Los números que asustan
El ransomware no es una amenaza emergente. Es la amenaza dominante. Según los reportes de inteligencia de amenazas publicados por las principales firmas de ciberseguridad (CrowdStrike, Mandiant, Kaspersky), el ransomware representa el 38% de todas las amenazas detectadas en América Latina, con un crecimiento del 30% interanual en el crimen organizado cibernético.
de las amenazas en LATAM son ransomware
crecimiento anual del cibercrimen organizado
de los ataques involucran error humano
En Argentina, los sectores más afectados por ransomware son consistentes con los patrones regionales: comercio mayorista, salud y construcción encabezan la lista. No porque sean los más valiosos como objetivos, sino porque típicamente tienen las defensas más débiles y la mayor urgencia para recuperar sus sistemas (un hospital no puede operar sin su sistema de historias clínicas; un mayorista no puede despachar sin su sistema de stock).
Pero hay un dato que se repite en todos los reportes y que es la clave para entender el fenómeno: el ransomware ya no es obra de hackers solitarios. Es una industria con modelos de negocio, franquicias (Ransomware-as-a-Service), divisiones de trabajo especializadas y hasta "soporte técnico" para las víctimas que quieren pagar. Los grupos más activos en LATAM (LockBit, BlackCat/ALPHV, Cl0p, y sus sucesores) operan como empresas con ingresos anuales de cientos de millones de dólares.
Anatomía de un ataque: del phishing al rescate
El ransomware moderno no es un virus que se activa al abrir un email. Es una operación planificada que se desarrolla en semanas. Entender las fases es entender dónde y cómo defenderse.
Fase 1: Acceso inicial (Semana 0)
El punto de entrada más común sigue siendo el phishing. Un email que parece legítimo (una factura de un proveedor, una notificación de ARCA, un documento compartido desde Google Drive) contiene un enlace o adjunto malicioso. Un empleado hace clic, ingresa sus credenciales en una página falsa, y el atacante tiene el primer set de credenciales válidas.
Otras vías de acceso incluyen: RDP expuesto (el protocolo de escritorio remoto de Windows publicado a internet sin protección, que sigue siendo sorprendentemente común), vulnerabilidades sin parchear en VPNs o servidores web, y credenciales filtradas compradas en mercados de la dark web por centavos de dólar.
Fase 2: Reconocimiento y escalamiento (Semanas 1-3)
Con un punto de apoyo dentro de la red, el atacante dedica días o semanas a explorar silenciosamente. Mapea la red interna, identifica los servidores críticos (controlador de dominio, servidor de archivos, base de datos, sistema de backups), busca cuentas con privilegios elevados y extrae credenciales adicionales.
Esta fase es invisible para la víctima. El atacante usa herramientas legítimas del sistema operativo (PowerShell, WMI, PsExec) para moverse lateralmente entre equipos sin levantar alertas. Un sistema de detección tradicional (antivirus) no lo detecta porque las herramientas son legítimas. Solo un sistema de detección de comportamiento anómalo (EDR/XDR o un SIEM bien configurado) puede identificar que alguien está usando PsExec a las 3 AM para conectarse a 15 servidores en secuencia.
Fase 3: Exfiltración (Semana 3-4)
Antes de cifrar, los grupos modernos de ransomware roban datos. Copian bases de datos de clientes, contratos, información financiera, emails y documentos sensibles a servidores externos. Esto les da una segunda palanca de extorsión: si no pagás para descifrar, publican los datos. Es lo que se conoce como doble extorsión.
Algunos grupos practican triple extorsión: amenazan además con contactar directamente a los clientes o socios de la víctima para informarles de la brecha, multiplicando la presión reputacional.
Fase 4: Cifrado y demanda (Viernes 23:00)
El cifrado se ejecuta típicamente un viernes a la noche o en vísperas de un feriado largo. La razón es pragmática: menor probabilidad de detección rápida y mayor presión para pagar sin pensar demasiado.
En minutos, todos los archivos de la red quedan cifrados con algoritmos de cifrado fuerte (AES-256 + RSA). Cada carpeta contiene un archivo con las instrucciones: cuánto pagar, a qué dirección de Bitcoin o Monero, y un plazo (generalmente 72 horas) antes de que el monto se duplique. Algunos incluyen un "chat de soporte" donde la víctima puede negociar.
