Proteja su mundo digital: educación esencial contra los fraudes y los ciberdelitos (parte 5)
“Se invita a los destinatarios de este correo electrónico a reclamar el saldo millonario de una cuenta en un banco en el extranjero”. A cambio, la persona debe proporcionar el número de una cuenta bancaria para transferir el dinero y responder algunos datos personales. Los estafadores en busca de ingenuos
🖋 David Terán Pérez
Este día, continuaremos con nuestra saga iniciada hace ya cinco semanas, con información para ser considerada en nuestra cotidianidad económica, comercial, y financiera; para que los fraudes bancarios, financieros y comerciales no nos sorprendan, y podamos protegernos adecuadamente contra dichos ataques, que cada vez son más insistentes y letales. Continuamos, y hoy desarrollaremos el siguiente contenido: “¿Qué es el ransomware y cómo actúa?”, “La evolución del ransomware en América Latina (modelos agresivos de doble/triple extorsión)”, “Los casos recientes en México”, “Las vulnerabilidades comunes y su prevención”, “Las estrategias de recuperación y de respuesta”, “Las herramientas digitales para la protección” y “El rol de la inteligencia artificial (IA) en los ataques y la defensa”.
RANSOMWARE EN LATINOAMÉRICA: EVOLUCIÓN, PREVENCIÓN, Y EL ROL DE LA INTELIGENCIA ARTIFICIAL (IA)
• Protección integral ante las amenazas digitales en México y en la región
Introducción: La relevancia del ransomware en la ciberseguridad latinoamericana
El ransomware ha evolucionado hasta convertirse en una de las amenazas más críticas para la ciberseguridad a nivel global —y especialmente en Latinoamérica—. Su impacto va más allá de los daños económicos, afectando las operaciones, la reputación, y la confianza en los sistemas digitales. En México, el aumento de incidentes relacionados con ransomware ha puesto en alerta tanto a las empresas como a las organizaciones gubernamentales y a los usuarios particulares. Este artículo analiza el fenómeno desde una perspectiva amplia, abordando su definición, su evolución, los casos recientes, las vulnerabilidades, las estrategias de prevención y de recuperación, las herramientas de protección, y el rol de la inteligencia artificial (IA) en este complejo escenario.
¿QUÉ ES EL RANSOMWARE Y CÓMO ACTÚA?
El ransomware es un tipo de software malicioso (malware) que cifra los archivos de un sistema informático y exige un pago, generalmente en criptomonedas, para restaurar el acceso a la información. Su funcionamiento se basa en la infección del equipo mediante técnicas como el phishing, descargas maliciosas o vulnerabilidades de software, tras lo cual los archivos quedan inaccesibles para el usuario. Una vez ejecutado, el atacante envía un mensaje exigiendo el rescate y amenaza con la pérdida permanente de datos si no se realiza el pago en el plazo indicado.
Por ejemplo, el ransomware WannaCry, que afectó a miles de organizaciones en 2017, se propagó aprovechando una vulnerabilidad en los sistemas basados en Windows™, y encriptó información crítica, paralizando los hospitales, las empresas, y los servicios públicos en todo el mundo (Kharraz, et. al., 2015; Europol, 2017). Otro caso emblemático es el ataque de Ryuk, enfocado en los grandes corporativos y los gobiernos, que exigía pagos multimillonarios, y tenía la capacidad de propagarse rápidamente dentro de las redes internas (Sonic Wall, 2021).
EVOLUCIÓN DEL RANSOMWARE EN AMÉRICA LATINA: MODELOS AGRESIVOS DE DOBLE Y DE TRIPLE EXTORSIÓN
En la última década, el ransomware ha evolucionado hacia modelos de extorsión más complejos y audaces. Inicialmente, los atacantes se limitaban a cifrar los datos y a exigir un rescate. Sin embargo, desde 2019, han surgido variantes que implementan la “doble extorsión”: Además del cifrado, los criminales exfiltran datos sensibles y amenazan con publicarlos si no se paga el elevado rescate a la brevedad posible (Coveware, 2021).
