiales apenas reflejan la dimensión real del problema.
Los casos más notorios del último par de años muestran que nadie queda al margen. El Hospital Clínic de Barcelona tardó semanas en recuperar la normalidad y nunca recuperó todos los datos sustraídos. El Ayuntamiento de Sevilla estuvo 40 días con los sistemas bloqueados. El INIA-CSIC dejó a más de 600 trabajadores sin acceso a sus equipos durante semanas. Medios de Prevención Externos Sur, empresa subcontratada por la Guardia Civil, vio comprometidos los datos médicos y personales de decenas de miles de agentes. Douglas, la cadena de perfumerías, alertó a sus clientes españoles tras un incidente que expuso sus datos.
La lista se alarga cada año. Y la mayoría de los incidentes que no llegan a los medios nunca llegan tampoco a las estadísticas.
El vector de entrada que nadie quiere reconocer
Aquí está el dato que más incomoda a quienes diseñan estrategias de ciberseguridad: el 61% de los ataques de ransomware entran por correo electrónico con contenido fraudulento. El 31% se aprovecha de un servidor sin actualizar. El resto llega por credenciales robadas, accesos de terceros o ataques de fuerza bruta sobre contraseñas.
Tres de esas cuatro vías tienen en común que dependen, en mayor o menor medida, de una decisión humana. Alguien que abre un archivo adjunto que no debería abrir. Alguien que no aplicó la actualización de seguridad disponible desde hace semanas. Alguien que usó la misma contraseña en varios servicios.
No es una cuestión de descuido o ignorancia. Es una cuestión de probabilidades y momento. Los grupos criminales que distribuyen ransomware envían millones de correos. No necesitan que todos funcionen. Con que uno de cada mil destinatarios haga clic en el momento equivocado, la operación es rentable. Y ese momento equivocado puede ser cualquiera: el lunes por la mañana con la bandeja llena de mensajes, el viernes por la tarde con las defensas bajas, el instante en que un correo llega con el nombre exacto de un proveedor conocido y un archivo que parece un presupuesto.
El Hospital Clínic no cayó porque tuviera peores sistemas que otros hospitales. Cayó porque alguien, en algún momento, interactuó con algo que no debía. Eso no convierte al empleado en el culpable: convierte a la organización en responsable de no haber construido suficientes barreras antes, durante y después de ese momento.
Lo que ocurre después del clic
Una vez que el programa malicioso entra en un sistema, actúa con rapidez y discreción. Antes de cifrar nada, suele pasar días o semanas moviéndose lateralmente por la red, escalando privilegios, identificando los sistemas más críticos y, en los ataques de doble extorsión, extrayendo copias de los datos más valiosos.
Cuando llega el momento, el cifrado se activa. Puede afectar a miles de equipos en minutos. Los archivos quedan inaccesibles. El mensaje de rescate aparece en pantalla. La organización se enfrenta a una decisión para la que, habitualmente, no estaba preparada. Pagar no es la solución definitiva que parece. En 2022, solo el 36% de las empresas que pagaron el rescate lograron recuperar todos sus datos. Al 21% la clave de descifrado no le funcionó y el 14% recibió una segunda extorsión tras el primer pago. La conclusión es clara: pagar no garantiza nada y, en muchos casos, solo financia la siguiente oleada de ataques.
La recuperación: más larga y cara de lo que se calcula
Las organizaciones que no pagan tienen que afrontar la recuperación desde cero. En el mejor de los casos, eso significa restaurar sistemas desde copias de seguridad recientes, limpiar la red de posibles puertas traseras que los atacantes hayan dejado activas y verificar que la integridad de los datos recuperados es completa.
En la práctica, el proceso es mucho más complicado. El coste medio de recuperación de un ataque de ransomware para una gran empresa española ascendió a 2,73 millones de dólares en 2024. Para una pyme, las pérdidas pueden oscilar entre 2.000 y 50.000 euros, según el alcance del daño. Pero el coste económico directo es solo una parte: hay que sumar la pérdida de clientes, el daño a la reputación, las obligaciones legales de notificación de brechas de datos y, en sectores como la sanidad, el impacto directo en la vida de las personas afectadas.
El Hospital Clínic tardó meses en volver a la normalidad. Durante ese tiempo, los atacantes fueron publicando datos de pacientes de forma periódica, lo que prolongó el impacto más allá de la restauración técnica de los sistemas.
Lo que protege de verdad
La buena noticia es que la defensa frente al ransomware no requiere tecnología milagrosa. Requiere orden, disciplina y una cultura organizacional que tome en serio la seguridad antes de que llegue el problema.
Copias de seguridad reales
Una copia de seguridad útil frente al ransomware cumple tres condiciones: es reciente, está almacenada en un lugar desconectado de la red principal (para que el programa no pueda cifrarla también) y ha sido probada. Una copia que nunca se ha probado puede no funcionar en el momento crítico. El 68% de las empresas españolas seguía sin soluciones de respaldo adecuadas a finales de 2023: ese es el dato más relevante para entender por qué tantos ataques acaban en rescate o en pérdida de datos.
Actualización sistemática de sistemas
El 31% de los ataques aprovechan vulnerabilidades en servidores sin actualizar. Muchas de esas vulnerabilidades tienen parches disponibles desde semanas o meses antes del ataque. Mantener los sistemas actualizados no elimina todos los riesgos, pero sí cierra algunas de las puertas más utilizadas.
