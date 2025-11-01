Lydia Martín Sábado, 1 de noviembre 2025, 10:24 Compartir

En un contexto donde la información se ha convertido en el recurso más valioso de empresas e instituciones, el 'ransomware' emerge como una de las mayores amenazas de la era digital. Este tipo de ciberataque consiste en el secuestro y cifrado de datos a cambio de un rescate económico, lo que supone para las empresas graves consecuencias económicas, legales y reputacionales en todo el mundo. Ante la importancia de prevenir y buscar soluciones a esta problemática, un nuevo encuentro de Cybeer quiso concienciar del coste real de los secuestros digitales y aportar la información necesaria para tomar medidas. Fue el pasado jueves en la Sala de Catas de Estrella de Levante, organizado por ITRES y ENAE, con el respaldo de la cervecera murciana, Fortinet y LA VERDAD. Su protagonista fue Javier Medina, cofundador de ITRES, que aportó información de forma clara y accesible para que todo tipo de usuarios pudieran entender el impacto real del ataque.

El punto de inicio que marcó el ponente es que a día de hoy no ha consciencia del patrón que usa el 'ransomware', porque «va mutando y cambiando en función de la realidad del ciberatacante». Lo que dejó claro es que este ciberataque ha venido para quedarse, porque persiste y sigue generando incidentes, aunque el hecho de que cifre el sistema de información y pida dinero para recuperarlo se ha quedado «en el imaginario colectivo». «La realidad es más compleja que eso, porque el cifrado no es lo único que sucede», apuntó Medina. Según los datos que compartió, el número de incidentes que acaban en cifrado es de 50%, pero los que acaban en filtración son el 75%, es decir, 3 de cada 4. «Suele haber una publicación de información en foros públicos y medios, porque la tendencia es filtrar esa información en la 'dark web', y las redes sociales tardan minutos en transmitirla», apuntó. Luego llega el chantaje y la amenaza con la difusión, siendo el cifrado solo una pieza más del proceso de extorsión.

El problema actual es que se han acortado los tiempos de estos ataques, ya que hace unos 7 años podían pasar semanas desde que entraban en el sistema hasta que se producía el cifrado, y ahora se ha reducido a cuestión de horas, haciendo más larga la parte de negociación. «Esto determina la necesidad de mecanismos de respuesta y acción cada vez más inmediatos», apuntó.

¿Por dónde entran?

Más allá de que se trate de grupos organizados o no, su garantía de éxito es conseguir el fallo humano. Porque «buscan identidad y cuentas de usuarios», y las pueden encontrar al colarse en una descarga de software o a través del 'phising', porque «lo van sofisticando». «A partir de aquí buscan servicios VPN, software con vulnerabilidades públicas o pivotar en el Cloud; una y otra vez»», señaló, además de buscar vulnerabilidades públicas. «No es que vayan a por ti, es que se van probando hasta que uno caiga, y eso no es innovar ni ser creativos, sino desarrollar un proceso que funciona en 1 de cada 50; y quizá hoy no funciona, pero mañana sí, porque las circunstancias del usuario cambian», informó el cofundador de ITRES.

Negociar

El proceso de negociación tiene más impacto reputacional, ya que muchas de estas empresas pueden contar con copias de seguridad o 'Back up' que les permitan no perder toda la información. En este sentido, es importante evaluar la situación real cuando hay que negociar con los ciberdelincuentes. «Tengo que ver si tengo la información almacenada o no y comprobar, con pruebas de descifrado, si realmente tienen la información ellos, además de intentar saber con quién estás negociando, porque hay veces que deciden publicarlo aunque pagues», aclaró el ponente. «Pagar no es sinónimo de que se solucione. Es una apuesta», añadió.

En costes, un ataque pequeño ronda las recompensas de 150.000 euros; el mediano de 300 a 400.000 euros, y los grandes ya se miden por millones de euros. Una cantidad que «se puede negociar», aclaró, incluso en un 50% menos, o más, si la negociación solo se centra en que no lo publiquen porque se cuenta con una copia de seguridad.

Una vez que se acuerda el precio, la decisión es si pagar o no. En el primer caso, transmitió la importancia de asesorarse bien en el caso de usar criptomonedas. Una vez que se consigue recuperar la información, la siguiente pauta es «verificar que no haya nada que aún les permita obtener información de esos archivos», ya que mantienen la intrusión con capas de persistencia. Para ello, señaló, hay que hacer «una restauración ordenada del sistema de información» para evitar nuevos incidentes.

Seguridad homogénea

Javier Medina recordó que no se trata solo de una pérdida económica, sino que hay una cantidad considerable de tiempo invertido, servicios profesionales y horas de empleo del equipo de trabajo para poder solucionar el incidente. «Los datos secuestrados son la anécdota; el impacto real son las horas que se pierden, especialmente donde la producción se para porque está digitalizada, y la cantidad de dinero que se invierte en servicios profesionales y pagar sanciones», apuntó, añadiendo cómo estas empresas disparan posteriormente su inversión en comunicación y marketing para recuperar la imagen dañada o la pérdida de ventas.

Para prevenir todo esto, aludió, no se trata solo de poner medidas tecnológicas, sino de «intentar orquestar una defensa razonable y homogénea basada en un conjunto de medidas». El objetivo no es que el 50% tenga MFA (autenticación multifactorial), sino que lo tenga el 99,9%, y esto incluye a proveedores y trabajadores externos temporales. Porque «la dificultad es extender las medidas a toda la organización».

Medina también transmitió que si se detectan estas amenazas en las primeras fases, «tienes el 90% de la partida ganada». Si la detección se da cuando ya se ha infiltrado en el sistema, es mucho más complicado. Por tanto, se trata de una «frontera de minutos y no de horas».