Más recientemente, se ha observado la “triple extorsión”, en donde los atacantes no solamente cifran y exfiltran información, sino que también presionan a los clientes, a los proveedores, y a los colaboradores de la organización víctima, amplificando el daño, y la presión por el excesivo pago. En América Latina, grupos como Conti y REvil, han adoptado estos modelos, dirigiendo ataques a sectores críticos como la salud, la energía, y la educación (Kaspersky, 2022b). La tendencia apunta a una profesionalización de los cibercriminales, quienes emplean técnicas avanzadas de anonimato y de monetización, dificultando la persecución legal.
Un ejemplo bastante relevante, fue el ataque a la Secretaría de Economía de México en el año 2020, en donde los atacantes utilizaron doble extorsión, amenazando con publicar documentos oficiales si no se cumplían sus demandas (El Economista, 2020). Este tipo de incidentes evidencia el riesgo creciente, y la necesidad de estrategias de defensa más integrales.
CASOS RECIENTES EN MÉXICO: EJEMPLOS CONCRETOS Y ANÁLISIS DEL IMPACTO
México ha sido escenario de diversos ataques de ransomware, que han afectado tanto a las instituciones públicas como a las privadas. En el año 2021, el Sistema de Transporte Público de la Ciudad de México (Metro), sufrió un ataque que interrumpió parcialmente sus operaciones, poniendo en riesgo la seguridad de millones de usuarios (Expansión, 2021).
Otro caso significativo ocurrió en el año 2022, cuando la Universidad Autónoma de México (UNAM) fue víctima de un ransomware, que afectó sus sistemas administrativos y académicos, retrasando trámites, y afectando la comunicación interna (Forbes México, 2022). Además, empresas del sector financiero y de salud, han reportado incidentes que han resultado en pérdidas económicas, daño reputacional, y de filtración de datos personales.
Estos casos demuestran que el ransomware, no discrimina por tamaño ni por sector, y que la falta de preparación y de protocolos claros puede agravar el impacto. El análisis forense posterior a los incidentes ha revelado deficiencias en la gestión de parches, en una capacitación insuficiente, y en la falta de respaldo de la información, factores que contribuyen a la vulnerabilidad de las organizaciones mexicanas.
VULNERABILIDADES COMUNES Y SU PREVENCIÓN
Las vulnerabilidades explotadas por el ransomware suelen ser técnicas y humanas. Entre las principales debilidades técnicas se encuentran los sistemas operativos desactualizados, la falta de segmentación de las redes, las contraseñas débiles, y la ausencia de copias de seguridad periódicas. En el aspecto humano, el phishing y la ingeniería social continúan siendo los vectores de ataque más efectivos, aprovechando la falta de capacitación, y la confianza excesiva de los usuarios (Verizon, 2022).
Para prevenir estos riesgos, se recomienda adoptar medidas como la actualización constante del software, la implementación de la autenticación multi factor, la segmentación de las redes críticas, y la realización de respaldos automáticos en ubicaciones seguras, y fuera de línea. Además, la capacitación continua de los colaboradores es fundamental, para identificar correos sospechosos, y evitar caer en trampas de la ingeniería social.
La adopción de marcos normativos como la normativa ISO/IEC 27001, y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), también fortalece la postura en seguridad, pues exige controles y auditorías periódicas que permiten detectar y corregir vulnerabilidades antes de que sean explotadas por los atacantes.
ESTRATEGIAS DE RECUPERACIÓN Y DE RESPUESTA
Ante un ataque de ransomware, la rapidez y la efectividad de la respuesta, son cruciales para minimizar los daños. Los protocolos de recuperación incluyen la desconexión inmediata de los sistemas afectados, la notificación a las autoridades, y a los especialistas en ciberseguridad, el análisis forense para determinar el alcance del ataque, y la restauración de la información desde los respaldos verificados (CISA, 2021).
Es fundamental contar con un plan de continuidad de la unidad de negocio(s), y de recuperación ante desastres (BCP/DRP) que considere los posibles escenarios de ransomware. Este plan debe incluir simulacros, roles definidos, una comunicación interna y externa transparente, y la colaboración con expertos externos. Ejemplos exitosos incluyen la respuesta de hospitales en Brasil que, tras ataques de ransomware, lograron restaurar las operaciones esenciales en menos de 48 horas gracias a sus respaldos fuera de línea, y a los protocolos previamente establecidos (Kaspersky, 2022a).
