La confianza que usted ha depositado en su EDR y en su estrategia de copias de seguridad es, hoy, su mayor vulnerabilidad ante el ransomware.
Los datos de cierre de 2025 son contundentes: la actividad criminal no solo es resiliente, sino que se ha industrializado. Durante el último año, el volumen total de ataques de ransomware detectados ascendió a 6,182 incidentes, lo que representa un incremento del 23% respecto al periodo anterior.
Usted no enfrenta a aficionados. Enfrenta a corporaciones criminales que han entendido que cifrar sus discos es un paso innecesario y, a menudo, contraproducente para su flujo de caja. Mientras su equipo de TI se desvela verificando la inmutabilidad de las copias de seguridad, el atacante ya ha exfiltrado su propiedad intelectual y está contactando a sus clientes para informarles que sus datos están a la venta.
El punto ciego del Kernel: La neutralización de la defensa
La premisa del EDR es que puede observar y detener comportamientos maliciosos. Sin embargo, los grupos de ransomware han perfeccionado la técnica Bring Your Own Vulnerable Driver (BYOVD). Esta táctica consiste en instalar un controlador legítimo, pero con vulnerabilidades conocidas en el sistema operativo para obtener privilegios a nivel de Kernel (el núcleo del sistema operativo).
Desde el Kernel, el atacante tiene una visibilidad superior a la de su software de seguridad. En 2025, se observó un uso sistemático de controladores de hardware antiguos o con firmas de código no válidas o revocadas para anular directamente los procesos de los agentes de seguridad. Una vez que el agente del EDR es «cegado”, su consola de administración mostrará que el equipo está «protegido» o simplemente «fuera de línea», mientras el movimiento lateral ocurre sin resistencia.
Este método invalida la inversión en herramientas de nueva generación si estas no cuentan con una protección robusta de la integridad del Kernel. Los atacantes ya no intentan evadir sus firmas de malware; simplemente apagan la luz de la habitación antes de entrar a robar.
La transición hacia la extorsión sin cifrado
El modelo de negocio ha mutado. Según los informes técnicos de Symantec y Carbon Black, grupos dominantes como RansomHub, y sus sucesores tras su colapso —Qilin, Akira y DragonForce—, están priorizando la extorsión pura. En 2025, mientras los ataques con cifrado se mantuvieron estables en torno a los 4,700 incidentes, la extorsión sin cifrado fue la responsable de empujar la cifra total por encima de los 6,000 casos.
Para el atacante, el cifrado es un riesgo operativo:
- Requiere tiempo de cómputo intensivo que puede disparar alertas de uso de CPU (Unidad Central de Procesamiento).
- Atrae la atención inmediata del personal de TI al quedar los sistemas inoperativos.
- Complica la logística de las claves de descifrado, que a menudo fallan.
En la extorsión sin cifrado, el objetivo es la Exfiltración. El atacante permanece semanas en su red, utilizando técnicas de Living off the Land (LotL), empleando herramientas de administración legítimas como PowerShell o RDP (Remote Desktop Protocol) para identificar y sustraer la información más crítica. Usted solo se entera del ataque cuando recibe la nota de rescate acompañada de una muestra de su base de datos de clientes, una patente o cualquier otro activo de información protegido por leyes de privacidad.
La falacia del backup inmutable como protección ante el ransomware
Si su plan de respuesta ante incidentes se limita a «restaurar desde la última copia de seguridad», usted está operando con una mentalidad rezagada en el tiempo. En el escenario de 2026, restaurar sus sistemas no elimina la amenaza. La extorsión se basa en la pérdida de confidencialidad, no de disponibilidad.
El impacto financiero de una filtración de datos masiva supera con creces el costo de la interrupción operativa. Las multas por incumplimiento de normativas de protección de datos, las demandas colectivas y la pérdida de contratos por falta de confianza son costos que su balance general no podrá absorber fácilmente. Los atacantes saben que, aunque usted pueda levantar sus servidores en 24 horas, la amenaza de publicar sus secretos comerciales le obligará a sentarse a negociar.
