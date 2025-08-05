El ransomware como servicio (RaaS) ha surgido como un modelo de negocio revolucionario en el que los hackers combinan las capacidades del ransomware tradicional con la accesibilidad de los servicios basados en la nube. Esta medida les ayudó a transformar la sofisticada extorsión digital en una economía basada en la suscripción accesible para casi cualquiera con malas intenciones.
Históricamente, los ataques de ransomware eran llevados a cabo principalmente por actores de amenazas técnicamente cualificados que escribían su propio malware, lo distribuían mediante phishing o kits de explotación y negociaban directamente con la víctima. Pero en este modelo tradicional, existían limitaciones, como la escalabilidad limitada, la exposición al riesgo y la necesidad de un amplio conjunto de habilidades.
Entonces entró en escena el modelo RaaS. En este modelo, los desarrolladores de ransomware crean herramientas robustas de malware y las alquilan a sus clientes o afiliados que llevan a cabo los ataques reales. Los desarrolladores reciben entre el 20 % y el 40 % de los beneficios, mientras que los afiliados se quedan con la parte restante.
Esto ha hecho que la ciberdelincuencia sea más accesible y ha permitido a personas con habilidades limitadas llevar a cabo ataques potentes con herramientas avanzadas.
RaaS es un modelo de negocio contra el cibercrimen en el que hackers profesionales llamados desarrolladores crean y venden o alquilan herramientas de ransomware listas para fabricar a afiliados (otros delincuentes) que las utilizan para llevar a cabo ataques. Hay varias etapas, como se explica a continuación.
El desarrollador u operador diseña la carga útil del ransomware. Las características suelen incluir:
Algunas familias sofisticadas incluso incluyen características modulares, como la dispersión tipo gusano, la evasión de entorno aislado y el cifrado.
Una vez creado el malware, se empaqueta y se pone a disposición a través de mercados o foros privados. Estas plataformas se asemejan a sitios SaaS legítimos y sus características incluyen:
Algunos grupos de RaaS incluso tienen portales de servicio de atención al cliente para ayudar a los afiliados a solucionar problemas de implementación.
Según Crowdstrike, los kits RaaS se anuncian en mercados de dark web y ofrecen soporte las 24 horas, ofertas combinadas, reseñas de usuarios, foros y otras características idénticas a las que ofrecen los proveedores legítimos de SaaS.
Los afiliados suelen ser otros ciberdelincuentes que no tienen tanto talento como los desarrolladores de ransomware, pero estos delincuentes pueden propagar ransomware a través de su acceso a redes reales.
En las grandes operaciones de RaaS, el reclutamiento suele estar a cargo de gerentes afiliados o reclutadores. Una persona dedicada o un equipo pequeño busca, examina e integra a los afiliados. En las operaciones RaaS pequeñas o recién lanzadas, la contratación suele realizarla el propio desarrollador u operador.
El reclutamiento suele realizarse a través de múltiples fuentes, incluyendo plataformas de mensajería privada como Telegram o Jabber, foros de la dark web o invitaciones para unirse a grupos privados.
Los desarrolladores pueden evaluar cuidadosamente a los afiliados antes de permitirles unirse al grupo. A cambio, los afiliados obtienen acceso al ransomware, la documentación y las herramientas. A veces se centran en el reclutamiento basado en la reputación. En raras ocasiones, los atacantes pueden utilizar anuncios de trabajo de TI falsos o plataformas independientes para reclutar personas sin saberlo o para poner a prueba sus habilidades.
Los afiliados se encargan de la distribución del ransomware utilizando múltiples fuentes, entre ellas:
En algunos casos, los afiliados también implementan técnicas de doble extorsión en las que primero roban datos antes de cifrarlos y luego amenazan con publicarlos si la víctima no paga el rescate.
Una vez cifrados los sistemas, el ransomware muestra un mensaje con instrucciones de pago. Estos delincuentes suelen exigir criptomonedas, como el Bitcoin. Proporcionan pasos detallados que incluyen cómo usar Tor y billeteras de criptomonedas en la propia nota de rescate.
La víctima recibe los enlaces de los portales de negociación. Estos portales suelen estar alojados en TOR. Algunos grupos de RaaS automatizan estas conversaciones mediante chatbots, mientras que otros grupos ofrecen operadores humanos para gestionar la negociación de precios.
Estos grupos dividen sus responsabilidades de forma clara. Los afiliados son responsables de implementar ransomware, entregar la nota de rescate, establecer la comunicación inicial y gestionar la negociación. El desarrollador principal o el equipo de desarrolladores proporciona el backend alojando portales, verificando pagos y distribuyendo claves de descifrado.
Cuando estos grupos logran extorsionar a la víctima y obtener dinero, dividen los fondos según lo acordado. La cantidad acordada va al promotor y el resto se la queda el afiliado.
Existen varios modelos bajo los cuales opera RaaS. Entre ellos se incluyen los siguientes:
Algunas de las bandas de ransomware más populares que trabajan bajo el modelo RaaS son:
Para protegerse del RaaS, las empresas deben elegir una estrategia de defensa de varios niveles, que incluya:
El ransomware como servicio ha reducido las barreras para entrar en la ciberdelincuencia y ha permitido que incluso los atacantes poco cualificados lancen campañas devastadoras. Con operaciones bien organizadas, redes de afiliados y modelos de reparto de beneficios, RaaS continúa evolucionando rápidamente.
Para contrarrestar esta amenaza, las organizaciones deben adoptar una estrategia de defensa por capas que incluya formación de usuarios, copias de seguridad periódicas, uso de EDR (detección y respuesta de endpoints)/XDR, inteligencia de amenazas y respuesta rápida a incidentes.