No se recomienda pagar el rescate, ya que esto incentiva la actividad criminal, y no garantiza la recuperación de los datos. En su lugar, se debe priorizar la restauración desde copias de seguridad, la notificación a las autoridades, y el aprendizaje continuo para fortalecer la postura de seguridad.
HERRAMIENTAS DIGITALES PARA LA PROTECCIÓN
El uso de herramientas digitales especializadas es clave para protegerse contra el ransomware. Entre las soluciones más efectivas se encuentran los sistemas de detección y de respuesta a las amenazas (EDR), cortafuegos (firewalls) de nueva generación, sistemas de prevención de intrusiones (IPS), y plataformas de respaldo automatizado. Empresas como Sophos™, Bitdefender™, y Kaspersky™, ofrecen suites integrales que combinan antivirus, filtrado web, monitoreo de comportamiento, y la recuperación de los datos.
Adicionalmente, existen recursos gratuitos y de código abierto como: Malwarebytes®, ClamAV®, y VeraCrypt®, que pueden complementar la protección en los ambientes domésticos y empresariales. La integración de herramientas de monitoreo en tiempo real y de análisis de tráfico de la red, permite detectar comportamientos anómalos antes de que el ransomware ejecute su carga útil.
Cabe destacar la importancia de la actualización constante de estas herramientas, de la configuración adecuada, y la realización de pruebas periódicas para asegurar su efectividad. El respaldo de información en la nube y fuera de línea, es una práctica indispensable para garantizar la recuperación ante un incidente.
EL ROL DE LA INTELIGENCIA ARTIFICIAL (IA) EN LOS ATAQUES Y SU USO EN LA DEFENSA
La inteligencia artificial (IA), ha transformado el panorama del ransomware tanto en el ámbito ofensivo como en el defensivo. Los atacantes emplean la inteligencia artificial (IA) para automatizar la búsqueda de vulnerabilidades, personalizar ataques de phishing, y evadir los sistemas de detección tradicionales. Por ejemplo, el uso de algoritmos de aprendizaje automático (machine learning), permite identificar patrones de comportamiento de los usuarios, y diseñar ataques altamente dirigidos y convincentes (Symantec, 2023).
Por otro lado, las soluciones de defensa basadas en la inteligencia artificial (IA), han demostrado ser efectivas para detectar y neutralizar amenazas en tiempo real. Plataformas como Darktrace® y CrowdStrike®, utilizan el análisis predictivo y el aprendizaje profundo para identificar las actividades maliciosas, aislar los sistemas comprometidos, y sugerir acciones correctivas automáticas. En México, varias instituciones financieras han implementado la inteligencia artificial (IA) para monitorear transacciones sospechosas y prevenir la propagación de ransomware en sus redes internas (Forbes México, 2023).
Estudios de caso demuestran que la inteligencia artificial (IA) puede reducir significativamente el tiempo de respuesta ante los incidentes, y mejorar la precisión en la detección de las amenazas. Sin embargo, también plantea desafíos éticos y técnicos, como el riesgo de falsos positivos, y la necesidad de capacitación especializada para su gestión.
CONCLUSIÓN: REFLEXIÓN SOBRE EL FUTURO Y RECOMENDACIONES
El ransomware representa una amenaza dinámica y en constante evolución, que exige una respuesta multidisciplinaria. En Latinoamérica —y particularmente en México—, la colaboración entre el sector público, el sector privado, y la sociedad civil es esencial, para fortalecer la resiliencia digital. La adopción de herramientas tecnológicas, de protocolos robustos, y de capacitación continua, son elementos fundamentales para enfrentar este reto.
La inteligencia artificial IA), emerge como un aliado estratégico; pero también como un desafío que requiere regulación, ética y transparencia. El futuro de la ciberseguridad dependerá de la capacidad de adaptación, de innovación, y de cooperación internacional, para prevenir, para detectar, y para responder efectivamente a los ataques de ransomware.
Finalmente, la concientización y la educación constante son las mejores armas para proteger nuestro mundo digital. Mantenerse informado, implementar buenas prácticas, y aprovechar las herramientas disponibles, permitirá a los usuarios y a las organizaciones mexicanas y latinoamericanas reducir el riesgo y enfrentar los desafíos del ransomware con relativo éxito.
