Entender el ransomware

El ransomware es un tipo de software malicioso que bloquea o cifra la información de una organización y exige un pago para liberarla. Los grupos modernos suman la doble extorsión: primero roban los datos y luego amenazan con publicarlos en sus sitios de filtración si la víctima no paga. Este Observatorio refleja precisamente esa actividad pública —qué organizaciones han sido divulgadas— para dar conciencia situacional, nunca el material robado.

• Acceso inicial: phishing, credenciales robadas o vulnerabilidades sin parchear.
• Movimiento lateral: escalan privilegios y se propagan por la red.
• Exfiltración: roban datos sensibles antes de cifrar.
• Cifrado y extorsión: bloquean sistemas y publican a la víctima en su DLS.
• Modelo RaaS: muchos operan como "franquicia" con afiliados.

• Respaldos offline y probados con regularidad.
• Autenticación multifactor (MFA) en todo acceso remoto.
• Parcheo oportuno de sistemas expuestos a internet.
• Segmentación de red y principio de mínimo privilegio.
• Monitoreo, detección y un plan de respuesta a incidentes ensayado.
• Formación continua del personal contra el phishing.

Ransomware

Software malicioso que cifra los archivos de la víctima y exige un pago (rescate) para recuperarlos.

Data Leak Site (DLS)

Sitio público (a menudo en la red Tor) donde los grupos publican el nombre de sus víctimas y amenazan con filtrar datos.

Doble extorsión

Táctica de cifrar los datos y, además, amenazar con publicarlos si no se paga.

Afiliado (RaaS)

En el modelo Ransomware-as-a-Service, operador que usa la infraestructura de un grupo a cambio de un porcentaje del rescate.

IOC

Indicador de Compromiso: evidencia técnica (hash, IP, dominio) que sugiere una intrusión.

Exfiltración

Robo y extracción de datos de la organización antes de cifrarlos.

Explora ejemplos reales del texto que los grupos dejan a sus víctimas — útil para reconocer una nota de rescate. Contactos y enlaces del atacante redactados.