¿Qué es el ransomware como servicio (RaaS)? ¿Cómo funciona este modelo criminal? ¿Qué grupos operan? ¿Cómo proteger tu empresa? Todas las respuestas, en este post.
El ransomware como servicio (RaaS) es una modalidad criminal en la que grupos especializados proporcionan toda la infraestructura necesaria para ejecutar ataques, incluido el propio código malicioso, diseñado para eludir los sistemas de seguridad.
Quienes contratan este servicio son los llamados afiliados: criminales que no necesitan saber programar ni montar ninguna estructura técnica, ya que todo ya está listo para usar. Solo tienes que acceder a la plataforma y ponerla en funcionamiento.
La lógica de funcionamiento es similar a la de cualquier servicio de suscripción: la filial paga por el acceso y ahora dispone de herramientas, soporte operativo y paneles de control actualizados para hacer seguimiento de ataques en curso.
Los grupos criminales han estructurado sus negocios basándose en el mercado tecnológico legítimo, replicando desde la experiencia del usuario hasta los modelos de negocio. Lo que cada grupo ofrece y cómo cobra varía mucho dentro de este ecosistema.
Los recursos descritos a continuación consolidan lo que diferentes operadores ponen a disposición de sus afiliados y no corresponden necesariamente a la oferta de un solo grupo; es una visión amplia de lo que este mercado criminal tiene para ofrecer.
¿Cómo funciona el ransomware como servicio (RaaS)?
Tras comprender el concepto de ransomware as a service (RaaS), es esencial analizar cómo funciona este modelo en la práctica. A diferencia de los ataques tradicionales, RaaS introduce una lógica de escala y especialización, permitiendo que diferentes actores actúen en etapas específicas del ataque.
Estructura del ecosistema criminal
El funcionamiento de RaaS se basa en una clara división de roles, lo que hace que las operaciones sean más eficientes y difíciles de seguir:
- Desarrolladores: crean el ransomware, mantienen la infraestructura y actualizan constantemente el código para evitar la detección por parte de las soluciones de seguridad.
- Afiliados: son responsables de ejecutar los ataques. Explotan vulnerabilidades, ejecutan campañas de phishing o utilizan credenciales comprometidas para acceder a sistemas corporativos.
- Intermediarios de acceso inicial: en muchos casos, venden acceso ya comprometido a redes corporativas, acelerando el proceso de invasión.
Esta estructura fragmentada contribuye a la profesionalización del ciberdelito, creando una cadena de valor similar a la de los mercados legítimos.
Pasos de un ataque RaaS
Aunque puede variar entre grupos, un ataque basado en ransomware como servicio (RaaS) suele seguir un flujo bien definido:
- Acceso inicial: los atacantes explotan fallos de seguridad, phishing o credenciales filtradas.
- Movimiento lateral: el criminal se mueve a través de la red para identificar sistemas críticos.
- Exfiltración de datos: la información sensible se respalda antes del cifrado.
- Cifrado de sistemas: los archivos se bloquean para detener operaciones.
- Extorsión: la víctima recibe la demanda de pago, a menudo con la amenaza de fuga de datos (doble extorsión).
Este modelo aumenta significativamente la presión sobre las víctimas, aumentando las posibilidades de pago.
Paneles de control y soporte para afiliados
Una de las diferencias del RaaS es el nivel de "madurez" de las plataformas utilizadas por los criminales. Muchos grupos ofrecen:
- Paneles con métricas de infección y estado de ataque
- Soporte técnico para afiliados, incluyendo tutoriales y soporte directo
- Actualizaciones frecuentes de malware para eludir nuevas defensas
- Herramientas automatizadas de intercambio de víctimas
Este nivel de organización refuerza la idea de que el ransomware como servicio funciona como un modelo de negocio real, aunque ilegal.
¿Cómo se benefician los grupos de ransomware como servicio (RaaS)?
El ransomware como servicio (RaaS) se ha consolidado como un modelo altamente rentable al replicar estrategias del mercado tecnológico legítimo, especialmente en lo que respecta a la monetización.
En este ecosistema, los desarrolladores de ransomware estructuran sus operaciones para maximizar los beneficios mientras atraen afiliados con diferentes niveles de experiencia, creando un entorno accesible y escalable para el cibercrimen.
En la práctica, el modelo más común dentro del ransomware como servicio (RaaS) es la participación en beneficios. En este formato, los afiliados son responsables de llevar a cabo los ataques, mientras que los operadores proporcionan toda la infraestructura necesaria.
Cuando se paga el rescate, la cantidad se divide entre las partes, con porcentajes que pueden variar según el grupo y el nivel de apoyo ofrecido. Esta lógica fomenta la expansión de las operaciones, ya que cuanto mayor es el número de ataques exitosos, mayor será el retorno financiero para todos los implicados.
