Noticias Opinión Entrevistas Casos de Éxito Encuentros Especiales Vídeos Webinar ¿Quién es Quién? La Guía del ISV

Especiales

Así funciona el ransomware como servicio (RaaS)

Home Seguridad
Dirección copiada
Actualizado el 22 ago 2025
Computer security and extortion concept. Ransomware virus has en
Computer security and hacking concept. Ransomware virus has encrypted data in laptop. Hacker is offering key to unlock encrypted data for money.

Conforme se ha ido popularizando el modelo de venta de tecnología como servicio, los ciberdelincuentes han ido ganando espacio en la nube para multiplicar su negocio y ganar más rentabilidad con la venta de código malicioso a terceras partes. Es lo que ya se conoce como RaaS, Ransomware como Servicio, y que está poniendo en jaque a un número creciente de empresas e incluso haciendo tambalear a grandes corporaciones de las industria mundial. El RaaS genera un volumen de negocio superior a muchas economías de países en desarrollo y desgraciadamente tiene un «brillante» futuro por delante. 

¿Qué es el Ransomware como Servicio?

El ransomware como servicio (RaaS) es un modelo de negocio del cibercrimen en el que los hackers o ciberdelincuentes venden código o malware de ransomware a otros hackers, llamados “afiliados”, quienes luego utilizan ese código para llevar a cabo sus propios ataques de ransomware.

La especialización y consolidación del cibercrimen han impulsado el ransomware como servicio (RaaS), convirtiéndose en un modelo de negocio dominante, que hace que un mayor número de delincuentes, independientemente de sus conocimientos técnicos, pueda desplegar este tipo de malware.

El RaaS permite a los ciberdelincuentes comprar el acceso tanto a las payloads del ransomware como a la fuga de datos y a la infraestructura de pago. Los grupos cibercriminales de ransomware son, en realidad, programas RaaS como Conti o REvil, utilizados por muchos actores diferentes. Esta “industrialización” de la ciberdelincuencia ha creado funciones especializadas, como los brokers de acceso que venden la posibilidad de acceder a las redes. El RaaS reduce drásticamente la barrera de entrada para los atacantes, es decir, les facilita el camino.

¿Cómo funciona el Ransomware como Servicio?

El ransomware como servicio, conocido como RaaS, es un modelo de negocio criminal que traslada al mundo del cibercrimen prácticas habituales en la industria tecnológica. En lugar de que un único hacker programe y ejecute un ataque, el RaaS separa funciones entre desarrolladores y afiliados.

Los desarrolladores son quienes crean el malware y lo ponen a disposición en la dark web bajo suscripción, licencia o acuerdos de reparto de beneficios. Los afiliados, por su parte, no necesitan grandes conocimientos técnicos: basta con pagar por el acceso a la herramienta y lanzar los ataques contra las víctimas, normalmente a través de campañas de phishing, enlaces maliciosos o la explotación de fallos de seguridad.

Una vez que el ransomware cifra los datos de una organización o usuario, aparece la clásica nota de rescate. Si la víctima paga, el botín se reparte: el afiliado se queda con la mayor parte y el desarrollador obtiene un porcentaje, ampliando así su negocio sin necesidad de involucrarse directamente en el ataque.

Este esquema convierte al ransomware en un servicio bajo demanda, que facilita la entrada a delincuentes con poca experiencia y multiplica el alcance de los grupos criminales más organizados.

Dado que los actores de RaaS venden su experiencia a cualquiera que esté dispuesto a pagar, los ciberdelincuentes en ciernes, sin siquiera tener la destreza técnica necesaria para utilizar puertas traseras o diseñar sus propias herramientas, pueden acceder a una víctima, utilizando sencillamente aplicaciones de pruebas de intrusión y de administración de sistemas ya preparadas para realizar ataques.

¿Cuáles son los principales desafíos de ciberseguridad para las empresas?

