Ransomware

Operativa moderna: Ransomware-as-a-Service (RaaS) — un core team desarrolla el malware y la infraestructura, afiliados lo despliegan a cambio de un % del rescate. Marcas: LockBit, BlackCat/ALPHV, Cl0p, Akira, Play.

Evolución crítica: doble extorsión (cifrado + exfil con publicación pública en data leak sites si no pagas), triple extorsión (añade DDoS o contacto a clientes), supply-chain (Kaseya, MOVEit) para amplificar el blast radius.

Vectores de entrada: phishing con macros, RDP expuesto con creds débiles, vulnerabilidad pública sin parchear en perimeter (Fortinet/Ivanti/Citrix), supply chain comprometida, initial access broker que vende acceso previo.

Defensa: backups offline + restauración probada, MFA en todos los accesos, parches rápidos en perimeter, EDR/XDR con detección comportamental, network segmentation, plan de respuesta documentado.