loader image

Ransomware 2025

El manual definitivo para entender (y sobrevivir) al secuestro digital

“Si no has sufrido un ataque de ransomware, es porque todavía no eres lo bastante interesante… o porque hoy fue el turno del vecino.” — Red Team de Infinity SPA


1. Por qué hablar de ransomware hoy y no ayer

El ransomware sigue batiendo récords. En el Q1-2025 se registraron 74 grupos diferentes publicando víctimas en sus sitios de filtración —el mayor número desde que existen estos “tablones de la vergüenza” blog.checkpoint.com. LockBit, tras su operación policial, ya anunció LockBit 4.0 con nuevas rutinas híbridas de cifrado y automatización oscura thecyberexpress.comlockbitdecryptor.com. El recuento de fugas publicadas por los propios criminales muestra 1 312 ataques en el Q4-2024, un salto interanual del 11 % security.com.

El negocio es tan bueno que moverá US $ 57 000 millones este año y, de mantenerse el crecimiento de 30 % anual, alcanzará US $ 275 000 millones en 2031 elastio.com.


2. Ecosistema criminal 2025: RaaS, IABs y “triple extorsión”

Componente Qué aporta al ataque 2025 en números
RaaS (Ransomware-as-a-Service) “Franquicia” lista para usar: builder, panel, soporte y canal de pago LockBit 4.0, BlackCat/ALPHV, RansomHub dominan el 34 % de las filtraciones públicas cyfirma.comunit42.paloaltonetworks.com
IABs (Initial Access Brokers) Venden acceso inicial (RDP, VPN, credenciales O365) 1 de cada 4 ataques parte con accesos comprados deepstrike.io
Triple Extorsión Cifrar + robar + DDoS/hostigamiento a clientes/proveedores 85 % de las organizaciones golpeadas sufren un segundo ataque en < 6 meses sqmagazine.co.uk

3. Anatomía técnica de un ataque moderno

La pieza de malware es la punta del iceberg; el resto es ingeniería, paciencia y muy buena OPSEC.

3.1 Vector de intrusión

  1. Phishing focalizado: 72 % de los accesos iniciales aún llegan por correo deepstrike.io.

  2. Explotación de CVE: el 32 % explota vulnerabilidades expuestas en perimeter (VPN, firewalls, ESXi) security.com.

  3. Supply chain & MSP: comprometer a tu proveedor de TI garantiza privilegios con firma digital incluida.

3.2 Movimiento lateral y escalamiento

  • Credential dumping (Mimikatz, LSASS) → Kerberoasting → DCsync.

  • BYOVD: se carga un driver legítimo pero vulnerable para desactivar EDR en kernel mode (ej.: BioNTdrv.sys CVE-2025-0289) dailysecurityreview.comcybersecuritydive.com.

  • AD CS abuse: plantillas de SmartCard enroladas a la fuerza para lograr Golden Certificates.

3.3 Cifrado & exfiltración

  • Intermittent Encryption: cifra solo bloques alternos (e.g., cada 0x800 bytes) → 6× más rápido y pasa bajo el radar EDR networkcomputing.comshardsecure.com.

  • Hybrid crypto: AES-256 + RSA-4096 con threads masivos (LockBit 4.0) lockbitdecryptor.com.

  • Canales de fuga: Rclone-S3, FTP sobre IPv6 ofuscado y DNS-over-HTTPS, llegando a 500 GB por brecha en promedio deepstrike.io.

3.4 Extorsión y negociación

  • Chat Tor bilingüe, cronómetro de “early bird discount” y prueba de vida con tres archivos descifrados.

  • Amenazas de alertar a reguladores si no pagas (GDPR, Ley 21.663 de Chile).


4. Casos de estudio 2024-2025

Víctima Sector Vector Grupo Impacto
Boeing Aeroespacial VPN sin parche LockBit Filtración de planos y demora de entregas apnews.com
Hospital regional (EEUU) Salud Phishing a proveedor BlackCat 12 días sin sistema clínico, pacientes desviados
Municipio latinoamericano Gobierno RDP expuesto RansomHub Pausa en pago de sueldos, rescate US $ 700 k cyfirma.com

5. Estadísticas clave 2025 (lo que duele en el presupuesto)


6. Defensa hardcore: arquitectura y procesos que sí funcionan

6.1 Zero Trust y segmentación

  • Autenticación MFA/FIDO2, micro-segmentación (SD-WAN, VLAN-per-app), políticas “deny all” por defecto.