Los montos varían enormemente: desde USD 5.000 para una PyME hasta millones para corporaciones. Los atacantes investigan a sus víctimas y calibran el rescate según la capacidad de pago percibida. Una empresa que cotiza en bolsa paga más que un taller mecánico.
El costo real: mucho más que el rescate
Pagar o no pagar el rescate es la pregunta inmediata, pero no es la más importante. El costo total de un incidente de ransomware incluye componentes que la mayoría no considera hasta que los enfrenta.
Desglose de costos de un incidente ransomware
| Componente | Rango | Notas |
|---|---|---|
| Rescate | USD 5.000 - 500.000+ | Solo el 8% recupera todos los datos pagando |
| Downtime | USD 20.000 - 200.000 | Promedio: 21 días de recuperación |
| Forense e IR | USD 15.000 - 75.000 | Investigación + remediación técnica |
| Costos legales | USD 10.000 - 50.000 | Notificaciones, defensa, multas |
| Pérdida de clientes | USD 30.000 - 150.000 | Churn estimado 10-20% post-incidente |
| Daño reputacional | Incalculable | Recuperación: 1-3 años |
Un dato crítico: solo el 8% de las organizaciones que pagan el rescate recuperan todos sus datos (Sophos, State of Ransomware Report). El 29% recupera menos de la mitad. Pagar no garantiza nada: estás confiando en la "honestidad" de un criminal que acaba de extorsionarte.
El downtime promedio de 21 días es devastador para cualquier empresa. Tres semanas sin poder facturar, sin acceso a datos de clientes, sin sistema de stock, sin email. Para muchas PyMEs, esas tres semanas son terminales.
El eslabón más débil: las personas
El 60% de los incidentes de ransomware tienen un componente de error humano en el acceso inicial. Un empleado que hizo clic en un link, que reutilizó una contraseña, que conectó un USB encontrado en el estacionamiento, que compartió credenciales por WhatsApp.
"No existe un firewall que proteja contra un empleado que escribe su contraseña en un post-it pegado al monitor. La seguridad técnica sin concientización humana es como una bóveda con la puerta abierta."
La concientización no requiere un programa de capacitación de seis meses. Como detallamos en nuestra guía de ciberseguridad para PyMEs, los programas más efectivos son continuos, cortos y prácticos:
- Simulaciones de phishing mensuales: enviar emails de prueba y medir quién hace clic. Después, explicar qué señales de alerta tenía ese email. Las tasas de clic bajan de 30% a menos de 5% en 6 meses.
- Regla de los 5 segundos: antes de hacer clic en un enlace, parar 5 segundos y verificar el remitente, la URL y si el pedido tiene sentido.
- Canal de reporte: un email o número de WhatsApp donde cualquier empleado pueda reportar algo sospechoso sin miedo a que lo reten por "molestar". Los falsos positivos son baratos; los falsos negativos son carísimos.
- Caso del viernes: dedicar 10 minutos del último día laboral a comentar un caso real de la semana (pueden ser casos públicos, no necesitan ser propios).
Plan de defensa: las 7 medidas esenciales
1. Backup 3-2-1 con prueba de restauración
Tres copias, dos medios, una offsite. Pero el punto clave que el 90% ignora: probá el backup. Un backup que nunca se restauró es una esperanza, no una garantía. Establecé una rutina trimestral de restauración completa. Si no podés restaurar en 4 horas, tu backup no sirve para un incidente de ransomware.
Punto crítico: el backup offsite debe ser inmutable o al menos estar aislado de la red principal. Los atacantes modernos buscan y destruyen los backups antes de cifrar. Si tu backup está en un NAS conectado a la red con las mismas credenciales que el resto, va a caer con todo lo demás.
2. Segmentación de red
Si un atacante compromete una computadora, no debería poder alcanzar automáticamente el servidor de base de datos o el sistema de backups. Separar la red en segmentos (VLANs) con reglas de firewall entre ellos contiene el movimiento lateral. No es complicado: la mayoría de los switches y routers empresariales lo soportan.
3. EDR/XDR en todos los endpoints
El antivirus tradicional (basado en firmas) no detecta ransomware moderno. Un EDR (Endpoint Detection and Response) analiza comportamiento: si un proceso empieza a cifrar archivos masivamente, lo detiene. No es barato (USD 5-15/endpoint/mes), pero es la diferencia entre perder un archivo y perder todo.
