Gridinsoft Logo

¿Qué es el ransomware?

By Brendan Smith, Analista de ciberseguridad en Gridinsoft (Más de 15 años investigando malware)
Last updated: April 29, 2026

El ransomware bloquea archivos, sistemas o datos y exige pago para recuperarlos. Esta guía explica cómo actúa, qué hacer primero y cómo reducir reinfecciones.

  • Saltar a:
» Ransomware
Ransomware explicado sin ruido

Ransomware explicado sin ruido

El ransomware es software malicioso que bloquea archivos, dispositivos o sistemas de una empresa y exige dinero por una clave de descifrado o por no filtrar datos.

Quien busca ransomware normalmente necesita una de dos cosas: entender la amenaza o actuar porque los archivos ya se están bloqueando. Esta página cubre ambas sin convertir el tema en un archivo de noticias.

¿Qué es el ransomware?

El ransomware es un tipo de malware usado para extorsionar. Puede cifrar documentos, fotos, bases de datos y copias de seguridad; bloquear la pantalla; o robar datos antes de pedir dinero. La nota de rescate suele afirmar que pagar es la única forma de recuperar los archivos, pero no siempre es cierto y pagar tampoco garantiza la recuperación.

Los ataques modernos suelen ir más allá del cifrado. Los delincuentes pueden robar archivos, amenazar con publicarlos, contactar con empleados o clientes y presionar para que la víctima pague rápido. En usuarios domésticos el daño típico son archivos personales cifrados; en empresas puede haber caída de operaciones, exposición de datos, obligaciones legales y costes de recuperación.

Si crees que el ransomware está activo ahora

  • Desconecta el equipo de la red. Quita el cable Ethernet y apaga el Wi-Fi para limitar la propagación.
  • No borres los archivos cifrados. Conserva muestras, notas de rescate y extensiones para identificar la familia.
  • No pagues con prisa. El pago puede fallar, financiar a delincuentes y convertirte en objetivo repetido.
  • Revisa copias seguras. Usa versiones offline o en la nube que no estuvieran conectadas durante la infección.
  • Escanea antes de recuperar. Elimina el malware activo antes de restaurar archivos o podrían cifrarse de nuevo.

Cómo funciona el ransomware

Un incidente de ransomware suele tener varias fases. La nota de rescate visible es el final, no el inicio del ataque.

  1. Acceso inicial. El atacante entra mediante un adjunto malicioso, una descarga falsa, acceso remoto expuesto, una contraseña robada o una vulnerabilidad.
  2. Ejecución. Un loader, script o troyano inicia el proceso de ransomware o descarga la carga final.
  3. Preparación. El malware puede desactivar herramientas de seguridad, borrar copias sombra, detener servicios o buscar carpetas compartidas y backups.
  4. Cifrado o bloqueo. Los archivos se cifran o el dispositivo queda bloqueado. Muchos ataques dejan notas de rescate en las carpetas afectadas.
  5. Extorsión. Los criminales exigen pago y pueden amenazar con publicar datos robados o subir el precio tras una fecha límite.

Señales de alerta de ransomware

Algunos ataques son repentinos, pero a menudo aparecen pistas antes de que el daño sea completo.

  • Los archivos tienen extensiones extrañas o ya no se abren.
  • Las carpetas contienen notas como README.txt, RECOVER-FILES.html o mensajes parecidos.
  • El antivirus, el software de copia de seguridad o restauración del sistema dejan de funcionar.
  • El equipo se vuelve lento mientras el disco trabaja de forma anormal.
  • Procesos desconocidos se ejecutan desde carpetas temporales, descargas o perfiles de usuario.
  • Aparecen herramientas de acceso remoto, scripts o tareas programadas que no reconoces.
  • Las carpetas compartidas o unidades de red cambian al mismo tiempo.

Pasos de eliminación y recuperación

El orden seguro es contener primero, limpiar después y recuperar al final. Restaurar archivos antes de eliminar la infección puede repetir el daño.

  1. Aísla el dispositivo afectado. Desconéctalo de internet y de la red local. Si hay varios equipos implicados, sepáralos rápido.
  2. Conserva evidencias. Guarda notas de rescate, muestras cifradas, correos sospechosos y capturas. Ayudan a identificar la familia.
  3. Identifica la variante. Usa extensiones, nombres de notas y detecciones del escáner para saber si puede existir un descifrador.
  4. Elimina el malware. Ejecuta un análisis completo con una herramienta confiable y revisa inicio, tareas programadas, servicios y acceso remoto.
  5. Comprueba descifradores. Busca en repositorios reputados antes de tomar decisiones drásticas de recuperación.
  6. Restaura desde copias limpias. Hazlo solo cuando el sistema esté limpio, idealmente en un entorno nuevo o verificado.
  7. Cambia credenciales expuestas. Actualiza contraseñas desde un dispositivo limpio, sobre todo correo, nube, VPN, RDP y cuentas de administrador.

Para limpieza y prevención en Windows, empieza por el flujo anti-ransomware. Si hay síntomas más amplios de malware, usa primero el flujo de eliminación de malware.

¿Se pueden descifrar los archivos?

A veces sí, pero no siempre. El descifrado gratuito puede ser posible si investigadores encuentran un fallo, las autoridades obtienen claves o el malware usó una clave offline o reutilizada. Si el cifrado está bien implementado y usa una clave online única, puede que no exista descifrador.

