Ransomware multiplataforma: panorama actual, familias y defensas

Informatec Digital » Recursos » Ransomware multiplataforma: panorama actual, familias y defensas

El ransomware multiplataforma se ha convertido en uno de los dolores de cabeza más serios para empresas, organismos públicos y todo tipo de organizaciones. Ya no hablamos solo de virus que afectan a ordenadores con Windows, sino de familias capaces de cifrar datos en servidores Linux, hipervisores ESXi, máquinas virtuales y, cada vez más, incluso de aprovechar la inteligencia artificial para automatizar sus ataques.

En los últimos años hemos visto oleadas de nuevas familias de ransomware escritas en Rust, Golang o C++, una explosión de modelos Ransomware-as-a-Service (RaaS) y campañas muy focalizadas contra infraestructuras críticas y redes corporativas. A la vez, los equipos de respuesta a incidentes y los laboratorios de ciberseguridad han ido desgranando el funcionamiento interno de estos ataques, encontrando errores en su diseño, publicando herramientas de descifrado y documentando tácticas, técnicas y procedimientos (TTPs) cada vez más complejos.

Qué es el ransomware multiplataforma y por qué se ha disparado

Cuando hablamos de ransomware multiplataforma nos referimos a malware capaz de ejecutarse en más de un sistema operativo, normalmente Windows y Linux, y con frecuencia también en entornos de virtualización como VMware ESXi. La clave de este salto está en el uso de lenguajes de programación modernos como Rust, Golang o, en menor medida, C/C++ con compilaciones específicas para cada arquitectura.

El objetivo es claro: maximizar el impacto dentro de una misma red corporativa. Si los atacantes consiguen acceso al entorno, quieren poder cifrar tanto los equipos de usuario como los servidores, los controladores de dominio, los NAS (véase la protección de NAS), las máquinas virtuales y cualquier activo que almacene información valiosa. De este modo, el poder de negociación del rescate se dispara.

Lenguajes como Rust y Golang son independientes de la plataforma y permiten compilar de forma relativamente sencilla binarios para distintos sistemas y arquitecturas (x86, x86_64, ARM, etc.). Esto ha sido aprovechado por grupos como BlackCat, Hive, Luna, Akira, PromptLock y otras familias recientes, que no se conforman con atacar un solo tipo de sistema.

Además, muchos grupos de ciberdelincuentes han abrazado el modelo de Ransomware-as-a-Service (RaaS), en el que los desarrolladores del malware alquilan su plataforma a afiliados. Estos afiliados se encargan de comprometer las redes y desplegar el ransomware, a cambio de repartir el beneficio del rescate. Este planteamiento fomenta que el código sea modular, fácil de portar y pueda trabajar sin problemas en múltiples entornos.

01flip: un ransomware Rust multiplataforma centrado en Windows y Linux

Una de las familias recientes que ejemplifica esta tendencia es 01flip, un ransomware escrito íntegramente en Rust que ha sido observado atacando tanto sistemas Windows como Linux en redes de la región Asia-Pacífico, por lo que la administración de sistemas Linux es crítica para defenderse. Los investigadores lo han asociado a una actividad rastreada como CL-CRI-1036, vinculada a ciberdelincuencia con motivación económica.

Los primeros indicios aparecieron a principios de junio de 2025, cuando se analizó un ejecutable sospechoso para Windows que mostraba un comportamiento típico de ransomware en un entorno aislado. El binario no estaba empaquetado ni excesivamente ofuscado, lo que facilitó confirmar que se trataba de código Rust original. El nombre 01flip proviene de la extensión que añade a los ficheros cifrados (.01flip) y de la dirección de contacto en la nota de rescate (01Flip@protonme).

Posteriormente, gracias al análisis de muestras en plataformas de intercambio de malware, se identificó una versión para Linux de 01flip que llevaba al menos tres meses sin ser detectada. El uso de Rust y la compilación cruzada permitió a los atacantes mantener prácticamente idéntica la lógica interna de ambas variantes, cambiando únicamente las dependencias específicas de la plataforma.

