El ransomware se ha convertido en un riesgo empresarial persistente y sofisticado. Según el Informe Global de Ciberseguridad 2025 del Foro Económico Mundial, el ransomware sigue siendo una de las cinco principales ciberamenazas globales debido a su impacto destructivo, su frecuencia y la creciente disrupción organizacional.
La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) continúa emitiendo avisos conjuntos advirtiendo sobre la adopción por parte de grupos de ransomware de tácticas más avanzadas, como la extorsión, el robo de datos y largos periodos de inactividad sin ser detectados dentro de redes híbridas.
Datos recientes de Check Point Research muestran que los ataques de ransomware aumentaron un 33% a nivel mundial en 2024, con un promedio de ataques semanales por organización superior a 1.200, el más alto en tres años.
Cabe destacar que el informe «Estado de la Ciberseguridad 2025» muestra una tendencia preocupante: los atacantes pasan más tiempo dentro de las redes antes de ejecutar sus cargas útiles, con periodos de inactividad que, en algunos casos, pueden llegar a extenderse hasta nueve días.
Esta presencia prolongada permite a los actores de amenazas realizar tareas de reconocimiento, desactivar copias de seguridad e identificar objetivos de alto valor, maximizando el daño y la presión durante la extorsión de cifrado y la exfiltración de datos.
La implicación para los CISO es clara: las defensas tradicionales de “solo detección” en un momento dado ya no son la monitorización continua, la coordinación de herramientas y la contención en tiempo real son ahora esenciales.
En los entornos empresariales híbridos actuales —donde las cargas de trabajo críticas abarcan centros de datos, múltiples proveedores de nube, terceros y usuarios remotos—, la superficie de ataque es más amplia y compleja.
Según el Informe sobre el costo de una brecha de datos de IBM de 2024, las brechas que involucran datos distribuidos en múltiples tipos de entornos ocurrieron con mayor frecuencia (40%) que las de la nube pública (25%), las locales (20%) o la nube privada (15%).
El desafío ya no consiste en prevenir todas las brechas, sino en contener al atacante antes de que se produzca un daño real.
Desglosando la cadena de ataque del ransomware
El ransomware sigue un patrón de ataque estructurado de varias etapas, comúnmente conocido como la cadena de ataque. Estas etapas suelen incluir:
- Acceso inicial: mediante phishing, robo de credenciales o explotación de vulnerabilidades (que suelen figurar en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA).
- Establecimiento de presencia y persistencia.
- Escalada de privilegios.
- Movimiento lateral.
- Exfiltración de datos y descubrimiento de objetivos.
- Ejecución de cargas útiles y extorsión.
Tanto Gartner como CISA identifican el movimiento lateral como la fase menos supervisada y controlada de esta cadena; sin embargo, es donde los atacantes acceden a los sistemas que realmente importan a una empresa.
Una vez dentro, los actores de amenazas suelen escalar privilegios, suplantar la identidad de los usuarios y navegar silenciosamente por redes no segmentadas, buscando sistemas de respaldo, servidores de archivos y bases de datos de alto valor.
En esta etapa también existe la posibilidad de contener un ataque, pero solo si la organización cuenta con visibilidad de extremo a extremo y controles eficaces. Sin ellos, el ransomware se convierte en una crisis de continuidad del negocio en cuestión de horas.
Por qué las defensas fragmentadas no son suficientes
A pesar de la gran inversión en herramientas de ciberseguridad, muchas organizaciones aún operan con una infraestructura aislada: un conjunto de firewalls para redes locales, grupos de seguridad nativos de la nube para cargas de trabajo en la nube, agentes de endpoints para trabajadores remotos y otra consola para controles SD-WAN o SaaS.
Este enfoque fragmentado resulta en una aplicación inconsistente de políticas, una visibilidad incompleta y una coordinación de respuesta lenta.
En su Hoja de Ruta Estratégica para la Implementación del Programa de Seguridad de Confianza Cero, Gartner señala «La necesidad de definir políticas a escala…» como una de las principales complicaciones internas que dificultan la implementación efectiva de una arquitectura de confianza cero. Un entorno de políticas fragmentado dificulta aún más esta tarea.
Aún más preocupante, las configuraciones incorrectas en la nube siguen siendo un importante vector de acceso inicial.
CISA ha advertido repetidamente que los roles de IAM mal configurados, los contenedores de almacenamiento excesivamente permisivos y los puertos abiertos sin utilizar siguen siendo puntos de apoyo para el ransomware en entornos híbridos y multinube.
Los firewalls tradicionales no están diseñados para abordar esta complejidad híbrida. Tienen dificultades para inspeccionar el tráfico entre cargas de trabajo en la nube, usuarios remotos y aplicaciones SaaS.
No se integran con proveedores de identidad. Además, no ofrecen un control centralizado, lo que deja las decisiones críticas aisladas entre los equipos.
Muchas organizaciones también tienen dificultades con la gestión fragmentada de la seguridad; muchos productos y servicios de seguridad no se comunican ni comparten información entre sí.
