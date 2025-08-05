Inteligencia artificial Computación y servidores Automatización de TI

El auge del ransomware como servicio: cómo la ciberdelincuencia se ha convertido en un negocio

Syed Jawwad

Security Consultant

El ransomware como servicio (RaaS) ha surgido como un modelo de negocio revolucionario en el que los hackers combinan las capacidades del ransomware tradicional con la accesibilidad de los servicios basados en la nube. Esta medida les ayudó a transformar la sofisticada extorsión digital en una economía basada en la suscripción accesible para casi cualquiera con malas intenciones.

Históricamente, los ataques de ransomware eran llevados a cabo principalmente por actores de amenazas técnicamente cualificados que escribían su propio malware, lo distribuían mediante phishing o kits de explotación y negociaban directamente con la víctima. Pero en este modelo tradicional, existían limitaciones, como la escalabilidad limitada, la exposición al riesgo y la necesidad de un amplio conjunto de habilidades. 

Entonces entró en escena el modelo RaaS. En este modelo, los desarrolladores de ransomware crean herramientas robustas de malware y las alquilan a sus clientes o afiliados que llevan a cabo los ataques reales. Los desarrolladores reciben entre el 20 % y el 40 % de los beneficios, mientras que los afiliados se quedan con la parte restante.

Esto ha hecho que la ciberdelincuencia sea más accesible y ha permitido a personas con habilidades limitadas llevar a cabo ataques potentes con herramientas avanzadas. 

Cómo funciona el ransomware como servicio

RaaS es un modelo de negocio contra el cibercrimen en el que hackers profesionales llamados desarrolladores crean y venden o alquilan herramientas de ransomware listas para fabricar a afiliados (otros delincuentes) que las utilizan para llevar a cabo ataques. Hay varias etapas, como se explica a continuación.

1. Desarrollo del malware 

El desarrollador u operador diseña la carga útil del ransomware. Las características suelen incluir:

  • Algoritmos de cifrado para bloquear datos de víctimas
  • Técnicas de autoeliminación
  • Métodos de evasión para eludir antivirus y EDR (detección y respuesta de endpoints)
  • Canales de comunicación integrados (como el comando y control basado en TOR)

Algunas familias sofisticadas incluso incluyen características modulares, como la dispersión tipo gusano, la evasión de entorno aislado y el cifrado. 

2. Alojamiento de plataformas RaaS 

Una vez creado el malware, se empaqueta y se pone a disposición a través de mercados o foros privados. Estas plataformas se asemejan a sitios SaaS legítimos y sus características incluyen:

  • Paneles de control de usuario para rastrear infecciones
  • Portal de pagos y gestión de claves de descifrado 
  • Foros de soporte
  • Actualizaciones y despliegue de características 
  • Materiales de marketing para sus afiliados

Algunos grupos de RaaS incluso tienen portales de servicio de atención al cliente para ayudar a los afiliados a solucionar problemas de implementación.

Según Crowdstrike, los kits RaaS se anuncian en mercados de dark web y ofrecen soporte las 24 horas, ofertas combinadas, reseñas de usuarios, foros y otras características idénticas a las que ofrecen los proveedores legítimos de SaaS.

3. Reclutamiento de afiliados 

Los afiliados suelen ser otros ciberdelincuentes que no tienen tanto talento como los desarrolladores de ransomware, pero estos delincuentes pueden propagar ransomware a través de su acceso a redes reales.  

En las grandes operaciones de RaaS, el reclutamiento suele estar a cargo de gerentes afiliados o reclutadores. Una persona dedicada o un equipo pequeño busca, examina e integra a los afiliados. En las operaciones RaaS pequeñas o recién lanzadas, la contratación suele realizarla el propio desarrollador u operador.

El reclutamiento suele realizarse a través de múltiples fuentes, incluyendo plataformas de mensajería privada como Telegram o Jabber, foros de la dark web o invitaciones para unirse a grupos privados.

Los desarrolladores pueden evaluar cuidadosamente a los afiliados antes de permitirles unirse al grupo. A cambio, los afiliados obtienen acceso al ransomware, la documentación y las herramientas. A veces se centran en el reclutamiento basado en la reputación. En raras ocasiones, los atacantes pueden utilizar anuncios de trabajo de TI falsos o plataformas independientes para reclutar personas sin saberlo o para poner a prueba sus habilidades.

4. Entrega de carga útil 

Los afiliados se encargan de la distribución del ransomware utilizando múltiples fuentes, entre ellas:

  • Correos electrónicos de phishing con archivos adjuntos maliciosos 
  • Publicidad maliciosa 
  • Sitios web comprometidos  
  • Explotar software no parcheado o vulnerabilidades 
  • Agentes de acceso inicial (IAB) o intrusos iniciales (estos delincuentes venden puntos de entrada comprometidos a las redes)

En algunos casos, los afiliados también implementan técnicas de doble extorsión en las que primero roban datos antes de cifrarlos y luego amenazan con publicarlos si la víctima no paga el rescate.  

5. Trato con la víctima para el pago 

Una vez cifrados los sistemas, el ransomware muestra un mensaje con instrucciones de pago. Estos delincuentes suelen exigir criptomonedas, como el Bitcoin. Proporcionan pasos detallados que incluyen cómo usar Tor y billeteras de criptomonedas en la propia nota de rescate.

La víctima recibe los enlaces de los portales de negociación. Estos portales suelen estar alojados en TOR. Algunos grupos de RaaS automatizan estas conversaciones mediante chatbots, mientras que otros grupos ofrecen operadores humanos para gestionar la negociación de precios. 