Herramientas como rustbininfo mostraron que la versión de Rust, el hash de commit y la mayoría de bibliotecas (crates) eran coincidentes entre el binario de Windows y el de Linux. Esto indica que el grupo reutiliza el mismo código fuente y compila para distintos sistemas con cambios mínimos, una de las grandes ventajas de este enfoque multiplataforma.

En cuanto al impacto real, hasta ahora se ha observado un número reducido de víctimas, si bien algunas de ellas gestionan infraestructuras sociales críticas en el sudeste asiático. Hay evidencias de filtración de datos en foros de la web oscura asociadas a CL-CRI-1036, aunque el volumen total de organizaciones afectadas sigue siendo desconocido.

Cadena de ataque de 01flip: acceso inicial, movimiento lateral y despliegue

El análisis forense de redes comprometidas por 01flip revela un enfoque bastante manual y orientado a objetivos concretos. En un caso documentado, los atacantes comenzaron a tantear el perímetro a principios de abril de 2025, intentando explotar vulnerabilidades antiguas como CVE-2019-11580 en aplicaciones expuestas a Internet.

A pesar de que no se ha podido determinar con exactitud qué vector de entrada tuvo éxito, hay evidencias sólidas de que los atacantes desplegaron Sliver, un conocido marco de emulación de adversarios y C2 de código abierto escrito en Go y multiplataforma, en una máquina Linux de la víctima. Un mes después del primer intento de explotación se detectó una baliza Sliver funcionando con perfil de pivote TCP.

Con este acceso consolidado, a finales de mayo de 2025 el grupo detrás de CL-CRI-1036 realizó movimiento lateral hacia otras máquinas Linux, descargando nuevos implantes Sliver para extender su presencia en la red. El despliegue del ransomware 01flip se produjo más tarde, cuando los atacantes ya conocían el entorno y tenían capacidades de administración suficientes.

En una fase final del incidente, se detectaron múltiples instancias de 01flip ejecutándose de forma casi simultánea en equipos Windows y Linux de la misma organización. Aunque no está claro el método exacto de propagación interna, es razonable pensar que aprovecharon funcionalidades de Sliver y módulos adicionales para:

• Realizar reconocimiento interactivo de sistemas y servicios.
• Volcar credenciales y escalar privilegios dentro del dominio.
• Llevar a cabo movimientos laterales hacia otros segmentos y servidores clave.

Los atacantes exigieron en sus comunicaciones pagos de hasta 1 bitcoin (BTC) por el descifrado y utilizaron canales cifrados (correo seguro y mensajería privada) para negociar con las víctimas. No se ha observado, al menos en esta campaña, un portal público de doble extorsión al estilo de los grandes grupos RaaS, aunque sí se ha encontrado una supuesta publicación de venta de datos en un foro de la web oscura inmediatamente después de la infección.

Funcionamiento interno de 01flip: cifrado, evasión y borrado de huellas

La lógica de 01flip es relativamente directa, aunque incluye varios detalles curiosos de ingeniería. Una vez ejecutado en un sistema comprometido, el ransomware realiza las siguientes acciones principales:

1. Enumera todas las unidades accesibles (en Windows, desde A: hasta Z:; en Linux, sistemas de ficheros montados) para localizar el máximo número de directorios grabables.
2. Crea una nota de rescate llamada RECOVER-YOUR-FILE.TXT en cada carpeta a la que tiene permisos de escritura. En ella incluye datos de contacto y un bloque de información cifrada que se usa durante la negociación.
3. Renombra los archivos objetivo siguiendo el patrón <NOMBRE_ORIGINAL>.<ID_UNICO>.<0 o 1>.01flip, de forma que cada víctima queda identificada y se diferencian ciertos parámetros del cifrado.
4. Cifra el contenido de los ficheros con AES-128-CBC usando una clave de sesión simétrica generada para cada sistema.
5. Cifra esa clave de sesión con una clave pública RSA-2048 incrustada en el binario y la incluye en la nota de rescate, de manera que solo quien posee la clave RSA privada puede generar el descifrador.
6. Se elimina a sí mismo al final de la ejecución para complicar el análisis forense.

A nivel de evasión, 01flip se caracteriza por usar API nativas y llamadas de bajo nivel siempre que puede. En Windows, recurre a funciones del núcleo en lugar de APIs de alto nivel que suelen estar más vigiladas por las soluciones de seguridad. En Linux, hace un uso similar de llamadas directas al sistema. Esta estrategia no es infalible, pero ayuda a camuflar la actividad entre el ruido legítimo del sistema operativo.

