Cómo funciona la extorsión de datos y por qué ha reemplazado al ransomware

Una nueva clase de amenaza cibernética

Durante años, el ransomware dominó el panorama del cibercrimen: los atacantes cifraban los archivos de una víctima y luego exigían un pago por la clave de descifrado. Pero una táctica más silenciosa y eficiente lo ha superado. En la extorsión de datos, los delincuentes evitan por completo el cifrado. Roban archivos confidenciales (secretos comerciales, registros de empleados, bases de datos de clientes, correos electrónicos internos) y amenazan con publicarlos o venderlos a menos que la víctima pague.

El cambio es drástico. Según el Informe de Amenazas 2025 de Arctic Wolf, los incidentes de extorsión de datos exclusivamente aumentaron once veces año tras año, saltando del 2% al 22% de todos los compromisos de respuesta a incidentes. Grupos como ShinyHunters, Silent Ransom y el recién formado PEAR ahora se centran exclusivamente en robar datos en lugar de bloquear sistemas.

Cómo se desarrolla el ataque

Un ataque típico de extorsión de datos sigue un patrón reconocible. Primero, los atacantes obtienen acceso inicial, a menudo a través de la ingeniería social. ShinyHunters, por ejemplo, es conocido por las campañas de voice-phishing en las que los operadores se hacen pasar por personal de soporte de TI y engañan a los empleados para que otorguen acceso a plataformas de inicio de sesión único como Okta o Salesforce.

Una vez dentro, los atacantes se mueven lateralmente a través de entornos de nube, apuntando a cuentas de ingeniería de alto privilegio, repositorios de Git, pipelines de CI/CD y buckets de almacenamiento en la nube. Exfiltran silenciosamente cientos de gigabytes de datos (correos electrónicos, contratos, credenciales, volcados de bases de datos) antes de que la víctima siquiera detecte la intrusión.

Luego viene el mensaje de extorsión. Las víctimas reciben una demanda que especifica los datos robados, un monto de rescate (que a menudo supera el millón de dólares para las grandes organizaciones), una dirección de billetera de criptomonedas y una fecha límite, generalmente 72 horas. Si la víctima se niega, los atacantes publican los datos en sitios de filtración de la dark web o los venden a competidores y otros delincuentes.

Por qué los atacantes lo prefieren al ransomware

El alejamiento del ransomware basado en el cifrado está impulsado por la fría economía. Cifrar una red completa requiere implementar malware complejo, mantener la infraestructura de descifrado y arriesgarse a la detección por parte de las herramientas de seguridad de los endpoints. La exfiltración de datos, por el contrario, es más rápida, más barata y más difícil de detener.

Las organizaciones también han mejorado en la recuperación de ataques de cifrado. Las estrategias sólidas de copia de seguridad y los planes de respuesta a incidentes significan que muchas víctimas pueden restaurar los sistemas sin pagar. Pero los datos robados no se pueden "desrobar". Una vez que los registros de clientes o los secretos comerciales están en manos de un atacante, ninguna copia de seguridad puede deshacer el daño. Como señala la investigación de BlackFog, esto hace que el apalancamiento sea mucho más persistente.

Los números confirman esta tendencia. VikingCloud informa que el ransomware estuvo presente en el 44% de las brechas en 2025, frente al 32%, pero una proporción creciente de esos incidentes involucró extorsión sin cifrado, duplicándose del 3% al 6% en un solo año.

Quién está en riesgo

Los objetivos de la extorsión de datos abarcan todos los sectores. Las organizaciones de atención médica se enfrentan a la exposición de los registros de los pacientes. Las empresas financieras corren el riesgo de filtrar datos de transacciones. Las empresas de tecnología pueden perder el código fuente propietario. Incluso las instituciones gubernamentales son vulnerables: la Comisión Europea confirmó en marzo de 2026 que ShinyHunters exfiltró más de 350 GB de datos de su infraestructura en la nube Europa.eu, incluidos archivos de correo electrónico y credenciales internas.

Las pequeñas y medianas empresas están especialmente expuestas. A menudo carecen de equipos de seguridad dedicados, lo que las convierte en objetivos más fáciles con menos recursos para detectar intrusiones de forma temprana.

Cómo se defienden las organizaciones

Debido a que la extorsión de datos evita las defensas tradicionales contra el ransomware, la protección requiere una mentalidad diferente. CISA recomienda varias estrategias centrales:

• Arquitectura de confianza cero: asuma que ningún usuario o dispositivo es confiable de forma predeterminada y aplique el acceso con privilegios mínimos en todos los sistemas.
• Prevención de pérdida de datos (DLP): implemente herramientas en línea que monitoreen y bloqueen transferencias de datos inusuales antes de que ocurra la exfiltración.
• Segmentación de red: limite el movimiento lateral para que una sola cuenta comprometida no pueda alcanzar todo el patrimonio de datos.
• Capacitación de empleados: dado que la ingeniería social sigue siendo el principal punto de entrada, los programas regulares de concientización sobre el phishing son fundamentales.
• Planificación de respuesta a incidentes: mantenga y ensaye un libro de jugadas de respuesta que aborde específicamente los escenarios de robo de datos, no solo el cifrado.

El panorama general

La extorsión de datos representa una evolución fundamental en el cibercrimen. Explota lo único que las organizaciones no pueden revertir: la exposición de la información. A medida que se acelera la adopción de la nube y las empresas almacenan cada vez más datos confidenciales en línea, la superficie de ataque crece. Los expertos en seguridad advierten que, hasta que las organizaciones traten el robo de datos con la misma seriedad que los bloqueos del sistema, los grupos de extorsión seguirán prosperando.