IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Cómo se ve un ransomware moderno por dentro: de la intrusión al cifrado

13/07/2026 4 min de lectura Rubén Espinoza

En el imaginario popular, el ransomware es un instante: una pantalla roja que aparece de golpe exigiendo un pago en criptomonedas. La realidad es mucho menos cinematográfica y mucho más inquietante. Cuando aparece la nota de rescate, el atacante llevaba días o semanas dentro de la red —mirando, moviéndose, preparándose—. El cifrado no es el ataque: es el final del ataque. Entender lo que pasa antes es lo que cambia dónde conviene poner las defensas.

Un ataque no es un evento, es una campaña

El ransomware moderno sigue una secuencia de etapas que se mapean casi punto por punto con las tácticas de MITRE ATT&CK. En grandes trazos:

  • Acceso inicial: la entrada. Un correo de phishing, una credencial robada, o —muy frecuente— una vulnerabilidad conocida sin parchar, que hoy es el principal vector de acceso a las brechas.
  • Persistencia y escalamiento: el atacante se asegura de no perder el acceso y busca privilegios más altos —idealmente, cuentas de administrador—.
  • Movimiento lateral: salta de un equipo a otro, cartografiando la red, buscando los servidores y los respaldos. Esta etapa, silenciosa, es donde pasa la mayor parte del tiempo.
  • Exfiltración: antes de cifrar, se roba una copia de los datos. Esto habilita la "doble extorsión": no solo te bloquean, también amenazan con publicar tu información.
  • Cifrado (el impacto): ahora sí, se cifra todo a la vez —incluyendo, si los encontró, los respaldos en línea—. Recién aquí aparece la nota.

Por qué esto cambia tu estrategia

Si el ransomware fuera solo el momento del cifrado, la única defensa sería impedir que el archivo malicioso se ejecute. Pero como es una campaña que dura días, hay múltiples oportunidades de detectarlo antes del desastre: el login anómalo, el escalamiento de privilegios, el movimiento lateral inusual, el volumen raro de datos saliendo. Ahí es donde un EDR/XDR —que detecta comportamiento, no solo archivos conocidos— gana su lugar: puede cortar la cadena en una etapa temprana, cuando todavía es un incidente y no una crisis.

Una línea de tiempo real

Aterricémoslo. Viernes por la tarde: un atacante entra usando una credencial válida contra un acceso remoto que tenía una vulnerabilidad conocida sin parchar —nadie nota nada, es una sesión legítima más—. Sábado y domingo, con la oficina vacía, se mueve con calma: escala privilegios, cartografía la red, identifica los servidores de archivos y localiza los respaldos conectados. El domingo por la noche copia sigilosamente los datos más sensibles hacia afuera. Y el lunes a las 3am, cuando ya tiene todo mapeado y robado, ejecuta el cifrado de golpe —servidores, estaciones y los respaldos en línea que alcanzó—. El equipo llega el lunes a la pantalla de rescate creyendo que "el ataque" ocurrió esa madrugada, cuando en realidad llevaba tres días en curso. Cada una de esas etapas previas fue una oportunidad de detección desperdiciada.

La doble extorsión rompió el viejo consejo

Durante años el consejo fue simple: "ten buenos respaldos y no tendrás que pagar". Sigue siendo cierto para recuperar la operación, pero la doble extorsión cambió el juego: aunque restaures todo desde un respaldo limpio, el atacante ya tiene tus datos y puede publicarlos. Por eso la defensa moderna es en capas: prevenir el acceso (parcheo, identidad), detectar temprano (EDR), y poder recuperar sin pagar —con respaldos inmutables y un plan de recuperación ante desastres que asuma que el ataque va a pasar—.

La pregunta que conviene hacerse

La pregunta no es "¿tengo antivirus para el ransomware?", sino si un atacante entrara hoy, ¿en cuál de las etapas —antes del cifrado— lo detectaríamos, y podríamos recuperar sin pagar si llegara hasta el final? Diseñar esa defensa en capas —detección temprana con SentinelOne más recuperación garantizada— es parte de la defensa contra ransomware que implementamos. Porque contra una campaña, la peor estrategia es tener un solo punto donde detenerla.

#ransomware #edr #mitre att&ck #draas #ciberseguridad #endpoint

Preguntas frecuentes

¿Cuánto tiempo lleva un atacante dentro antes de lanzar el ransomware?

Frecuentemente días o semanas. El cifrado y la nota de rescate son el final del ataque, no el inicio. Antes, el atacante logra el acceso inicial, establece persistencia, escala privilegios, se mueve lateralmente por la red y suele exfiltrar datos. Ese tiempo previo, silencioso, es también la ventana en la que se puede detectar y detener el ataque.

¿Qué es la doble extorsión en ransomware?

Es la táctica de robar una copia de los datos antes de cifrarlos, para tener dos palancas: bloquear la operación con el cifrado y, además, amenazar con publicar la información robada. Rompió el viejo consejo de que basta con tener respaldos: aunque restaures todo, el atacante ya tiene tus datos y puede filtrarlos.

¿Cómo se detecta un ransomware antes del cifrado?

Porque el ataque es una campaña de varias etapas, deja señales antes del impacto: logins anómalos, escalamiento de privilegios, movimiento lateral inusual, volúmenes raros de datos saliendo. Una solución de EDR o XDR que detecta comportamiento (no solo archivos conocidos) puede identificar esas señales y cortar la cadena mientras todavía es un incidente y no una crisis.

¿Los respaldos son suficientes contra el ransomware moderno?

Son imprescindibles para recuperar la operación sin pagar, idealmente con copias inmutables y un plan de recuperación ante desastres. Pero por sí solos no bastan frente a la doble extorsión, porque el atacante ya se llevó una copia de los datos. La defensa efectiva es en capas: prevenir el acceso, detectar temprano y poder recuperar.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

El parche que rompió todo: parchar rápido no es parchar a ciegas (sandbox, anillos y madurez)
Cómo evaluar una solución de endpoint sin caer en el "cuadrante mágico"
EDR en servidores críticos: cuando el falso positivo es peor que el malware