El ransomware ha evolucionado y se ha vuelto más peligroso. En caso de ataque, ahora el ransomware es más destructivo y más difícil de combatir que nunca. Muchas empresas son víctimas de estos ataques y sufren pérdidas millonarias. En esta entrada de blog, arrojamos luz sobre cómo funcionan los ataques modernos de ransomware, damos ejemplos de dichos ataques y analizamos soluciones de seguridad como la microsegmentación para combatir el ransomware.
Marks & Spencer (M&S) es un minorista multinacional con sede en el Reino Unido y casi 1400 tiendas en todo el mundo. M&S acaba de registrar unas ventas superiores a 18.800 millones de dólares. Además de sus tiendas físicas, la empresa tiene una fuerte presencia en Internet, lo que contribuye al crecimiento de las ventas.1
En abril de 2025, la empresa fue víctima de un ataque de ransomware que paralizó las operaciones comerciales durante semanas y afectó considerablemente a las ventas durante la Semana Santa. Se trataba de un ataque de phishing e ingeniería social perpetrado por delincuentes del ciberespacio (Scattered Spider y DragonForce). Los piratas informáticos accedieron a los sistemas críticos de M&S a través de los sistemas del servicio de asistencia (que probablemente estaban operados por un proveedor de servicios externo).
Unos atacantes consiguieron acceder y ocupar una posición en la red. A continuación, desplegaron un ransomware que cifró algunos de los sistemas de la empresa. M&S reaccionó inmediatamente y bloqueó algunos de sus sistemas para impedir que el ransomware siguiera propagándose. Mientras tanto, la empresa recurrió a métodos manuales de eficacia probada para mantener las operaciones comerciales. Sin embargo, los ingresos del comercio electrónico cayeron drásticamente durante un período de unas seis semanas o más.2
Las pérdidas estimadas ascendieron a unos 400 millones de dólares estadounidenses. El precio de las acciones del minorista también se desplomó, lo que provocó una pérdida de valor de mercado de varios cientos de millones de dólares. La empresa también confirmó que se habían robado datos de clientes.3
Aunque la empresa contaba con amplias medidas de seguridad, la incidencia puso de manifiesto que estas medidas no eran suficientes, sobre todo en lo que respecta a la protección contra los ataques de ransomware. Después de que la empresa cooperara con varias autoridades de seguridad, los sistemas se restablecieron pocas semanas después del ataque. M&S está planeando aumentar sus inversiones en seguridad para proteger mejor a la empresa contra los ciberataques.
El ransomware ha evolucionado rápidamente a lo largo de los años. Los ataques modernos ya no se basan exclusivamente en el cifrado de archivos. En su lugar, se persigue un modelo de chantaje más complejo en el que se roban los datos antes de cifrarlos y se amenaza con publicarlos. Posteriormente, se lanzan ataques DDoS o se informa a las autoridades y a los clientes para obligar a las víctimas a pagar.
Los ataques de ransomware actuales no implican necesariamente el cifrado de datos, que era lo habitual hace unos años. Alrededor del 30 % de las empresas (de 501 a 5000 empleados) se ven afectadas tanto por la encriptación como por el robo de datos.4
Estas estrategias de ataque son muy selectivas: Los atacantes usan la manipulación social, terceros comprometidos e información de inicio de sesión robada para obtener acceso a las redes y seguir avanzando por el sistema. Entretanto, muchos ataques están controlados por humanos y también se utiliza IA para automatizar el reconocimiento (es decir, la recopilación de información) y evadir los sistemas de detección.
Las infraestructuras críticas y la tecnología operativa, como las instalaciones de producción y los hospitales, se han convertido en blanco de ataques porque a menudo dependen de sistemas anticuados y tienen un alto riesgo de interrupción. Esta evolución ha llevado al ransomware a convertirse en una industria profesionalizada y con ánimo de lucro. Las medidas de protección convencionales, como las copias de seguridad de los datos, ya no son suficientes; en su lugar, se necesitan medidas avanzadas contra el ransomware.
