Tipo de software malicioso que cifra los archivos o sistemas de una organización y exige un rescate económico para restaurar el acceso. Es la ciberamenaza más costosa para las empresas, con un coste medio por incidente que supera los 4 millones de euros en 2025 según datos del sector.
En la práctica
Qué es el ransomware
El ransomware es un tipo de malware que cifra los datos de la víctima y exige el pago de un rescate (generalmente en criptomonedas) para proporcionar la clave de descifrado. Las variantes más sofisticadas practican la doble extorsión: además de cifrar los datos, los exfiltran y amenazan con publicarlos si no se paga.
Principales vectores de ataque
- Phishing y spear-phishing: correos electrónicos fraudulentos que engañan a empleados para descargar malware o revelar credenciales
- Explotación de vulnerabilidades: aprovechamiento de software sin parchear (VPN, servidores web, aplicaciones expuestas)
- Acceso remoto comprometido: credenciales de RDP robadas o débiles
- Cadena de suministro: compromiso de un proveedor de software que distribuye el malware a sus clientes
Obligaciones legales ante un ciberataque
En el marco regulatorio actual, un ciberataque genera múltiples obligaciones de notificación simultáneas:
- RGPD: notificación a la AEPD en 72 horas si hay datos personales afectados
- NIS2: notificación de alerta temprana en 24 horas y notificación completa en 72 horas al CSIRT de referencia
- DORA: para entidades financieras, notificación al supervisor financiero según los plazos establecidos
Prevención y respuesta
La prevención eficaz combina medidas técnicas (backups inmutables, segmentación de red, EDR, MFA, parcheo regular) con medidas organizativas (formación de empleados, simulacros de phishing, plan de respuesta a incidentes probado). La decisión de pagar o no el rescate tiene implicaciones legales, éticas y estratégicas que deben evaluarse con asesoramiento especializado.