Otra capa de ofuscación se basa en el cifrado de cadenas sensibles dentro del binario. La nota de rescate, el nombre del fichero de la nota, la lista de extensiones a procesar y la propia clave pública RSA se almacenan codificadas. En tiempo de ejecución se descifran aplicando una operación simple de resta (SUB) sobre pares de bytes. Según el tamaño de cada cadena, esta se ubica en la sección .text o .data del ejecutable.

Paradójicamente, 01flip también incluye una pequeña técnica anti-sandbox: revisa si el nombre del archivo ejecutable contiene la cadena 01flip. Si la detecta, se limita a borrarse a sí mismo sin iniciar el cifrado. Esto complica levemente el análisis automático cuando los sistemas de laboratorio renombran las muestras, pero no deja de ser un truco bastante básico.

El módulo de borrado de huellas está más trabajado. Una vez terminada la fase de cifrado, el ransomware intenta sobrescribir su propio binario con datos aleatorios y luego eliminarlo del disco, tanto en Windows como en Linux. En la práctica utiliza comandos específicos de cada plataforma:

• En Windows: combina un ping para introducir una pausa, fsutil para poner a cero varios megabytes del fichero y posteriormente un borrado forzado (Del /f /q).
• En Linux: emplea dd con /dev/urandom para llenar de datos aleatorios varios megabytes del propio ejecutable y después lanza un rm silencioso.

Política de exclusiones de cifrado y posible vínculo con LockBit

Como ocurre con otras familias, 01flip incorpora una lista de extensiones de archivo que nunca cifra. El objetivo de esta lista de exclusiones es evitar dejar inservible el sistema operativo y asegurarse de que los servicios críticos para el propio atacante (como herramientas de administración o binarios del sistema) sigan funcionando, de modo que el entorno permanezca estable y la víctima pueda comunicarse y pagar.

Entre las extensiones excluidas encontramos gran cantidad de tipos ejecutables y de sistema: exe, dll, sys, bat, cmd, com, msi, msu, ocx, so, o, bin, rom, winmd, drivers (drv), fuentes y tipografías (ttf, woff, otf, fnt, fon), recursos visuales (ico, icns, cur, ani), archivos temporales y de caché (tmp, sfcache), enlaces (lnk), archivos de bloqueo (lock) o paquetes de instalación (deb, dmg, apk, app, cab, iso), entre otros muchos.

Llama especialmente la atención la exclusión de la extensión lockbit, que normalmente no se utiliza de forma legítima. El hecho de que 01flip ignore cualquier fichero que termine en .lockbit ha hecho pensar a los analistas en un posible solapamiento o relación con el grupo detrás del famoso ransomware LockBit, al que algunos proveedores rastrean con el nombre Flighty Scorpius.

No obstante, más allá de esta curiosa coincidencia en el código no se han hallado TTPs, infraestructura o patrones de negociación que apunten claramente a una conexión directa entre CL-CRI-1036 y LockBit. Podría tratarse de un guiño deliberado, de una forma de evitar conflictos entre operaciones o, simplemente, de una copia de fragmentos de código tomada de muestras públicas.

Sea como fuere, la lista de exclusión forma parte esencial del diseño del ransomware, ya que permite que el sistema continúe arrancando y evita corromper elementos necesarios para que la víctima pueda acceder a la nota de rescate, interactuar con el entorno y realizar el pago si decide hacerlo.

Entornos ESXi, Rust, Go y el auge del ransomware multiplataforma

Los laboratorios de distintas compañías de seguridad han observado un crecimiento constante de familias de ransomware que apuntan directamente a hipervisores ESXi además de a sistemas Windows y Linux. Dado que gran parte de la infraestructura corporativa se ha virtualizado, comprometer un servidor ESXi permite cifrar de golpe docenas o cientos de máquinas virtuales.

El grupo Luna, por ejemplo, utiliza un ransomware escrito en Rust con capacidades para atacar Windows, Linux y ESXi simultáneamente. El análisis de Kaspersky ha detectado publicidad de Luna en foros de la dark web donde se especifica que solo trabajan con afiliados de habla rusa, un detalle que, sumado a ciertos errores de ortografía en la nota de rescate incrustada en el binario, sugiere un origen ruso.