Formación orientada al comportamiento
Informar a los empleados de que existe el correo fraudulento no es suficiente. La formación eficaz simula situaciones reales, mide cómo reacciona cada persona y trabaja sobre los comportamientos concretos que producen errores. Un simulacro de correo malicioso bien diseñado enseña más que diez presentaciones en PowerPoint.
También es necesario que los empleados sepan qué hacer cuando detectan algo sospechoso: a quién avisarlo, cómo actuar, qué no hacer. La rapidez de respuesta en los primeros minutos puede determinar si el ataque se contiene en un equipo o se extiende por toda la red.
Control de accesos y principio de mínimo privilegio
Un empleado que solo puede acceder a los archivos que necesita para su trabajo limita automáticamente el alcance del daño si su equipo queda comprometido. El principio de mínimo privilegio, que consiste en dar a cada usuario acceso solo a lo estrictamente necesario, es una de las medidas de contención más efectivas y menos aplicadas en empresas medianas y pequeñas.
Plan de respuesta ante incidentes
Ninguna organización debería descubrir qué hacer durante un ataque. El plan de respuesta debe existir antes, estar documentado, ser conocido por las personas responsables y haber sido ensayado. Eso incluye saber a quién llamar en el banco si hay que bloquear transferencias, qué sistemas aislar primero, cómo comunicar el incidente internamente y, si hay datos personales afectados, cuándo y cómo notificarlo a la Agencia Española de Protección de Datos (AEPD).
Cuando hay datos personales afectados, el plan de respuesta debe ser inmediato. No se trata solo de una decisión operativa, sino de una obligación legal: las empresas deben notificar la brecha a la AEPD en un plazo máximo de 72 horas, tal como estipula el RGPD, para evitar sanciones adicionales que pueden agravar el impacto económico del propio ransomware.
Segmentación de red
Si todos los sistemas de una organización están conectados entre sí sin barreras internas, un solo equipo comprometido puede convertirse en la puerta de entrada a todo. La segmentación divide la red en zonas estancas, de modo que un ataque que entra por un equipo administrativo no llegue automáticamente a los sistemas de producción o bases de datos. Además de ser una recomendación técnica crítica, en España esta medida es un requisito bajo el Esquema Nacional de Seguridad (ENS) para aquellas organizaciones que prestan servicios a la administración pública o manejan datos críticos, lo que convierte esta práctica en una obligación legal para garantizar la resiliencia del sistema.
¿Pagar o no pagar? La pregunta que nadie quiere hacerse antes de necesitar la respuesta
Las autoridades de seguridad de la mayoría de los países, incluida España, recomiendan no pagar el rescate. Las razones son varias: pagar financia a los grupos criminales, no garantiza la recuperación de los datos, puede tener implicaciones legales si el grupo receptor está en listas de sanciones internacionales, y en muchos casos activa una segunda extorsión.
Sin embargo, cuando una organización lleva días sin sistemas, con clientes sin servicio, empleados sin poder trabajar y sin copias de seguridad recientes, la presión para pagar puede ser enorme. La decisión, en ese momento, no la toma la lógica: la toman el pánico y la desesperación.
La única forma de tomar esa decisión con serenidad es haberla pensado antes. Definir cuál es el umbral de tolerancia, conocer las implicaciones legales, tener alternativas de recuperación preparadas y haber calculado el coste real de cada opción. Las organizaciones que se hacen esas preguntas antes del ataque están en una posición radicalmente distinta a las que las descubren en mitad de la crisis.
Denunciar: la pieza que falta en el sistema
España registra una tasa de denuncia de ciberdelitos extraordinariamente baja. Las empresas que sufren un ataque de ransomware con frecuencia prefieren absorber la pérdida en silencio antes de hacer pública la vulnerabilidad. Eso es comprensible desde el punto de vista de la reputación a corto plazo. Pero tiene un coste sistémico muy alto.
Sin denuncias no hay estadísticas reales. Sin estadísticas no se justifican recursos para las unidades especializadas. Sin recursos no hay investigación. Y los grupos criminales siguen operando con una tasa de impunidad cercana al 98%.
Hoy es posible denunciar telemáticamente a través del portal de la Policía Nacional y de la Guardia Civil, lo que elimina muchas de las barreras logísticas que antes desincentivaban el proceso. No obstante, es vital recordar que el INCIBE pone a disposición de las empresas el 017, una línea de ayuda gratuita y confidencial para la gestión inmediata de incidentes.
A pesar de estas herramientas, los grupos criminales operan con una tasa de impunidad cercana al 98%. Denunciar no devuelve los datos. Pero contribuye a construir el sistema que puede, con el tiempo, reducir la frecuencia de los ataques.
La pregunta que toda organización debería hacerse hoy
Si mañana amanecieran mis sistemas cifrados, ¿Cuánto tardaría la organización en volver a funcionar? ¿Desde qué fecha serían las últimas copias de seguridad? ¿Quién sabría qué hacer en las primeras dos horas? ¿Hay un plan o habría improvisación bajo presión?
Esas preguntas tienen respuesta. Encontrarla antes de que haga falta es la diferencia entre un incidente gestionable y una crisis que deja cicatriz.
El ransomware no va a desaparecer. Los grupos criminales que lo despliegan tienen recursos, organización e incentivos económicos muy poderosos. Pero la mayoría de los ataques que tienen éxito no lo tienen porque sean irresistibles: lo tienen porque encuentran una puerta abierta. Cerrar esas puertas, una a una, es perfectamente posible. Y empieza por entender que la primera puerta, casi siempre, es humana.
#Ciberseguridad #Ransomware #SeguridadEmpresarial #FraudeDigital #Directivos #RRHH #Pymes #TransformaciónDigital