Comparativa técnica: Evolución del ransomware
|
Característica |
Ransomware 1.0 (Tradicional) |
Ransomware 2.0 (Evolucionado 2026) |
|
Objetivo Primario |
Disponibilidad (Cifrado de archivos) |
Confidencialidad (Exfiltración de datos) |
|
Vector de Evasión |
Ofuscación de código y Packing |
BYOVD y anulación de Kernel |
|
Uso de IA |
Generación de correos de Phishing |
Automatización de movimiento lateral y LotL |
|
Impacto del Backup |
El Backup es la solución |
El Backup es irrelevante para la extorsión |
|
Detección |
Basada en comportamiento de archivos |
Basada en telemetría de red y Kernel |
|
Estrategia Criminal |
«Disparar y olvidar» |
Intrusión silenciosa y persistente |
El riesgo de la "IA Ofensiva" y la automatización
La integración de la IA en el lado ofensivo ha acelerado la cadencia de los ataques. Los grupos criminales utilizan modelos de lenguaje para generar scripts de ataque personalizados que se adaptan a las configuraciones específicas de su red en tiempo real.
Esto ha reducido el «tiempo de permanencia» (dwell time) necesario para causar un daño significativo. Si antes un atacante tardaba días en mapear su red, hoy las herramientas automatizadas pueden identificar sus activos críticos en horas. Esto pone a su SOC en una desventaja matemática: los humanos no pueden competir contra la velocidad de ejecución de scripts automatizados que no descansan.
El camino para construir una estrategia de defensa robusta contra el ransomware
Para enfrentar este panorama, la estrategia debe virar de la protección de la infraestructura a la protección del dato y el flujo de trabajo. Considere las siguientes acciones críticas:
- Endurecimiento de la integridad del Kernel: Configure sus sistemas para bloquear la carga de controladores que no estén en una lista blanca estricta y verificada. Esto mitiga la efectividad de los ataques BYOVD.
- Microsegmentación de red: No asuma que su red interna es segura. Cada segmento debe tratar al otro como una amenaza potencial. La microsegmentación limita el movimiento lateral y dificulta que un atacante alcance los repositorios de datos críticos.
- Monitoreo de la exfiltración: Su foco debe estar en la salida de datos. Implemente soluciones de Data Loss Prevention que detecten volúmenes inusuales de tráfico hacia el exterior, especialmente hacia nubes públicas o servicios de transferencia de archivos.
- Autenticación Resistente (MFA): El uso de Multi-Factor Authentication (MFA – Autenticación de Múltiples Factores) es obligatorio, pero debe evolucionar hacia métodos resistentes al phishing (como llaves físicas o FIDO2), ya que los ataques de fatiga de MFA y el robo de sesiones son tácticas estándar en 2026.
Una mirada estratégica hacia el nuevo horizonte de la ciberseguridad
Como responsables de la tecnología y la seguridad, debemos abandonar la retórica de la vulnerabilidad, la cual ya sabemos que es un mito derrocado. La realidad técnica que nos muestran los incidentes de 2025 es que las barreras perimetrales son porosas y los agentes de seguridad son susceptibles de ser neutralizados desde las capas más profundas del sistema operativo.
En eSoft, 20 años de experiencia nos han enseñado que el riesgo en ciberseguridad es un riesgo de supervivencia de negocio. Pagar un rescate no garantiza que los datos no serán vendidos a un competidor o publicados en seis meses. Su labor no es solo comprar la mejor herramienta del cuadrante, sino diseñar una arquitectura que asuma el compromiso del endpoint y se enfoque en la contención del daño y la protección de la propiedad intelectual.
La resiliencia no se mide por la capacidad de evitar el ataque, sino por la capacidad de operar y proteger el valor de la compañía mientras el ataque ocurre. La transparencia operativa y el endurecimiento técnico son sus únicas herramientas reales contra una industria criminal que cuenta con más presupuesto y menos burocracia que su propio departamento de TI.
[1] Symantec by Broadcom, “Ransomware 2026: New Actors and Threats Emerge as the Threat Landscape Evolves,” White Paper, Enero 14, 2026.
[2] World Economic Forum, “Global Cybersecurity Outlook 2026,” Insight Report, en colaboración con Accenture, Ginebra, Suiza, Enero 2026.