Otro caso destacado es Black Basta, una familia de ransomware escrita en C++ que ha logrado comprometer a más de 40 organizaciones desde su aparición en 2022, principalmente en Estados Unidos, Europa y Asia. Tanto Black Basta como Luna tienen variantes específicas para ESXi, reforzando esta tendencia a atacar el nivel de virtualización como punto único de fallo.

En paralelo, grupos como BlackCat y Hive han apostado también por Rust y Go. Hive, en concreto, combina ambos lenguajes en su ecosistema de herramientas, y se ha convertido en un ejemplo clásico de ransomware multiplataforma orientado al modelo RaaS, con paneles para afiliados, gestión de víctimas y estrategias de doble extorsión muy pulidas.

El mensaje de fondo que trasladan los investigadores es claro: la elección de lenguajes como Rust y Go reduce el esfuerzo necesario para portar el ransomware entre plataformas, facilita cierta evasión frente a firmas estáticas tradicionales y complica el análisis inverso para los laboratorios, debido a la estructura particular de los binarios y a las optimizaciones de compilación.

VolkLocker (CyberVolk 2.x): RaaS, automatización con Telegram y fallo crítico

Otro ejemplo reciente de ransomware multiplataforma es VolkLocker, asociado al resurgimiento del grupo hacktivista pro-ruso CyberVolk. Esta nueva operación, conocida como CyberVolk 2.x, adopta un enfoque de Ransomware-as-a-Service, abriendo la puerta a afiliados con pocos conocimientos técnicos pero con ganas de monetizar accesos a redes comprometidas.

VolkLocker está diseñado para afectar a infraestructuras críticas tanto en entornos Windows como Linux y ESXi, integrando capacidades automatizadas para ejecutar comandos, escalar privilegios e incluso activar funciones destructivas mediante temporizadores. Uno de sus elementos singulares es el uso de Telegram como canal de mando y control, apoyándose en bots y APIs de mensajería para recibir órdenes, enviar resultados de comandos y coordinar la operación entre distintos sistemas comprometidos.

A nivel técnico incorpora mecanismos de bypass de UAC (Control de Cuentas de Usuario) en Windows para elevar privilegios, además de módulos programados para borrar o corromper datos si se cumplen determinadas condiciones de tiempo o si la víctima intenta interferir en el proceso de cifrado. Todo ello encaja con un planteamiento de RaaS bastante profesionalizado.

Sin embargo, los análisis de seguridad han sacado a la luz un fallo de diseño muy grave: las claves maestras de cifrado están codificadas de forma estática dentro de los binarios y almacenadas en texto plano. Esto significa que, una vez se extrae el binario y se examina, es posible reconstruir las claves sin necesidad de pagar el rescate, permitiendo desarrollar herramientas de descifrado para las víctimas.

Este tipo de error recuerda a versiones tempranas de otros ransomware en las que la criptografía se implementó de manera defectuosa, permitiendo a los investigadores publicar descifradores gratuitos. No obstante, es habitual que los grupos aprendan de estos fallos y lancen versiones corregidas más adelante, por lo que resulta crítico aprovechar la ventana de oportunidad mientras existe.

PromptLock: el primer ransomware impulsado por IA

En el terreno de la innovación, ESET ha descrito PromptLock como el que podría considerarse el primer ransomware impulsado por inteligencia artificial. Se trata, hasta donde se sabe, de una prueba de concepto o un trabajo en curso que no se ha observado aún en ataques reales, pero que ilustra hacia dónde pueden evolucionar estas amenazas.

PromptLock está escrito en Golang y dispone de variantes para Windows y Linux, aprovechando de nuevo la naturaleza multiplataforma de este lenguaje. Lo más impactante es que integra el modelo gpt-oss-20b de OpenAI de forma local a través de la API de Ollama, utilizando la IA para generar scripts Lua maliciosos sobre la marcha.

