Durante casi una década, el Ransomware funcionó como un negocio con una lógica interna clara. Un atacante comprometía una red, cifraba los archivos, exigía un rescate y entregaba la clave de descifrado una vez recibido el pago. Se trataba de una extorsión con un modelo de negocio que dependía de la confianza: si los atacantes no cumplían, nadie pagaría. Los delincuentes tenían incluso sus propios departamentos de atención al cliente.
Ese modelo está mutando. No porque los atacantes se hayan vuelto menos ambiciosos, sino porque han encontrado algo mejor.
El cifrado era el producto equivocado
Para entender por qué los grupos más avanzados de ciberdelincuentes están abandonando el cifrado como mecanismo principal, hay que entender qué vendían realmente. La respuesta intuitiva es “la clave de descifrado”. La respuesta correcta es “el retorno a la operatividad”. Las organizaciones no pagaban para recuperar sus datos sino para volver a funcionar. El cifrado era el mecanismo de coerción, no el objetivo.
Ese mecanismo, sin embargo, traía consigo un problema estructural para el atacante: era ruidoso. Cifrar miles de archivos simultáneamente genera anomalías que los sistemas de detección modernos pueden identificar, activas alertas, deja rastros forenses y sobre todo, le comunica a la víctima exactamente cuándo ocurrió el ataque, lo que delimita el perímetro de la investigación y acelera la respuesta.
La exfiltración silenciosa no tiene ninguno de esos problemas.
Según el informe M-Trends 2025 de Mandiant, basado en más de 450,000 horas de investigaciones de respuesta a incidentes durante 2024, el tiempo medio global de permanencia de un atacante no detectado en una red corporativa se sitúa en 11 días, pero ese número agrega realidades muy distintas: cuando es el propio adversario quien notifica a la víctima, típicamente mediante un e-mail de rescate, el tiempo de permanencia cae a 5 días, mientras que cuando la organización lo descubre internamente, sube a 10, y cuando lo notifica un tercero externo, alcanza los 26 días (https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2025). Esto implica veintiséis días de acceso silencioso, de análisis meticuloso de la red, de selección quirúrgica de los datos más sensibles y comprometedores.
Vivir de la tierra
La técnica que ha reemplazado al cifrado masivo como vector de exfiltración dominante se conoce en la comunidad de seguridad como living off the land (LOTL): el atacante no introduce herramientas externas en la red comprometida. Utiliza las que ya están ahí. PowerShell para escalada de privilegios y movimiento lateral, WMI para ejecución remota, Rclone (una utilidad legítima de backup) para la transferencia masiva de datos hacia una infraestructura controlada por el atacante y RDP para persistencia. Desde la perspectiva de los sistemas de monitoreo, el tráfico del atacante es indistinguible del tráfico legítimo del sistema.
Un análisis de más de 700,000 incidentes publicado en 2025 encontró que el 84% de los ataques significativos involucraron técnicas LOTL (https://www.illumio.com/blog/modern-trojan-horse-how-attackers-live-off-the-land-and-how-to-stop-them). Por su parte, el CrowdStrike Global Threat Report 2025 documentó que el 62% de sus detecciones correspondían a ataques sin malware que empleaban métodos LOTL (https://www.proofpoint.com/us/threat-reference/living-off-the-land-attack). La CISA (Certified Information Systems Auditor) emitió en marzo de 2025 una guía específica junto a socios internacionales advirtiendo de la proliferación de esta táctica, señalando que permite a los actores de amenaza “evitar invertir en el desarrollo y despliegue de herramientas personalizadas” mientras reducen drásticamente su probabilidad de detección (https://www.sentinelone.com/cybersecurity-101/endpoint-security/living-off-the-land/).
La exfiltración se produce en fragmentos pequeños, distribuida a lo largo de días o semanas, a través de canales que ninguna organización puede bloquear sin interrumpir su propio funcionamiento: HTTPS estándar, DNS over HTTPS, servicios de almacenamiento en la nube que también usa el departamento de marketing. Los sistemas de prevención de pérdida de datos, diseñados para detectar transferencias masivas y súbitas, no ven nada.
La divergencia estructural: exfiltración sin cifrado
Lo más significativo no es la sofisticación técnica de estos ataques, sino su evolución económica. Los ataques de extorsión que no implican cifrado, donde el único activo del atacante es la amenaza de publicar los datos robados, han crecido de forma sostenida. Según un análisis de Security.com sobre el panorama de ransomware entre 2024 y 2025, si se incorporan los ataques de extorsión sin cifrado al recuento total, el número de ataques de extorsión en 2025 fue de 6,182, un aumento del 23% respecto a 2024. Esta tendencia fue iniciada por el grupo de delincuentes Snakefly, también conocido como Cl0p, cuyo modelo operativo consiste en explotar vulnerabilidades zero-day en software empresarial para exfiltrar datos a escala y extorsionar mediante amenaza de publicación, sin cifrar nada (https://www.security.com/threat-intelligence/ransomware-extortion-epidemic).
El Verizon Data Breach Investigations Report 2025, un análisis de referencia de la industria, basado en 22,052 incidentes y 12,195 brechas confirmadas en 139 países, el dataset más grande en sus 18 años de historia, documenta que el ransomware estuvo presente en el 44% de todas las brechas analizadas, un aumento del 37% respecto al año anterior. Pero el dato más revelador es otro: el 64% de las organizaciones víctimas se negó a pagar el rescate, porcentaje que ha subido significativamente desde el 50% de dos años atrás, y el pago medio cayó a 115,000 dólares desde los 150,000 anteriores (https://www.verizon.com/business/resources/reports/2025-dbir-data-breach-investigations-report.pdf). Los atacantes se dieron cuenta que el cifrado produce cada vez menos rendimiento económico. La extorsión pura, en cambio, no tiene antídoto tecnológico.