4. Autenticación multifactor (MFA) universal
MFA en todo: email, VPN, RDP, paneles de administración, sistemas de backup. El 99.9% de las cuentas comprometidas no tenían MFA. Es el control de seguridad con mejor ROI que existe. Implementarlo cuesta horas; no implementarlo puede costar la empresa.
5. Gestión de parches
Las vulnerabilidades explotadas en la fase de acceso inicial generalmente tienen parches disponibles desde hace semanas o meses. Un programa de gestión de parches que aplique actualizaciones críticas en menos de 72 horas reduce dramáticamente la superficie de ataque. Automatizalo donde sea posible.
6. Plan de respuesta a incidentes
Un documento de 2-3 páginas (podes partir de nuestro checklist de ciberseguridad como base) que responda: quién toma las decisiones en un incidente, a quién se llama (IT interno, proveedor de seguridad, abogado, seguro cyber), qué se desconecta primero, dónde están los backups, cómo se comunica a clientes y empleados, y quién habla con la prensa si llega a eso.
Ensayalo al menos una vez al año con un ejercicio tabletop: el equipo se sienta en una sala, alguien describe un escenario hipotético de ransomware, y todos practican sus roles. Los 90 minutos de ese ejercicio valen más que 90 horas de lectura sobre el tema.
7. Monitoreo continuo y detección de amenazas
La fase de reconocimiento del atacante (semanas 1-3) es la ventana de oportunidad para detectar y neutralizar el ataque antes del cifrado. Un sistema de monitoreo que correlacione eventos de red, endpoints y autenticación puede identificar patrones anómalos que indican un atacante dentro de la red.
Las plataformas de seguridad automatizada modernas pueden implementar esta capacidad de detección sin requerir un SOC (Security Operations Center) interno. Escaneo continuo de vulnerabilidades, correlación de eventos en tiempo real, alertas priorizadas por riesgo y respuesta automatizada a las amenazas más evidentes son capacidades que antes requerían equipos de 10 personas y hoy pueden correr en una plataforma cloud.
Obligaciones legales en Argentina
La Ley 25.326 de Protección de Datos Personales obliga a quien trata datos personales a implementar medidas de seguridad adecuadas. Un incidente de ransomware que expone datos personales puede generar responsabilidad legal si se demuestra que las medidas de seguridad eran inadecuadas.
La Agencia de Acceso a la Información Pública (AAIP), como autoridad de aplicación, puede investigar incidentes y aplicar sanciones. Si bien el enforcement ha sido históricamente limitado, la tendencia regulatoria es hacia mayor exigencia, alineándose con el modelo europeo del GDPR.
Adicionalmente, la Ley 26.388 de Delitos Informáticos tipifica el acceso ilegítimo a sistemas informáticos y la alteración de datos. Si sufrís un ataque de ransomware, hacer la denuncia penal correspondiente (ante la fiscalía especializada en ciberdelitos) es importante no solo por la posible investigación sino como documentación para el seguro y para eventuales acciones civiles.
El CERT.ar (Centro Nacional de Respuesta a Incidentes Informáticos) también acepta reportes de incidentes y puede ofrecer asistencia técnica. El reporte es voluntario pero recomendable: contribuye a la visibilidad del problema y puede activar recursos de apoyo.
Pagar o no pagar: la pregunta del millón
Las fuerzas de seguridad y los expertos en ciberseguridad recomiendan no pagar. Las razones son sólidas: pagar financia al crimen organizado, no garantiza la recuperación de los datos, te marca como "pagador" para futuros ataques y puede tener implicaciones legales (en algunas jurisdicciones, pagar a grupos sancionados es ilegal).
Pero la realidad es más compleja. Cuando una empresa está parada, perdiendo USD 20.000 por día en ingresos, con empleados sin poder trabajar y clientes amenazando con irse, la decisión racional no siempre coincide con la recomendación técnica. El 46% de las empresas que sufren ransomware terminan pagando, según encuestas de la industria.
La mejor manera de no tener que enfrentar esa decisión es prepararse antes. Si tu backup funciona, si podés restaurar en horas en lugar de semanas, si tus datos críticos están segmentados y cifrados, la extorsión pierde su poder. El plan de defensa no es un costo: es la póliza que evita que tengas que pagar.