Estos scripts Lua se construyen a partir de prompts codificados dentro del propio malware y se utilizan para llevar a cabo múltiples tareas: enumerar el sistema de ficheros, identificar archivos de interés, exfiltrar determinados datos y, finalmente, ejecutar el cifrado. La IA actúa como un motor que adapta la lógica de ataque al contexto, lo que abre la puerta a comportamientos mucho más dinámicos.

El hallazgo de PromptLock pone de relieve que las herramientas de IA públicas y fácilmente accesibles pueden ser reutilizadas con fines maliciosos, automatizando fases críticas de un ataque de ransomware (reconocimiento, análisis de archivos, selección de objetivos, etc.) a una velocidad y escala que antes requerían un esfuerzo manual considerable.

Para los equipos de defensa, esto implica que el volumen, la complejidad y la capacidad de adaptación de los ataques podrían incrementarse, especialmente si futuras familias combinan IA, capacidades multiplataforma y modelos de negocio RaaS. ESET anticipa que el ransomware seguirá creciendo de la mano de la inteligencia artificial y recomienda estar muy atentos a las próximas tendencias que se recogerán en informes específicos y white papers centrados en el uso ofensivo de la IA.

Más amenazas multiplataforma: FakeSG, Akira y el stealer AMOS para macOS

El equipo GReAT de Kaspersky ha documentado también otras campañas y familias que encajan en este panorama de crimeware multiplataforma, donde el ransomware comparte protagonismo con ladrones de credenciales y sistemas de distribución avanzados.

Una de las amenazas en expansión es FakeSG, una campaña en la que sitios web legítimos son comprometidos para mostrar falsas notificaciones de actualización de navegador. Al hacer clic, el usuario descarga un archivo malicioso que ejecuta scripts ocultos, establece un C2 (comando y control) y permite a los atacantes tomar el control del sistema o desplegar otros tipos de malware, incluido ransomware.

En el ámbito estrictamente de cifrado, Akira se ha posicionado como una variante de ransomware que ataca tanto Windows como Linux. En poco tiempo ha afectado a más de sesenta organizaciones de múltiples sectores (retail, educación, bienes de consumo, etc.). Comparte rasgos con el viejo conocido Conti, como una lista de exclusión de carpetas prácticamente idéntica y un panel C2 característico, con una interfaz clásica pero robusta frente a intentos de análisis.

En paralelo, se ha observado un crecimiento notable del ecosistema de stealers dirigidos a macOS, tradicionalmente menos atacado que Windows. El ladrón AMOS (Atomic macOS Stealer) apareció inicialmente en abril de 2023 y se ofrecía por unos 1.000 dólares al mes a través de canales de Telegram.

Con el tiempo, AMOS pasó de estar escrito en Go a reescribirse en C, incorporando métodos de distribución cada vez más agresivos, como campañas de publicidad maliciosa (malvertising) en sitios que imitaban páginas oficiales de software. Una vez instalado, roba credenciales, datos sensibles y otros secretos del usuario, identificando cada infección mediante un UUID único. Este tipo de stealer demuestra que el enfoque multiplataforma ya no es exclusivo del ransomware, sino que se extiende al resto del arsenal delictivo.

Historia, evolución y modelos de extorsión del ransomware

Para entender el panorama actual conviene recordar que el ransomware no es un fenómeno nuevo. El primer caso ampliamente documentado fue AIDS Trojan o PC Cyborg, en 1989, que cifraba los nombres de archivo en la unidad C: de los PCs y exigía el pago de 189 dólares a un apartado postal en Panamá a cambio de una supuesta herramienta de desbloqueo.

Aquellos ataques iniciales de extorsión simple han evolucionado hacia modelos de doble, triple y hasta cuádruple extorsión. En campañas como Maze (2019), los delincuentes no solo cifraban los datos, sino que amenazaban con publicarlos si no se pagaba. Avaddon, en 2021, añadió además la posibilidad de lanzar ataques de denegación de servicio (DDoS) a las víctimas que se resistían. La cuádruple extorsión incorpora la presión sobre clientes y socios de la organización atacada, amplificando el daño reputacional.

El ransomware se ha transformado en un mercado bien estructurado dentro del ecosistema criminal. Modelos como RaaS permiten que actores con bajo nivel técnico puedan lanzar campañas utilizando plataformas completas que incluyen el malware, los paneles de administración, la infraestructura de pago y el soporte al afiliado. Hive es un ejemplo representativo de este enfoque multiplataforma y orientado a servicio.