El archivo como arma permanente
Lo que ha cambiado fundamentalmente es la naturaleza de lo que se sustrae y la naturaleza de la amenaza que ese robo produce. Los primeros grupos de ransomware exfiltraban datos casi como justificación secundaria, una doble extorsión que reforzaba la presión para pagar. Los grupos actuales invierten esa lógica: la exfiltración es el ataque. El dato robado es el activo. Y la amenaza de publicación es estructuralmente diferente del cifrado, porque el cifrado es reversible.
Una organización puede restaurar sus sistemas desde un backup en horas, pero no puede desvincular a sus clientes de un historial médico que ya está en manos de un delincuente. No puede reparar la relación con un regulador cuando los datos de auditoría interna han sido publicados en un sitio de filtraciones indexado por los motores de búsqueda. No puede recuperar la ventaja competitiva de una patente que ya circula en foros privados de cibercrimen.
Las plataformas de leak, sitios operados por los propios grupos de extorsión, donde publican pruebas parciales de los datos robados como demostración de capacidad y mecanismo de presión negociadora, se han convertido en infraestructura tan sofisticada como cualquier plataforma legítima de gestión de crisis. El informe M-Trends 2025 documenta que RansomHub, el grupo de ransomware como servicio que opera la plataforma de leak más prolífica según el seguimiento de Mandiant, desplazó a LockBit en la segunda mitad de 2024 tras el cierre de este último después de una intervención policial (https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2025).
El colapso de la estrategia de backup
Durante años, la respuesta estándar de la industria al ransomware fue consistente: implementar backups robustos, aislar las copias de seguridad de la red principal, practicar la restauración regularmente. Eran todos consejos correctos para el problema que existía entonces.
El problema que existe ahora es diferente. Una organización con backups perfectos, con capacidad de restauración de sistemas en cuatro horas, con todos los estándares de resiliencia operacional correctamente implementados, sigue siendo completamente vulnerable a la extorsión por exfiltración. Porque lo que el atacante provocó no fue un bloqueo de sistemas, sino un robo de datos. Y si bien los datos continúan en la red de la víctima: también están en otra los sistemas del atacante y no hay manera técnica de recuperarlos o destruirlos.
Esta mutación estructural desplaza el problema desde el dominio técnico, donde las organizaciones han invertido décadas construyendo capacidades, hacia el dominio legal y reputacional, zonas donde las consecuencias son más difíciles de acotar. Una interrupción operacional tiene una duración. Una filtración de datos sensibles tiene consecuencias que se despliegan durante años: sanciones regulatorias bajo GDPR, HIPAA o la ley de Protección de Datos Personales de cada país, litigios colectivos de los afectados, erosión de confianza que no aparece en ningún balance hasta que ya es irreversible.
Lo que la industria tiene y lo que le falta
El campo de la ciberseguridad tiene respuestas parciales para este problema. La segmentación de red limita el movimiento lateral. Los controles de acceso con privilegio mínimo reducen la superficie de exfiltración. El monitoreo de comportamiento anómalo, no del tráfico, sino de los patrones de acceso a datos y las anomalías en el uso de herramientas legítimas de sistema, puede detectar actividad LOTL si está suficientemente calibrado. CISA ha publicado guías específicas orientadas a ese enfoque de detección basada en comportamiento en lugar de firmas (https://www.sentinelone.com/cybersecurity-101/endpoint-security/living-off-the-land/).
El Verizon DBIR 2025 añade otra dimensión al problema: el 54% de las víctimas publicadas en sitios de extorsión tenían sus dominios presentes en al menos un log de infostealer en marketplaces de credenciales robadas y el 40% de esos logs contenían direcciones de correo corporativo (https://www.verizon.com/business/resources/reports/2025-dbir-data-breach-investigations-report.pdf). El acceso inicial no requiere sofisticación técnica. Las credenciales corporativas se venden en mercados especializados por precios que oscilan entre unos pocos dólares y algunos cientos, dependiendo del nivel de privilegio. El atacante compra el acceso, entra con credenciales legítimas, y usa herramientas legítimas para exfiltrar datos legítimos. Los sistemas de seguridad no ven nada fuera de lo ordinario.
La pregunta que nadie quiere responder
La industria de la ciberseguridad tiene una inclinación estructural hacia los problemas que puede vender como solucionables. El Ransomware con cifrado era, en cierto modo, un problema cómodo: tenía un momento de detección obvio, un daño cuantificable, y una respuesta técnica, los backups, que justificaba inversión en productos concretos.
La extorsión por exfiltración no tiene ese momento de detección obvio. No tiene un daño que se pueda revertir. Y su defensa primaria, reducir la cantidad de datos sensibles que existen en la red, limitar quién puede acceder a qué, detectar comportamientos anómalos en el uso de herramientas legítimas, requiere cambios organizacionales profundos que ningún producto puede sustituir.
La pregunta que la industria está evitando es directa: si el 64% de las organizaciones ya no paga rescates cuando hay cifrado involucrado, ¿Cuántas pagarán cuando lo único que el atacante tiene es la amenaza de publicar sus datos más sensibles? La respuesta determinará qué tipo de problema es este. Y determinar qué tipo de problema es este es el primer paso para construir defensas que estén a la altura del modelo de amenaza que ya existe, no del que existía hace diez años.
Leer más
- Fraude, ransomware y aplicaciones falsas ya están atacando la FIFA 2026
- América Latina, la región más afectada por el ransomware
- La amenaza en evolución: el ransomware y lo que podemos esperar en 2026