Estos grupos dividen sus responsabilidades de forma clara. Los afiliados son responsables de implementar ransomware, entregar la nota de rescate, establecer la comunicación inicial y gestionar la negociación. El desarrollador principal o el equipo de desarrolladores proporciona el backend alojando portales, verificando pagos y distribuyendo claves de descifrado.

6. Reparto de beneficios 

Cuando estos grupos logran extorsionar a la víctima y obtener dinero, dividen los fondos según lo acordado. La cantidad acordada va al promotor y el resto se la queda el afiliado. 

Modelos de negocio RaaS

Existen varios modelos bajo los cuales opera RaaS. Entre ellos se incluyen los siguientes:

  • Afiliado/reparto de beneficios: los afiliados no pagan ningún coste inicial, pero los desarrolladores se llevan una parte de cada rescate. Este es el modelo más común.
  • Por suscripción: los afiliados pagan una cuota mensual por el acceso al kit de ransomware y al soporte. 
  • Licencia única: una tarifa plana compra acceso ilimitado al malware, pero no soporte continuo.
  • Diseño personalizado: ransomware personalizado vendido a un único comprador, a menudo para ataques de alto perfil o dirigidos.

Grupos RaaS del mundo real 

Algunas de las bandas de ransomware más populares que trabajan bajo el modelo RaaS son:

  • REvil: este grupo había ofrecido paneles de control detallados para los afiliados y, a menudo, negociaba rescates en su nombre antes de disolverse.
  • DarkSide: este grupo es conocido por su marca profesional, sus declaraciones de relaciones públicas e incluso por su código de conducta.
  • Conti: este grupo trabajó como una entidad corporativa, con nóminas, gerentes y reseñas de rendimiento antes de disolverse.
  • LockBit: este grupo sigue activo y es conocido por sus tácticas agresivas y sus sitios web de divulgación pública.

Precauciones: cómo defendernos de RaaS

Para protegerse del RaaS, las empresas deben elegir una estrategia de defensa de varios niveles, que incluya:

  1. Conciencia del usuario: el phishing es el punto de entrada más común. Una formación regular puede concienciar a los usuarios sobre los ciberataques. 
  2. Detección basada en el comportamiento y la heurística: cada día Raas lanza nuevos servicios.   Los indicadores de compromiso (IOC) pueden detectar la presencia de actividad maliciosa o evidencia de una violación de seguridad dentro de una red, sistema o endpoint. Cuando cada segundo cuenta durante un ataque de ransomware, las herramientas EDR (detección y respuesta de endpoints)/XDR pueden detectar, contener y responder en tiempo real
  3. Mapeo de firmas: cada familia de ransomware tiene firmas de comportamiento y características de carga útil distintas. Mapear esas firmas ayuda a crear defensas más específicas. Las empresas pueden actualizar periódicamente los feeds de inteligencia de amenazas e integrarlos con las plataformas SIEM o SOAR. El marco MITRE ATT&CK o Threat Fox son muy buenos para este propósito. Los usuarios pueden optar por la suscripción a tendencias de malware Any.run para obtener informes periódicos y detallados sobre los principales tipos de malware, IOC o TTP. Los usuarios también pueden aprovechar su panel de control para ver información detallada sobre familias de malware.
  4. Monitorización de la integridad de los archivos: si los usuarios realizan una monitorización de la integridad de los archivos, pueden detectar fácilmente cambios no autorizados en los archivos y directorios de un sistema. Recibirán una alerta cuando se modifiquen, eliminen o añadan archivos críticos (como configuraciones del sistema o archivos ejecutables). Esto ayuda a identificar a tiempo indicios de malware, puertas traseras o incluso amenazas internas.
  5. Aplicación de parches y actualizaciones: la aplicación regular de parches desempeña un papel clave en la defensa contra RaaS porque muchos afiliados de RaaS buscan software sin parches para obtener acceso.
  6. Detección y respuesta de endpoints (EDR): la implementación de EDR protege contra RaaS. EDR realiza análisis de comportamiento para detectar ransomware en las primeras fases de ejecución.
  7. Arquitectura zero trust: al emplear una arquitectura zero trust, el movimiento lateral será limitado, incluso si un sistema está comprometido.
  8. Segmentación: la segmentación de la red ayuda a evitar el cifrado completo de la red al aislar los sistemas críticos en diferentes segmentos.
  9. Copias de seguridad sin conexión: las copias de seguridad sin conexión son inmunes a las infecciones, por lo que si las copias de seguridad en línea se ven comprometidas, los usuarios pueden restaurarlas de forma segura a partir de copias sin conexión.
  10. Cumplimiento: mantener el cumplimiento de endpoint reduce significativamente el riesgo que plantea el ransomware como servicio (RaaS). Las empresas deben asegurarse de que los sistemas estén reforzados, sin vulnerabilidades y actualizados con las últimas definiciones antimalware.

El ransomware como servicio ha reducido las barreras para entrar en la ciberdelincuencia y ha permitido que incluso los atacantes poco cualificados lancen campañas devastadoras. Con operaciones bien organizadas, redes de afiliados y modelos de reparto de beneficios, RaaS continúa evolucionando rápidamente. 

Para contrarrestar esta amenaza, las organizaciones deben adoptar una estrategia de defensa por capas que incluya formación de usuarios, copias de seguridad periódicas, uso de EDR (detección y respuesta de endpoints)/XDR, inteligencia de amenazas y respuesta rápida a incidentes.