Algunos grupos han llegado incluso a implantar programas de recompensas (bug bounty) internos, pagando a quienes descubren y reportan fallos en su código para mejorar la seguridad de sus operaciones, como se ha visto con LockBit. Esta ironía resume bien el nivel de profesionalización: mientras atacan la seguridad de empresas y usuarios, se esfuerzan por blindar su propio “producto”.

El auge del ransomware se explica en parte por la facilidad de propagación y la diversidad de vectores de infección disponibles: phishing, explotación de vulnerabilidades, descargas maliciosas, macros en documentos, ataques a RDP expuesto, etc. Además, la presencia de mercados en la dark web y servicios auxiliares (alquiler de botnets, venta de accesos, lavado de criptomonedas) completa una cadena de valor criminal muy madura.

Métodos de infección, evasión y técnicas de cifrado más habituales

A lo largo de los años, las diferentes familias de ransomware han perfeccionado y combinado múltiples métodos de entrada. Muchas campañas siguen girando en torno al correo electrónico de phishing, como hicieron en su día TeslaCrypt, CERBER, Nemucod, LECHIFFRE, MirCop o Stampado, utilizando adjuntos o enlaces engañosos para ejecutar el payload inicial.

Otros grupos se han apoyado en kits de explotación que comprometen sitios web legítimos, como CryptXXX, SNSLocker, XORIST o DXXD, de modo que basta con visitar una página vulnerable para que se intente aprovechar una cadena de exploits en el navegador o en plugins desactualizados.

También son frecuentes las descargas de software y actualizaciones maliciosas, como se vio con BadBlock, 777, DemoTool, Crysis o TeleCrypt, donde instaladores aparentemente legítimos ocultaban el ransomware. En paralelo, familias como AutoLocky o XORBAT abusaron de macros en documentos ofimáticos, persuadiendo al usuario para que habilitara contenido activo que disparaba el código malicioso.

Algunos de los casos más notorios, como WannaCry, Petya, Chimera, Jigsaw, Globe/Purge o Teamxrat/Xpan, se caracterizaron por explotar vulnerabilidades de red y propagarse de forma autónoma dentro de las organizaciones, afectando servidores, estaciones de trabajo y recursos compartidos prácticamente sin intervención humana.

Antes de cifrar, muchos de estos programas maliciosos desactivan servicios y procesos relacionados con la seguridad, eliminan copias de sombra y puntos de restauración, y modifican configuraciones del sistema para garantizar persistencia y dificultar la recuperación. Después del ataque, suelen borrar rastros y registros para entorpecer el análisis forense.

En cuanto al cifrado, familias como WannaCry o Petya han empleado algoritmos robustos como AES y RSA, implementados de forma que, en teoría, resulta imposible revertir el proceso sin la clave correspondiente. Otras, como XORIST, XORBAT o Stampado, han optado por algoritmos propios o adaptaciones que, en algunos casos, han resultado vulnerables al análisis criptográfico.

Desinfección y herramientas de descifrado: el caso de Trend Micro

Frente al aumento de ataques, el ecosistema de la ciberseguridad ha empezado a publicar herramientas de descifrado para un número creciente de familias, permitiendo a las víctimas recuperar sus datos sin pagar. Un ejemplo significativo es Trend Micro Ransomware File Decryptor, que soporta variantes como CryptXXX, TeslaCrypt, SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT, CERBER, Stampado, Nemucod, Chimera, LECHIFFRE, MirCop, Jigsaw, Globe/Purge, DXXD, Teamxrat/Xpan, Crysis, TeleCrypt, DemoTool, WannaCry o Petya.

Su uso consiste en descargar la herramienta, descomprimirla y ejecutar el archivo RansomwareFileDecryptor.exe. Tras aceptar el acuerdo de licencia, la interfaz permite seleccionar la familia de ransomware implicada, indicar la ubicación de los archivos cifrados e iniciar el proceso de descifrado, o consultar guías para recuperar archivos de un disco duro.