Los principales desafíos de ciberseguridad para las empresas incluyen la creciente sofisticación de los ciberataques, la carencia de talento y de profesionales especializados en prevención y remediación ante amenazas, los riesgos asociados a la adopción de la nube, las vulnerabilidades en la cadena de suministro y la necesidad de promover una mayor concienciación de los usuarios por parte del canal de distribución especializado.  

  • Ransomware y RaaS (Ransomware-as-a-Service)

    • Siguen siendo una de las amenazas más rentables para los ciberdelincuentes.

    • Los ataques son cada vez más sofisticados, con modelos de doble o triple extorsión (robo de datos + cifrado + amenaza de filtración).

  • Phishing y ataques de ingeniería social

    • El eslabón más débil suele ser el factor humano.

    • Correos electrónicos, SMS o llamadas falsas siguen siendo la vía más utilizada para robar credenciales.

  • Protección de datos en la nube

    • Con la migración masiva a servicios cloud, aumentan los riesgos de configuraciones incorrectas, brechas de datos y accesos no autorizados.

  • Amenazas internas

    • Empleados descontentos o descuidados pueden provocar filtraciones.

    • Los accesos privilegiados sin control son un gran riesgo.

  • Ciberataques impulsados por inteligencia artificial

    • La IA facilita la creación de phishing más creíble, deepfakes y malware adaptativo.

    • Al mismo tiempo, las empresas aún están aprendiendo a usar la IA para defensa.

  • Protección de la cadena de suministro

    • Un proveedor vulnerable puede ser la puerta de entrada a toda la organización (caso SolarWinds, Kaseya…).

    • Cada vez se exige más visibilidad y control sobre socios y terceros.

  • Cumplimiento normativo y privacidad

    • GDPR en Europa, leyes de ciberseguridad en EE. UU., NIS2 y otras normativas obligan a las empresas a reforzar sus políticas y controles.

    • No cumplir conlleva multas millonarias.

  • Escasez de talento en ciberseguridad

    • Existe un déficit global de profesionales cualificados, lo que dificulta la creación de equipos sólidos de defensa.

  • Ataques a dispositivos IoT y entornos OT/industriales

    • Los sensores, cámaras y equipos conectados suelen tener poca seguridad.

    • En sectores críticos, un ataque puede paralizar la producción.

  • Resiliencia y continuidad del negocio

    • Más allá de evitar un ataque, el reto es cómo recuperarse rápido sin interrumpir la actividad ni perder la confianza de clientes y socios.

Radiografía de los ataques de ransomware 

Los ataques han aumentado significativamente en los últimos años, con un volumen masivo de intentos y ataques exitosos. Los atacantes no solo cifran los datos, sino que también los roban para presionar a las víctimas y pueden añadir amenazas adicionales, como ataques de denegación de servicio (DoS) o contacto directo con los clientes de la víctima para dañar su reputación. 

El sector sanitario, industrial y financiero ha sido particularmente afectado, con un ataque de ransomware cada 6 minutos, y el ransomware representando aproximadamente el 25 % del total de ataques cibernéticos en España.

En el primer semestre de 2025, España se posicionó como el segundo país del mundo con mayor volumen de amenazas detectadas, solo por detrás de Japón, siendo especialmente afectadas las PYMES.

Entre los grandes ataques de ransomware del año en España destacan los siguientes: 

  • Guardia Civil, Fuerzas Armadas: Casi 200.000 registros fueron filtrados y puestos a la ventas en foros de hackers 
  • Real Academia Española (RAE): sufrió un ataque de ransomware seguido de filtración de datos (aprox. 1 GB, información interna de RRHH y finanzas), atribuido al malware “Fog”.
  • Fundación UVA (Universidad de Valladolid): afectada por un ataque de ransomware (cifrado de datos/sistemas), en paralelo a un incidente similar en el Ayuntamiento de Badajoz, presuntamente obra de LockBit.

