Es un viernes cualquiera. Un empleado del departamento financiero está cerrando los últimos flecos de la semana cuando recibe un correo de un proveedor habitual. O eso parece. No hay faltas de ortografía, el logotipo es correcto y el mensaje no resulta especialmente alarmante; solo pide revisar una factura pendiente a través de un enlace.
Al hacer clic, la víctima llega a una página prácticamente idéntica a la del servicio de correo y aplicaciones en la nube que utiliza su empresa. Introduce su usuario y contraseña, sin sospechar que acaba de entregárselos a un ciberdelincuente.
En ese momento, no ocurre nada. No aparece ninguna pantalla en negro. No se descargan archivos extraños. El ordenador sigue funcionando con total normalidad.
Y es ahí donde reside la clave de una de las formas de operar de la ciberdelincuencia actual: el ataque no termina cuando consiguen las credenciales. En realidad, acaba de empezar.
Aunque existen diversas formas de desplegar un ransomware, muchas comienzan aprovechando una vulnerabilidad, ya sea técnica o humana. En ocasiones basta con que la víctima abra un archivo adjunto malicioso que descarga directamente el malware o instala un programa que permitirá a los atacantes tomar el control del equipo. Suelen ser ataques rápidos y llamativos.
Sin embargo, también hay incidentes tremendamente sofisticados que siguen otro camino. El phishing (suplantación de identidad) o el robo de credenciales son la puerta de entrada, pero el ransomware llega después, sigilosamente, cuando los atacantes ya conocen el terreno y han identificado los sistemas más valiosos.
El phishing ya no busca solo engañarnos
Durante años hemos asociado el phishing únicamente a aquellos correos electrónicos plagados de errores ortográficos que prometían premios, herencias imposibles o alertaban de supuestos problemas bancarios. Siguen existiendo por supuesto, pero la realidad es que la mayoría han evolucionado, y mucho.
Los ciberdelincuentes dedican cada vez más tiempo a investigar a sus víctimas, usuarios y empresas. Analizan páginas web corporativas, perfiles en redes sociales e incluso relaciones con proveedores o clientes para que sus mensajes resulten lo más creíbles posible.
El objetivo no siempre es instalar un malware inmediatamente. Lo que muchas veces buscan es algo mucho más valioso: unas credenciales válidas. Porque una contraseña legítima abre muchas más puertas que un único archivo malicioso.
Cuando ese empleado del departamento financiero que poníamos de ejemplo al principio introdujo sus credenciales en la página fraudulenta, el atacante no actuó de forma impulsiva. Le dedicó tiempo a investigar y conocer mejor a su víctima.
Accedió a la cuenta comprometida para comprobar qué permisos tiene ese usuario, qué servicios utiliza y hasta dónde puede llegar sin levantar sospechas.
No se trata de un escenario hipotético. En el ciberataque que sufrió Change Healthcare en 2024, uno de los mayores proveedores de servicios tecnológicos para el sistema sanitario estadounidense, los atacantes consiguieron acceder utilizando unas credenciales comprometidas en un sistema que no contaba con autenticación multifactor.
Una vez dentro, pudieron moverse de forma silenciosa por la infraestructura informática. Ese acceso les permitió desencadenar posteriormente un ataque de ransomware que afectó a miles de organizaciones sanitarias y provocó interrupciones durante semanas. De hecho, se sigue considerando uno de los mayores incidentes que han afectado al sector en Estados Unidos.
El atacante ya está dentro
Este proceso se denomina “movimiento lateral”: una vez obtienen las credenciales, comienza la fase invisible dentro de la organización: los ciberdelincuentes intentan ampliar sus privilegios, acceder a nuevos sistemas y comprender cómo está organizada la red.
Buscan servidores, copias de seguridad, bases de datos o equipos con información valiosa.
Este proceso puede prolongarse durante días, semanas o incluso meses. Es una estrategia que persigue un objetivo muy concreto: maximizar el impacto del ataque cuando llegue el momento.
Otro ejemplo ilustrativo fue el ataque contra MGM Resorts en 2023. Los ciberdelincuentes utilizaron técnicas de ingeniería social para obtener acceso a la identidad digital de un empleado. A partir de ahí consiguieron entrar en la infraestructura tecnológica de la compañía, escalar privilegios y moverse por distintos sistemas antes de desplegar el ransomware que logró paralizar hoteles y casinos.
En el ciberataque que afectó al Ayuntamiento de Sevilla, también en 2023, los atacantes consiguieron acceder a la red municipal utilizando las credenciales de acceso remoto de un agente de la Policía Local. Ese acceso les permitió entrar en varios servidores y desplegar posteriormente el ransomware. Aunque no ha trascendido cómo obtuvieron esas claves, este tipo de accesos suele producirse mediante técnicas de ingeniería social, campañas de phishing o el robo previo de credenciales.
El ransomware es el final de la historia, no el principio
Cuando los atacantes consideran que tienen el control suficiente sobre la infraestructura, llega la última fase. Es entonces cuando despliegan el ransomware. Los archivos quedan cifrados, numerosos sistemas dejan de funcionar y la organización sufre una paralización parcial o total de su actividad.
En la actualidad, además, muchos grupos criminales no se limitan únicamente a bloquear la información. Antes de cifrarla, también la extraen para amenazar con publicarla si no se paga el rescate. Es lo que se conoce como doble extorsión y explica por qué muchas empresas no solamente afrontan un problema operativo, sino también reputacional y legal.
¿Se puede romper esta cadena?
Precisamente porque estos ataques se desarrollan en varias fases, existen oportunidades para detectarlos antes de que desemboquen en un ransomware, pero, lógicamente, cuanto antes mejor. Y como usuarios tenemos todo el potencial para convertirnos en la primera línea de defensa, identificando situaciones sospechosas antes de que vayan a más.
Algunas recomendaciones:
- Desconfiar de los correos que invitan a iniciar sesión mediante un enlace, incluso aunque parezcan proceder de un contacto conocido.
- Verificar siempre la dirección web antes de introducir credenciales, o mejor aún, buscar la URL original por nosotros mismos.
- Activar la autenticación multifactor siempre que sea posible para dificultar el acceso aunque la contraseña haya sido robada.
- Mantener una vigilancia continua sobre los accesos y detectar inicios de sesión inusuales o desde ubicaciones inesperadas.
- Hacer uso de herramientas de seguridad que sean capaces de identificar actividades anómalas y ayuden a frenar el ataque en sus primeras fases.
- Contar con copias de seguridad protegidas y desconectadas de la red para facilitar la recuperación en caso de incidente.
Ninguna medida ofrece una protección absoluta por sí sola. La clave está en combinar tecnología, procedimientos y formación para dificultar cada uno de los pasos que necesita completar el atacante. Y por supuesto, el conocimiento, porque comprender cómo atacan los ciberdelincuentes es una de las mejores formas de adelantarse a ellos.