En determinadas variantes (por ejemplo, CyptXXX V1, XORIST, XORBAT, NEMUCOD o TeleCrypt) la herramienta solicita un par de archivos: uno cifrado y una copia sana para poder inferir la clave o el método de recuperación. Es recomendable que esos ficheros sean lo más grandes posible para facilitar el análisis.

El proceso no está exento de limitaciones. CryptXXX V3 solo permite un descifrado parcial y puede requerir utilidades adicionales para ciertos tipos de archivo. BadBlock puede cifrar componentes críticos del sistema, complicando el arranque. CERBER necesita que el descifrado se ejecute en la propia máquina infectada y su duración depende de la capacidad de la CPU. Globe/Purge utiliza fuerza bruta y puede tardar muchísimo, además de presentar problemas en volúmenes FAT32.

En el caso de WannaCry, el descifrado se basa en localizar la clave privada en la memoria del proceso activo, por lo que solo funciona si el ransomware sigue corriendo y resulta especialmente efectivo en sistemas Windows XP. Petya, por su parte, requiere pasos específicos para restaurar el sistema operativo después de recuperar la clave de cifrado del MBR modificado.

Aun con estas restricciones, la existencia de herramientas de descifrado reduce de forma significativa el incentivo económico para los atacantes. Cada vez que se publica un decryptor eficaz, baja el porcentaje de víctimas dispuestas a pagar, lo que presiona el modelo de negocio criminal. Eso sí, los grupos suelen reaccionar rápido corrigiendo los fallos y lanzando nuevas variantes más resistentes.

Recomendaciones de protección frente al ransomware multiplataforma

Ante este escenario, los expertos coinciden en que la prevención y la detección temprana son absolutamente clave. Algunas medidas recomendadas por Kaspersky, ESET y otros proveedores de seguridad son:

• No exponer servicios de escritorio remoto (RDP) u otros accesos administrativos directamente a Internet, salvo que sea estrictamente necesario, y siempre protegidos con contraseñas robustas, MFA y, si es posible, VPN.
• Centrar la estrategia defensiva en detectar movimientos laterales y exfiltración de datos, monitorizando de cerca el tráfico saliente y las conexiones inusuales hacia servidores externos.
• Implementar soluciones de EDR/XDR y servicios de detección gestionada (como Kaspersky EDR Expert, Managed Detection and Response o Cortex XDR/XSIAM) que combinen análisis de comportamiento, machine learning y correlación de eventos para identificar actividad sospechosa en fases tempranas.
• Formar y concienciar a los empleados mediante programas de capacitación específicos, reduciendo la probabilidad de que caigan en correos de phishing o instalen software malicioso.
• Mantenerse al día con la inteligencia de amenazas, aprovechando portales especializados que agregan información sobre campañas activas, IoCs y TTPs reales utilizados por los atacantes.
• Gestionar de forma proactiva la superficie de ataque, identificando servicios vulnerables expuestos a Internet (como Atlassian Crowd Server afectado por CVE-2019-11580) con herramientas de Attack Surface Management como Cortex Xpanse.

Para quienes sospechen que pueden haber sido víctimas de un incidente grave, los servicios de respuesta a incidentes de unidades especializadas como Unit 42 ofrecen soporte urgente a través de teléfonos dedicados en Norteamérica, Europa, Asia-Pacífico, Japón, Australia, India y Corea del Sur. Además, iniciativas como la Cyber Threat Alliance facilitan el intercambio de inteligencia técnica entre empresas de seguridad para acelerar la creación de protecciones y desarticular redes criminales.

También se anima a las organizaciones a reportar intentos de fraude, ciberataques o indicios de compromisos a sus CERT nacionales, a los cuerpos policiales competentes y a los proveedores de ciberseguridad con los que trabajen. Cuanta más información se comparte, más fácil es identificar patrones y frenar campañas en curso.

El panorama actual deja claro que el ransomware multiplataforma ha pasado de ser una rareza técnica a un estándar entre los grupos más activos, apoyado en lenguajes como Rust y Go, modelos RaaS, explotación de entornos ESXi, integración de IA y campañas de doble o triple extorsión. Frente a este escenario, la combinación de prevención, monitorización avanzada, respuesta coordinada e iniciativas de descifrado público se ha vuelto imprescindible para poder seguir operando en un entorno digital cada vez más hostil.