  • Endesa: ataque crítico a los datos de 30 millones de usuarios atribuido al grupo ruso AgencyInt. sal23.es

  • Ayuntamiento de Badajoz: afectado por LockBit, con servicios administrativos paralizados.

  • Telefónica: Ciberataque en el que se filtraron 2,3 gigas de información sobre su sistema Jira. 
  • El Corte Inglés: Los hackers se hicieron con los datos personales de 11 millones de usuarios con tarjeta de compra del gigante del comercio 
  • Webs de diputaciones y ayuntamientos: El grupo rusoNoName057 lanzó varios ciberataques en represalia por el apoyo español a Ucrania. 
  • ATA: El grupo Arikos accedió a bases de datos con información de nombres, correos y teléfonos de 240.000 afiliados a la asociación de autónomos ATA. 

Variantes del RaaS

  • Suscripción (Subscription-based)

    • Los afiliados pagan una cuota fija (mensual o anual) para acceder al ransomware y a su infraestructura.

    • Funciona como un software legal bajo SaaS, pero en la dark web.

  • Licencia única (One-time license)

    • El afiliado paga una sola vez por usar el malware.

    • No hay soporte ni actualizaciones incluidas, como comprar un software “pirata”.

  • Pago por uso (Pay-per-use / Affiliate model)

    • El desarrollador ofrece el ransomware gratis o a bajo coste, pero cobra un porcentaje del rescate obtenido (normalmente entre 20% y 40%).

    • Es el modelo más común porque reduce la barrera de entrada.

  • Programas de afiliados premium

    • Incluyen soporte técnico, paneles de control, guías y hasta servicio al cliente para los atacantes.

    • Algunos grupos ofrecen versiones personalizadas del ransomware para ciertos sectores (sanidad, banca, energía…).

  • Modelo mixto

    • Combina suscripción + reparto de beneficios.

    • Permite al desarrollador tener ingresos estables (suscripción) y al mismo tiempo participar de los rescates más grandes.

Consejos para protegerse contra el RaaS

 

Construir un protocolo de higiene de credenciales. Cuando los ciberataques no vienen de frente, no sabemos cómo actuar ante los peligros que presentan. Los ciberatacantes utilizan diversas técnicas para propagarse progresivamente a través de una red a medida que buscan activos y datos clave. Por tanto, es imprescindible desarrollar una segmentación lógica de la red basada en los privilegios para limitar el movimiento lateral.

Auditar la exposición de credenciales. Para prevenir los ataques de ransomware y la ciberdelincuencia en general, es fundamental que los equipos de seguridad de TI y los SOC trabajen juntos para reducir los privilegios administrativos y tener más control del nivel de exposición de sus credenciales.

Reducir la superficie de ataque. Para evitar las técnicas de cibercrimen más comunes utilizadas en los ataques de ransomware, se recomienda el establecimiento de reglas de reducción de la superficie de ataque. Las organizaciones con reglas claramente definidas han podido mitigar estos ataques en sus etapas iniciales.

Publicado originalmente en 24 ago 2022
@REPRODUCCIÓN CONFIDENCIAL

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

C
Redacción Channel Partner

Leer también:

Temas

Canales

Artículos relacionados

  • Marc Murtra y Ángel Escribano, nuevos responsables de Telefónica e Indra

  • noticias

    Fin de semana de relevos en la dirección de Telefónica e Indra

    20 Ene 2025

    por Redacción Channel Partner

    Compartir
  • Ciberdelincuentes aprovechan vacaciones navideñas

  • noticias

    Los ciberdelincuentes aprovechan el teletrabajo en vacaciones navideñas

    23 Dic 2024

    por Redacción Channel Partner

    Compartir
  • NIS2-ilustracion

  • especiales: arranca nis2

    NIS2: qué es, plazos de implantación, a qué empresas afecta y sanciones

    15 Ene 2025

    por Juan Cabrera

    Compartir