Hasta aquí con esta quinta entrega de este tema. La próxima semana, continuaremos con esta saga y analizaremos los siguientes subtemas: “Cómo se roba y usa la identidad digital”, “Los grupos vulnerables: jóvenes y adultos mayores”, “Las tecnologías emergentes usadas para la suplantación a través del uso de la inteligencia artificial (IA) para rostros y para voces”, “Las consecuencias legales y financieras”, “Los protocolos para denunciar y para recuperar la identidad”, “Casos reales destacables en México”, “La prevención en la vida diaria y consejos prácticos”, para el siguiente tema: “El robo de identidad: los riesgos digitales y la protección personal”. Reciban un cordial saludo desde la Bahía de Banderas (Puerto Vallarta y la Riviera Nayarit). Nuevamente muchas gracias.
Referencias:
CISA. (2021). “Guía de ransomware”. Agencia de Ciberseguridad y de Seguridad de la Infraestructura. Recuperado de: https://www.cisa.gov/publication/ransomware-guide (Consultado en octubre del 2025).
Coveware. (2021). Pagos de ransomware, exfiltración de datos y la evolución de los ataques de ransomware. Recuperado de: https://www.coveware.com/ransomware-quarterly-reports (Consultado en octubre del 2025).
El Economista. (2020). La Secretaría de Economía sufre ataque de ransomware. Recuperado de: https://www.eleconomista.com.mx/tecnologia/Una-de-cada-cuatro-organizaciones-mexicanas-sufrio-un-ataque-de-ransomware-en-2020-20210603-0063.html (Consultado en octubre del 2025).
Europol. (2017). Evaluación de la amenaza de la delincuencia organizada en la Internet (IOCTA) 2017. Recuperado de: https://www.europol.europa.eu/publications-events/main-reports/internet-organised-crime-threat-assessment-iocta-2017 (Consultado en octubre del 2025).
Expansión. (2021). El Metro de la CDMX sufre ataque de ransomware. Recuperado de: https://expansion.mx/tecnologia/2022/01/27/en-2021-el-ransomware-a-empresas-crecio-mas-de-600-en-mexico (Consultado en Octubre del 2025).
Forbes México. (2022). La UNAM confirma ataque de ransomware en sus sistemas. Recuperado de: https://forbes.com.mx/tag/ransomware/ (Consultado en octubre del 2025).
Kaspersky. (2022a). Los hospitales brasileños se recuperan de ataques de ransomware. Recuperado de: https://ics-cert.kaspersky.com/publications/reports/2023/03/15/h2-2022-brief-overview-of-main-incidents-in-industrial-cybersecurity/ (Consultado en octubre del 2025).
Kaspersky. (2022b). Panorama de la ciberseguridad en América Latina. Recuperado de: https://latam.kaspersky.com/blog/panorama-amenazas-latam-2022/25509/ (Consultado en octubre del 2025).
Kharraz, A.; Arshad, S.; Mulliner, C.; Robertson, W. & Kirda, E. (2015). “Cortando el nudo gordiano: Una mirada bajo el capó de los ataques de ransomware”. Conferencia Internacional sobre Detección de Intrusiones y Malware, y Evaluación de Vulnerabilidades (p.p. 3-24). Springer. Recuperado de: https://dl.acm.org/doi/10.1007/978-3-319-20550-2_1 (Consultado en octubre del 2025).
Sonic Wall. (2021). Informe de ciber amenazas de Sonic Wall en el año 2021. Recuperado de: https://www.sonicwall.com/resources/white-papers/2021-sonicwall-cyber-threat-report (Consultado en octubre del 2025).
Symantec. (2023). Cómo la inteligencia artificial (IA), está transformando la ciberseguridad. Recuperado de: https://news.microsoft.com/source/canada/features/ai/how-ai-is-transforming-cybersecurity-tackling-the-surge-in-cyber-threats/ (Consultado en octubre del 2025).
Verizon. (2022). Informe de investigaciones sobre filtraciones de datos. Recuperado de: https://www.verizon.com/business/resources/reports/2022-dbir-data-breach-investigations-report.pdf (Consultado en octubre del 2025).