  • Bloquear drivers no confiables (lista MS Driver Block), prevenir BYOVD.

6.2 Visibilidad y respuesta

  • EDR¶XDR con detección de event carving, DLL-sideload y patrones de cifrado rápido.

  • SOAR: playbooks automáticos → aislamiento de host, revocación de tokens AD, snapshot en hipervisor.

6.3 Backups inquebrantables

  1. Copias locales inmutables (Object Lock) + off-site offline.

  2. Test restores mensuales (RTO ≤ 4 h, RPO ≤ 1 h).

  3. Replica en cold-site con credenciales distintas.

6.4 Gestión de vulnerabilidades

  • Patching continuo (SLA 7-días CVSS > 8).

  • “Virtual patching” (WAF/IPS) para 0-day.

6.5 Hardening de identidades

  • Rotación automática de credenciales privilegiadas (PAM).

  • Bloqueo de NTLM v1 y LDAP simple bind.

6.6 Resiliencia cloud & contenedores

  • Escaneos IaC → evitar secretos en Terraform.

  • Backup de snapshots EBS con AWS Backup Vault Lock.

  • Protección del plano de control Kubernetes (RBAC mínimo, Pod Security Standards).


7. Marco chileno: Ley 21.663 y obligaciones de reporte

Desde abril 2024, la Ley Marco de Ciberseguridad e Infraestructura Crítica (21.663) obliga a servicios esenciales y operadores de importancia vital a:

  • Alertar al CSIRT Nacional en ≤ 3 h tras detectar un incidente significativo y emitir un informe final en ≤ 15 días .

  • Mantener planes de continuidad y ciberseguridad certificados cada dos años .

  • Designar un Delegado de Ciberseguridad y registrar auditorías internas.

No reportar implica multas de hasta 40 000 UTM y responsabilidad administrativa. Así que, además de salvar los datos, hay que salvar la billetera.


8. Framework Infinity SPA para resistencia total

Fase Objetivo Herramientas & práctica
1. Prevent Reducir superficie Pentest continuo, threat-hunting, SD-WAN segmentado, phishing-drills
2. Detect Visibilidad 24/7 SOC Infinity X, AI-EDR, honeypots, intel feed RaaS
3. Respond Contener y erradicar Playbooks SOAR, memoria forense, derribo de tokens, snapshot-rollback
4. Recover Volver al negocio Restore inmutable, retest gratis (política Infinity)
5. Improve Lecciones & compliance Post-mortem, hardening, mapeo CSF / MITRE, reporte Ley 21.663

9. Checklist técnico rápido (guárdalo en tu runbook)

  1. MFA en TODAS las cuentas, admin y VPN.

  2. Bloqueo de drivers BYOVD (MS Revoked List + LOLDrivers).

  3. Parcheo automático de ESXi y VPN SSL.

  4. Backups offline + inmutables + restore test mensual.

  5. Segmentación: Workload-to-Workload micro-seg + App Gateway.

  6. Alertas de comportamiento de proceso (cifrado masivo, shadow copy delete).

  7. Doble revisión de plantillas AD CS.

  8. Reglas de firewall egress (bloquea Rclone, MEGA, TOR).

  9. Clasificación y cifrado de datos en reposo (TLS 1.3 interno).

  10. Simulacros de ransomware trimestrales con board & DevOps.


10. Conclusión

El ransomware de 2025 combina automatización IA, modelo de negocio RaaS y nuevas técnicas como BYOVD e Intermittent Encryption. El resultado es un ataque más veloz, más sigiloso y más rentable para los ciberdelincuentes.

La buena noticia: 80 % del daño se puede evitar con controles básicos bien implementados —Zero Trust, backups inmutables, monitoreo 24/7— y con un SOC capaz de pasar del log a la contención en minutos.

En Infinity SPA vivimos en modo ofensivo para que tú puedas dormir tranquilo. Hablemos:

“Pagar un rescate es opcional; prepararte para no necesitarlo es obligatorio.” — Equipo Infinity SPA

Open chat
1
InfinitySPA
Hola 👋 ¿Necesitas ayuda de un asesor de ventas?