Glosario de Ciberseguridad
Ransomware
Malware que cifra los archivos de la víctima y exige un rescate económico para recuperarlos.
¿Qué es Ransomware?
El ransomware es un tipo de malware que cifra los archivos de la víctima (documentos, bases de datos, imágenes) utilizando algoritmos de cifrado fuerte (AES-256, RSA-2048) y exige el pago de un rescate (generalmente en criptomonedas como Bitcoin o Monero) a cambio de la clave de descifrado. Si la víctima no paga, los archivos quedan permanentemente inaccesibles. Las variantes modernas también amenazan con publicar los datos robados (doble extorsión).
El ransomware ha evolucionado desde ataques oportunistas masivos (WannaCry, NotPetya en 2017) hacia operaciones dirigidas de "big game hunting" contra empresas y organizaciones específicas. Grupos como LockBit, BlackCat, Cl0p y Royal operan como Ransomware-as-a-Service (RaaS), proporcionando el malware a afiliados que ejecutan los ataques. El impacto económico global del ransomware supera los 30.000 millones de euros anuales, y España es uno de los países más afectados de Europa.
¿Cómo funciona?
- 1
Vector de entrada: phishing (correos con adjuntos maliciosos), explotación de vulnerabilidades (RDP expuesto, VPN sin parches), credenciales robadas.
- 2
Movimiento lateral: una vez dentro, el atacante se mueve por la red buscando privilegios elevados (Domain Admin) y servidores críticos.
- 3
Exfiltración de datos: antes de cifrar, roban datos sensibles para amenazar con publicarlos (doble extorsión).
- 4
Despliegue del cifrado: el ransomware se ejecuta simultáneamente en todos los sistemas comprometidos, cifrando archivos y eliminando shadow copies.
- 5
Nota de rescate: aparece en cada sistema cifrado con instrucciones para pagar (habitualmente en Bitcoin) y un plazo límite.
- 6
Negociación: muchos grupos tienen "soporte al cliente" mediante chat en Tor donde negocian el monto del rescate.
Implementación en Fortinet
La protección contra ransomware en Fortinet es multicapa: FortiGate bloquea el tráfico de Command & Control, detecta exploits con IPS y analiza archivos con FortiSandbox. FortiMail filtra correos de phishing. FortiEDR detecta y detiene el cifrado en los endpoints en tiempo real. FortiGuard Labs mantiene inteligencia actualizada sobre las últimas variantes de ransomware. La clave es la defensa en profundidad que proporciona el Security Fabric.
Preguntas frecuentes
¿Debo pagar el rescate si mi empresa es víctima de ransomware?
Las autoridades (INCIBE, Europol, FBI) recomiendan no pagar porque financia la actividad criminal y no garantiza la recuperación de los datos. Además, pagar te convierte en objetivo recurrente. La mejor protección es la prevención (firewalls NGFW, segmentación, backups offline) y tener un plan de respuesta a incidentes probado.
¿Cómo protege FortiGate contra ransomware?
FortiGate aplica múltiples capas: IPS bloquea exploits conocidos, antivirus detecta variantes conocidas de ransomware, FortiSandbox analiza archivos sospechosos, filtrado web bloquea URLs de descarga de payloads, y la inspección SSL permite detectar amenazas en tráfico cifrado. Complementado con segmentación de red, un ransomware no puede propagarse lateralmente.
Términos relacionados
Phishing
Ataque de ingeniería social que suplanta identidades legítimas para robar credenciales y datos.
Leer más →APT (Amenaza Persistente Avanzada)
Ataques dirigidos, sofisticados y prolongados contra organizaciones específicas, a menudo patrocinados por estados.
Leer más →Sandboxing (Aislamiento de Amenazas)
Ejecuta archivos sospechosos en un entorno seguro y aislado para detectar malware desconocido.
Leer más →FortiGuard (Inteligencia de Amenazas)
Laboratorio de inteligencia de amenazas de Fortinet que alimenta todos los servicios de seguridad.
Leer más →¿Necesitas protección Ransomware?
Nuestros expertos en ciberseguridad pueden ayudarte a implementar la mejor solución Fortinet para proteger tu empresa. Consulta sin compromiso.