El ransomware se transforma: del cifrado visible a la exfiltración invisible

El ransomware ya no se trata de cifrar archivos y exigir rescates. En su nueva etapa, los grupos criminales optan por una estrategia mucho más discreta: el robo y la exfiltración silenciosa de información crítica. Este cambio, documentado por informes internacionales de ciberseguridad, marca una mutación estructural en la economía del delito digital y desafía las defensas tradicionales de las organizaciones.

Durante casi una década, el ransomware fue sinónimo de caos digital: los atacantes bloqueaban sistemas, exigían un pago y prometían liberar los datos cifrados. Era un modelo con lógica interna, casi empresarial, donde las víctimas pagaban por recuperar la operatividad. Sin embargo, esa etapa está quedando atrás. Hoy, los grupos más sofisticados han abandonado el cifrado masivo para adoptar un enfoque más rentable y menos detectable: la exfiltración silenciosa de datos.

ransomware y exfiltración silenciosa: Un modelo que ya no necesita cifrar

En el esquema clásico, la encriptación servía como mecanismo de coerción. Pero era un proceso ruidoso: generaba alertas, dejaba rastros forenses y facilitaba la detección. Los cibercriminales comprendieron que el verdadero valor no estaba en entregar una clave, sino en controlar el flujo de información. Así nació la modalidad conocida como exfiltración silenciosa, que permite robar datos sin interrumpir operaciones y sin activar alarmas evidentes.

El informe M-Trends 2025 de Mandiant revela que el tiempo promedio que un atacante permanece sin ser detectado dentro de una red empresarial alcanza los 11 días. En algunos casos, esa permanencia se extiende a casi un mes cuando la detección proviene de un tercero externo. Ese margen temporal les permite explorar redes, identificar los archivos más valiosos y transferir información de manera fragmentada sin levantar sospechas.

Para profundizar el contexto, también se puede leer: Avanza la madurez en ciberseguridad industrial mientras crecen los riesgos.

Para profundizar el contexto, también se puede leer: BCP adopta la tecnología blockchain de J.P. Morgan para agilizar pagos.

La técnica del “living off the land”

Esta nueva etapa se apoya en una táctica denominada living off the land (LOTL), que consiste en utilizar herramientas ya presentes en el sistema comprometido. Los atacantes no instalan software malicioso externo, sino que aprovechan utilidades legítimas como PowerShell, WMI o Rclone —originalmente diseñadas para administración o respaldo— para moverse lateralmente, escalar privilegios y transferir información. Este comportamiento hace que el tráfico del atacante se confunda con el de los usuarios reales.

Un análisis de 2025 que revisó más de 700.000 incidentes encontró que el 84% de los ataques significativos emplearon técnicas LOTL. A su vez, el CrowdStrike Global Threat Report reportó que el 62% de sus detecciones correspondían a ataques sin malware, un dato que ilustra el abandono del modelo tradicional basado en archivos maliciosos. La CISA, junto a organismos internacionales, publicó alertas advirtiendo sobre el crecimiento de estas tácticas que reducen costos y aumentan el sigilo.

De la encriptación al chantaje informativo

El cambio no es solo técnico, sino económico. En lugar de secuestrar sistemas, los atacantes ahora secuestran la privacidad y la reputación de las empresas. Si en el pasado las víctimas pagaban para recuperar acceso, hoy lo hacen para evitar la exposición pública de sus datos robados. Según análisis recientes de Security.com, los ataques de extorsión sin cifrado crecieron un 23% entre 2024 y 2025, impulsados por grupos como Snakefly (también conocido como Cl0p), pioneros en explotar vulnerabilidades de software empresarial para obtener información sensible y amenazar con publicarla.

El Verizon Data Breach Investigations Report (DBIR) 2025 confirma que el ransomware sigue siendo protagonista en el 44% de las brechas globales. Sin embargo, el 64% de las organizaciones afectadas se negó a pagar rescates, lo que evidencia una pérdida de rentabilidad para los modelos basados en cifrado. Para los delincuentes, la exfiltración representa un negocio más estable: no hay claves que entregar y el daño reputacional es irreversible.

Los nuevos riesgos invisibles

El verdadero peligro de esta evolución radica en su capacidad para pasar desapercibida. Los datos robados se transfieren en pequeños fragmentos a lo largo de varios días mediante canales comunes como HTTPS o servicios en la nube de uso corporativo. Las herramientas de prevención basadas en detectar grandes volúmenes de salida de datos son incapaces de identificar este patrón.

Desde un punto de vista forense, la exfiltración silenciosa borra las huellas del ataque y diluye los límites de tiempo entre la intrusión y la detección. Esto complica las investigaciones y retrasa la respuesta. Los atacantes han aprendido a moverse dentro de los entornos empresariales con la misma naturalidad que un administrador legítimo, aprovechando credenciales válidas adquiridas en mercados clandestinos por sumas mínimas.