Antes de pagar o formatear, revisa fuentes confiables como No More Ransom y conserva muestras cifradas. Aunque hoy no haya descifrador, algunas familias reciben herramientas o claves más adelante.

Tipos comunes de ransomware

Tipo Qué hace
Ransomware cifrador Cifra archivos y exige pago por una clave de descifrado.
Locker ransomware Bloquea el dispositivo o la pantalla sin cifrar necesariamente cada archivo.
Leakware o doxware Roba datos y amenaza con publicarlos si la víctima no paga.
Ransomware como servicio Infraestructura alquilada a afiliados que ejecutan ataques y comparten beneficios.
Ransomware tipo wiper Parece ransomware, pero su objetivo principal es destruir datos o interrumpir operaciones.

Cómo se propaga el ransomware

El ransomware casi nunca aparece sin una puerta de entrada. Las rutas más comunes son conocidas, por eso la prevención sigue funcionando.

  • Correos de phishing: adjuntos, enlaces, facturas falsas, avisos de entrega o solicitudes para habilitar documentos.
  • Descargas maliciosas: cracks, keygens, instaladores falsos, falsas actualizaciones del navegador y software reempaquetado.
  • Credenciales robadas: contraseñas reutilizadas para correo, nube, VPN o escritorio remoto.
  • Acceso remoto expuesto: RDP, VPN, herramientas de administración o monitorización mal protegidas.
  • Software sin parches: servidores, plugins, CMS y dispositivos de red vulnerables.
  • Otro malware: troyanos, droppers, spyware o botnets que después entregan ransomware.

Cómo protegerse del ransomware

Una buena defensa no depende de un único producto. Es una rutina por capas: reducir entradas, mantener copias fuera del alcance del atacante y detectar comportamientos sospechosos pronto.

  1. Mantén copias offline o inmutables. No deben quedar siempre escribibles desde el mismo equipo que podría infectarse.
  2. Actualiza rápido el software. Parchea Windows, navegadores, lectores de documentos, clientes VPN y sistemas expuestos a internet.
  3. Usa autenticación fuerte. Activa MFA en correo, nube, VPN, escritorio remoto y cuentas de administrador.
  4. Limita el acceso remoto. Desactiva RDP público cuando sea posible y restringe herramientas de administración a redes confiables.
  5. Bloquea descargas riesgosas. Evita cracks, instaladores pirateados, gestores de descarga desconocidos y falsas actualizaciones.
  6. Vigila señales tempranas. Cambios masivos de archivos, seguridad desactivada o borrado de copias sombra son señales urgentes.
  7. Usa protección anti-malware. Ten un escáner disponible para revisar todo el sistema y limpiar actividad sospechosa.

¿Necesitas revisar un PC con Windows?

Gridinsoft Anti-Malware busca ransomware, troyanos, spyware, droppers y componentes de persistencia que mantienen viva una infección.

Escanea con Gridinsoft Anti-Malware o sigue el flujo anti-ransomware.

Familias y ejemplos de ransomware

Las familias cambian con el tiempo, pero muchas técnicas se repiten. Estos ejemplos ayudan a identificar y estudiar incidentes:

  • LockBit - una familia de ransomware como servicio muy conocida.
  • Conti y Ryuk - operaciones históricamente importantes contra empresas.
  • Dharma - asociada a menudo con acceso remoto expuesto y credenciales débiles.
  • Magniber, MedusaLocker y Snatch - ejemplos con notas de rescate y comportamiento de archivos reconocibles.

Investigaciones recientes sobre ransomware

Preguntas Frecuentes

¿Qué es el ransomware?
El ransomware es malware que bloquea archivos, dispositivos o sistemas y exige pago para recuperarlos. Puede cifrar archivos, bloquear la pantalla o amenazar con publicar datos robados.
¿Qué debo hacer primero tras un ataque de ransomware?
Desconecta el dispositivo de la red, conserva notas de rescate y muestras cifradas, y no restaures copias hasta eliminar el malware activo.
¿Debo pagar el rescate?
Los organismos de seguridad suelen desaconsejar pagar. El pago no garantiza recuperación, puede financiar actividad criminal y convertir a la víctima en objetivo repetido.
¿Se pueden descifrar gratis los archivos cifrados por ransomware?
A veces. Puede existir un descifrador si investigadores encuentran un fallo, si las autoridades obtienen claves o si se usó una clave offline. No siempre es posible.
¿Cómo infecta un equipo el ransomware?
Las rutas comunes incluyen correos de phishing, descargas falsas, actualizaciones falsas, contraseñas robadas, acceso remoto expuesto, software sin parches y otro malware.
¿Puede el ransomware propagarse por una red?
Sí. Tras comprometer un equipo, los atacantes pueden usar carpetas compartidas, credenciales robadas, herramientas remotas o permisos de administrador para alcanzar otros sistemas.
¿Un antivirus puede eliminar ransomware?
Una herramienta anti-malware puede eliminar el ransomware activo y componentes relacionados, pero normalmente no descifra archivos salvo que exista un descifrador compatible.
¿Cómo puedo protegerme del ransomware?
Usa copias offline o inmutables, actualiza el software, activa MFA, limita el acceso remoto, evita descargas riesgosas y mantén protección anti-malware activa.

References