El ransomware se volvió «low cost» y ahora no lo detectan los antivirus

ESPACIO PREMIUM
728 x 90 px
ESPACIO PREMIUM
728 x 90 px

Un ransomware está logrando algo que hasta hace poco parecía contradictorio: secuestrar archivos sin dejar el rastro habitual que buscan los sistemas de seguridad. La campaña, bautizada como WantToCry, cifra información empresarial sin ejecutar malware en los equipos de las víctimas, una táctica que obliga a replantear cómo se detectan este tipo de ataques.

Detrás del hallazgo está una investigación de Sophos que documenta una táctica cada vez más difícil de detectar. Los atacantes localizan servicios SMB expuestos a internet, prueban credenciales vulnerables y trasladan los archivos hacia infraestructura bajo su control para cifrarlos lejos del entorno comprometido.

La cifra llama la atención, pues solo a comienzos de 2026, existían más de 1,5 millones de dispositivos con servicios empresariales de intercambio de archivos expuestos a internet, según datos analizados por los investigadores. Ese universo se convierte en un catálogo potencial de objetivos para ciberdelincuentes.

GOOGLE ADS
(Automático aquí)

Una vez que obtienen acceso, los atacantes copian los archivos hacia infraestructura bajo su control. Allí realizan el cifrado y posteriormente devuelven los documentos bloqueados al sistema comprometido. El resultado es un ataque de ransomware que deja muy pocos rastros en los equipos afectados.

Los cinco puntos ciegos que están aprovechando los atacantes

La ruta más corta para evitar convertirse en la próxima víctima

  1. Cerrar la exposición a internet de servicios utilizados para compartir archivos dentro de la organización.
  2. Eliminar accesos anónimos o configuraciones de invitado que permitan conexiones sin controles sólidos de autenticación.
  3. Revisar la fortaleza de las credenciales asociadas a servidores y recursos compartidos.
  4. Verificar que las copias de seguridad permanezcan aisladas y no puedan ser alcanzadas mediante los mismos servicios utilizados para intercambiar archivos.
  5. Monitorear intentos repetitivos de autenticación y actividades inusuales de lectura o escritura masiva de información provenientes de direcciones externas.

La técnica representa un desafío para muchas herramientas tradicionales de seguridad. Al no existir ejecución local de código malicioso, desaparecen varios de los indicadores que normalmente activan alertas en soluciones antivirus o EDR.

Los análisis realizados por Sophos muestran que los atacantes utilizaron fuerza bruta contra servicios empresariales de intercambio de archivos expuestos en los puertos 139 y 445. Tras acceder, iniciaron sesiones autenticadas para leer, extraer y sobrescribir archivos. Las víctimas encontraban después una nota de rescate identificada como “!Want_To_Cry.txt” y archivos con la extensión “.want_to_cry”.

Otro detalle llama la atención: los montos exigidos son relativamente bajos. Los investigadores observaron solicitudes de pago cercanas a los 600 dólares, aunque algunos casos públicos muestran cifras entre 400 y 1.800 dólares. Lejos de las demandas millonarias asociadas a grandes grupos de ransomware, la estrategia parece apostar por ataques rápidos, silenciosos y repetibles.

Para las áreas de tecnología y seguridad, el hallazgo deja una lección clara. El riesgo ya no depende únicamente de vulnerabilidades de software. Unservicio expuesto a internet y una contraseña débil pueden ser suficientes para abrir la puerta a una operación de cifrado remoto prácticamente invisible para muchas defensas tradicionales.

GOOGLE ADS
(Automático aquí)

Gustavo Torres

Amante de la tecnología con 7 años de experiencia en el cubrimiento informativo de este sector en temas como telecomunicaciones, tecnología de consumo, dispositivos móviles y plataformas en Colombia.

Mi opinión sobre tecnología ha sido tomada por medios como La República o AS. Soy especialista productos de consumo masivo y reviews de hardware. Soy director de tecnogus.com.co

Comparte...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *