En el imaginario popular, el ransomware es un instante: una pantalla roja que aparece de golpe exigiendo un pago en criptomonedas. La realidad es mucho menos cinematográfica y mucho más inquietante. Cuando aparece la nota de rescate, el atacante llevaba días o semanas dentro de la red —mirando, moviéndose, preparándose—. El cifrado no es el ataque: es el final del ataque. Entender lo que pasa antes es lo que cambia dónde conviene poner las defensas.
Un ataque no es un evento, es una campaña
El ransomware moderno sigue una secuencia de etapas que se mapean casi punto por punto con las tácticas de MITRE ATT&CK. En grandes trazos:
- Acceso inicial: la entrada. Un correo de phishing, una credencial robada, o —muy frecuente— una vulnerabilidad conocida sin parchar, que hoy es el principal vector de acceso a las brechas.
- Persistencia y escalamiento: el atacante se asegura de no perder el acceso y busca privilegios más altos —idealmente, cuentas de administrador—.
- Movimiento lateral: salta de un equipo a otro, cartografiando la red, buscando los servidores y los respaldos. Esta etapa, silenciosa, es donde pasa la mayor parte del tiempo.
- Exfiltración: antes de cifrar, se roba una copia de los datos. Esto habilita la "doble extorsión": no solo te bloquean, también amenazan con publicar tu información.
- Cifrado (el impacto): ahora sí, se cifra todo a la vez —incluyendo, si los encontró, los respaldos en línea—. Recién aquí aparece la nota.
Por qué esto cambia tu estrategia
Si el ransomware fuera solo el momento del cifrado, la única defensa sería impedir que el archivo malicioso se ejecute. Pero como es una campaña que dura días, hay múltiples oportunidades de detectarlo antes del desastre: el login anómalo, el escalamiento de privilegios, el movimiento lateral inusual, el volumen raro de datos saliendo. Ahí es donde un EDR/XDR —que detecta comportamiento, no solo archivos conocidos— gana su lugar: puede cortar la cadena en una etapa temprana, cuando todavía es un incidente y no una crisis.
Una línea de tiempo real
Aterricémoslo. Viernes por la tarde: un atacante entra usando una credencial válida contra un acceso remoto que tenía una vulnerabilidad conocida sin parchar —nadie nota nada, es una sesión legítima más—. Sábado y domingo, con la oficina vacía, se mueve con calma: escala privilegios, cartografía la red, identifica los servidores de archivos y localiza los respaldos conectados. El domingo por la noche copia sigilosamente los datos más sensibles hacia afuera. Y el lunes a las 3am, cuando ya tiene todo mapeado y robado, ejecuta el cifrado de golpe —servidores, estaciones y los respaldos en línea que alcanzó—. El equipo llega el lunes a la pantalla de rescate creyendo que "el ataque" ocurrió esa madrugada, cuando en realidad llevaba tres días en curso. Cada una de esas etapas previas fue una oportunidad de detección desperdiciada.
La doble extorsión rompió el viejo consejo
Durante años el consejo fue simple: "ten buenos respaldos y no tendrás que pagar". Sigue siendo cierto para recuperar la operación, pero la doble extorsión cambió el juego: aunque restaures todo desde un respaldo limpio, el atacante ya tiene tus datos y puede publicarlos. Por eso la defensa moderna es en capas: prevenir el acceso (parcheo, identidad), detectar temprano (EDR), y poder recuperar sin pagar —con respaldos inmutables y un plan de recuperación ante desastres que asuma que el ataque va a pasar—.
La pregunta que conviene hacerse
La pregunta no es "¿tengo antivirus para el ransomware?", sino si un atacante entrara hoy, ¿en cuál de las etapas —antes del cifrado— lo detectaríamos, y podríamos recuperar sin pagar si llegara hasta el final? Diseñar esa defensa en capas —detección temprana con SentinelOne más recuperación garantizada— es parte de la defensa contra ransomware que implementamos. Porque contra una campaña, la peor estrategia es tener un solo punto donde detenerla.