Por qué esta noticia es relevante

El salto hacia la exfiltración silenciosa redefine el panorama de la ciberseguridad corporativa. Durante años, la respuesta estándar ante ransomware era fortalecer copias de seguridad, aislar redes y practicar restauraciones periódicas. Pero esas medidas no sirven frente a un robo de información: aunque la infraestructura se restaure, los datos ya están en manos del atacante.

En este nuevo escenario, el problema deja de ser técnico para convertirse en reputacional y legal. Las filtraciones de información pueden derivar en sanciones regulatorias, demandas colectivas y pérdida de confianza pública. Normas como el GDPR europeo o la Ley de Protección de Datos Personales en América Latina imponen multas millonarias a las organizaciones que no protegen adecuadamente la información sensible de sus clientes o empleados.

Cómo encaja dentro de la evolución del sector

El ransomware tradicional tuvo su auge entre 2016 y 2022, época en la que proliferaron grupos como LockBit, REvil y Conti. La desarticulación de varias de estas bandas dejó espacio a una nueva generación más discreta, especializada en ataques sin malware y en la explotación de vulnerabilidades de día cero. La aparición de plataformas de leak o sitios de filtración manejados por los propios atacantes consolidó un modelo de negocio que se asemeja a un sistema de prensa del crimen digital, donde se publican pruebas parciales de los datos para aumentar la presión sobre la víctima.

El informe M-Trends 2025 menciona a RansomHub como el grupo que actualmente domina esta modalidad, tras la caída de LockBit. Estas organizaciones operan con estructuras casi corporativas, con departamentos de negociación, portales de pago y hasta soporte técnico. Su capacidad para manejar la publicación controlada de datos les da una ventaja psicológica y logística que multiplica el impacto del chantaje.

Respuestas posibles y límites actuales

Las defensas más eficaces no son productos, sino estrategias. La segmentación de red, el principio de privilegio mínimo y el monitoreo continuo del comportamiento de usuarios y procesos son herramientas clave para detectar movimientos anómalos. La detección basada en comportamiento, más que en firmas, permite descubrir actividades sospechosas incluso cuando utilizan aplicaciones legítimas del sistema.

Sin embargo, la implementación de estas medidas exige madurez organizacional, inversión sostenida y políticas de seguridad alineadas con el negocio. Ninguna herramienta puede reemplazar una cultura interna que priorice la gestión responsable de los datos.

Otra capa de defensa proviene del análisis de credenciales. El DBIR 2025 informa que más de la mitad de las víctimas publicadas en sitios de extorsión tenían sus credenciales filtradas previamente en mercados clandestinos. Esto demuestra que la prevención comienza mucho antes del ataque: implica monitorear el uso de contraseñas corporativas y adoptar autenticación multifactor en todo entorno crítico.

El impacto en los negocios y la reputación

En términos empresariales, el ransomware sin cifrado representa un riesgo existencial. Las organizaciones pueden recuperar sus sistemas, pero no su credibilidad. Cuando datos médicos, financieros o de propiedad intelectual terminan en la web, los efectos pueden durar años. Las aseguradoras cibernéticas ya están revisando sus políticas para contemplar este nuevo tipo de extorsión, lo que podría traducirse en primas más altas o exclusiones específicas.

Además, el ecosistema de proveedores, socios y clientes también se ve comprometido. Una sola filtración puede exponer a toda una cadena de suministro, generando responsabilidades compartidas y sanciones cruzadas. En América Latina, donde muchas compañías dependen de proveedores globales de software, la vigilancia sobre los contratos de protección de datos se está volviendo prioritaria.

Qué puede ocurrir a partir de ahora

Todo indica que la tendencia hacia la exfiltración silenciosa continuará. Los grupos criminales están invirtiendo en automatizar la identificación de datos sensibles y en desarrollar canales de exfiltración aún más subrepticios. En paralelo, las agencias de seguridad trabajan para fortalecer la cooperación internacional y el intercambio de inteligencia sobre estas amenazas.

Para las organizaciones, la clave será pasar de una estrategia centrada en la recuperación técnica a otra basada en la reducción del riesgo y la protección del dato en sí. Minimizar la retención de información sensible, aplicar controles de acceso rigurosos y auditar constantemente los permisos internos se convertirán en las prácticas esenciales del nuevo paradigma de defensa.

El ransomware ha mutado, y con él la naturaleza del poder en el cibercrimen. La amenaza ya no es perder acceso a los datos, sino perder el control sobre su destino. Comprender esta diferencia será decisivo para que las empresas del futuro puedan sobrevivir en un entorno digital cada vez más hostil y opaco.