Además, algunos grupos de ransomware como servicio (RaaS) adoptan modelos complementarios de monetización, como la facturación por suscripción para el acceso a las plataformas, tarifas fijas por el uso del malware o incluso costes adicionales para servicios específicos, como la personalización de campañas o el soporte técnico prioritario. Esta diversidad de formatos amplía el alcance del modelo y facilita la entrada de nuevos afiliados en el ecosistema criminal.
Otro factor que aumenta los beneficios en el ransomware como servicio (RaaS) es la evolución de las estrategias de extorsión. Lo que antes se limitaba al cifrado de archivos ahora incluye la llamada doble extorsión, en la que los datos de la víctima se exfiltran antes de que los sistemas sean bloqueados.
Por tanto, incluso si la empresa logra restaurar sus copias de seguridad, sigue existiendo el riesgo de que la información sensible se exponga al público.
En escenarios más avanzados, algunos grupos adoptan la triple extorsión, añadiendo nuevas capas de presión, como ataques de denegación de servicio o contacto directo con clientes y socios de la organización afectada.
El uso de criptomonedas también desempeña un papel central en este modelo, permitiendo que los pagos se realicen con un mayor grado de anonimato y dificultando el rastreo por parte de las autoridades. Este flujo financiero ayuda a medir el tamaño del problema.
Estimaciones recientes indican que, al considerar todos los flujos ilícitos asociados al ecosistema de ransomware como servicio (RaaS), incluyendo transferencias intergrupales y servicios de soporte, el volumen gestionado alcanzó alrededor de 1.300 millones de USD en 2025, una ligera disminución respecto a los 1.900 millones registrados el año anterior. Aun así, los valores siguen siendo significativos y demuestran la resiliencia de este modelo criminal.
Este escenario se vuelve aún más evidente cuando se analiza desde la perspectiva individual de grupos específicos. El grupo Akira, por ejemplo, habría acumulado aproximadamente 150 millones de dólares en pagos de rescate solo en 2025, reforzando cómo las operaciones bien estructuradas dentro del ransomware como servicio (RaaS) pueden alcanzar altos niveles de ingresos incluso en un entorno de mayor presión por parte de las autoridades y las empresas de seguridad.
¿Quiénes son los principales objetivos del ransomware como servicio (RaaS)?
El avance del ransomware como servicio (RaaS) ha ampliado significativamente el perfil de las víctimas, ya no centrándose únicamente en grandes corporaciones y empezando a llegar a empresas de diferentes tamaños y sectores.
Esto se debe a que el modelo permite la ejecución de ataques a gran escala, facilitando el rendimiento de afiliados que explotan desde organizaciones con baja madurez en seguridad hacia entornos corporativos más estructurados.
En la práctica, cualquier empresa que dependa de datos y sistemas digitales puede convertirse en un objetivo.
Sin embargo, algunos sectores son especialmente afectados por el ransomware como servicio (RaaS), como la sanidad, la manufactura, el comercio minorista y los servicios financieros, debido al alto impacto operativo en caso de interrupción.
Además, las empresas medianas se han convertido en objetivos frecuentes para combinar la capacidad de pago con defensas a menudo insuficientes, mientras que los ataques en la cadena de suministro amplían el alcance de los delincuentes comprometiendo múltiples organizaciones desde un único punto de entrada.
¿Cómo protegerse contra el ransomware como servicio (RaaS)?
Proteger a una empresa del ransomware como servicio (RaaS) no depende solo de tecnología avanzada, sino de decisiones sencillas que se aplican bien a diario. Esto se debe a que la mayoría de los ataques siguen comenzando por vías conocidas, como un correo electrónico de phishing, una contraseña débil o un sistema obsoleto. En otras palabras, reducir el riesgo suele estar más ligado a la disciplina operativa que a la complejidad de las herramientas.
Mantener los sistemas actualizados, permitir la autenticación en dos pasos y limitar el acceso interno ya elimina una parte significativa de las lagunas que explotan los afiliados de ransomware como servicio (RaaS). De manera similar, tener copias de seguridad actualizadas que están fuera del alcance de la red central puede ser el factor decisivo entre una recuperación rápida y una pérdida significativa.
Al mismo tiempo, contar con una solución de seguridad fiable marca toda la diferencia para identificar comportamientos sospechosos y bloquear amenazas antes de que se materialicen. Herramientas con capacidades de detección en tiempo real y análisis de comportamiento ayudan a detener ataques en las primeras etapas, cuando el impacto puede ser contenido.
Otro punto que marca una diferencia real es el comportamiento de las personas. Los empleados bien orientados pueden identificar intentos de estafa antes de que se conviertan en incidentes. En un escenario en el que el ransomware como servicio (RaaS) se ha vuelto accesible y escalable, las empresas que combinan buenas prácticas, tecnología adecuada y concienciación salen adelante, no porque sean inmunes, sino porque son mucho más difíciles de explotar.