Además de las consecuencias económicas, los departamentos de seguridad de las empresas sufren un mayor estrés y sentimientos de culpa tras un ataque de ransomware. Por tanto, es esencial que las empresas identifiquen las causas de los ataques de ransomware. Las causas más comunes incluyen vulnerabilidades de seguridad, credenciales de acceso comprometidas, correos electrónicos maliciosos, ataques de phishing, ataques de fuerza bruta y descargas.
Muchas empresas consideran que las medidas de seguridad inadecuadas son una de las principales razones de los ataques de ransomware, junto con factores como la falta de experiencia y el conocimiento insuficiente de las vulnerabilidades de seguridad existentes.
Lo que necesitan para protegerse contra los nuevos tipos de ransomware es un enfoque de seguridad de varios niveles que incluya segmentación de la red, arquitectura de confianza cero, detección y respuesta en los puntos finales (EDR) y supervisión activa de amenazas. En esta entrada de blog, explicamos cómo la microsegmentación puede ayudar a las empresas a prevenir la propagación de ataques de ransomware.
En un ataque de ransomware, la microsegmentación es un mecanismo clave para contener y controlar el área potencial de daño. A diferencia de la segmentación de red convencional, que se basa en límites amplios y específicos del perímetro, como las redes de acceso local virtuales (VLAN) o las subredes, la microsegmentación aplica políticas de seguridad precisas y orientadas a las aplicaciones a nivel de carga de trabajo o de host. Esto permite a las empresas limitar el tráfico de datos entre dispositivos dentro de la misma red o centro de datos (también conocido como tráfico de datos este-oeste). Si una variante de ransomware ataca un punto final, no puede desplazarse lateralmente a otros sistemas e infectarlos.
Desde un punto de vista técnico, la microsegmentación se implementa mediante controles de seguridad controlados por software que actúan a nivel del núcleo o del hipervisor y que suelen utilizar agentes instalados en terminales, máquinas virtuales o contenedores. Estos mecanismos de control funcionan independientemente de la infraestructura de red subyacente, lo que resulta muy ventajoso en entornos dinámicos como los centros de datos o los sistemas de cloud híbrido.
Por ejemplo, una política de microsegmentación de confianza cero puede restringir la comunicación entre un servidor web y un servidor de archivos, a menos que se permita explícitamente en función de la identidad, la función o el proceso. Esto impide el acceso no autorizado, también si el atacante obtiene información de inicio de sesión válida o explota una vulnerabilidad de seguridad en un host.
En un escenario de ransomware, la microsegmentación tiene dos funciones: prevención y contención. En primer lugar, reduce drásticamente el área sobre la que es posible el acceso horizontal aplicando el principio del menor privilegio. En segundo lugar, permite aislar en tiempo real las cargas de trabajo infectadas durante un ataque activo sin afectar a la funcionalidad de los servicios no afectados. Esta medida de contención no solo impide que el ransomware cifre los sistemas críticos o el almacenamiento de copias de seguridad, sino que también da a los equipos de seguridad el tiempo que necesitan para investigar y resolver el incidente.
Además, las políticas de microsegmentación pueden integrarse con sistemas de gestión de eventos e información de seguridad (SIEM) o plataformas de detección y corrección avanzadas (XDR) para activar respuestas automáticas basadas en comportamientos sospechosos, como el bloqueo del tráfico de red, la puesta en cuarentena de los sistemas afectados o el envío de alertas.
En resumen, la microsegmentación está transformando la seguridad de las redes de un modelo de protección basado en el perímetro a una solución de seguridad descentralizada y basada en el contexto. Es una característica de seguridad fundamental para las arquitecturas de confianza cero y ofrece una protección crucial contra la propagación de ransomware. Por tanto, las organizaciones que se preocupan por la resiliencia cibernética deben implantar la microsegmentación como parte clave de su estrategia de seguridad multicapa.
Según Gartner, alrededor del 25 % de las empresas que utilizan tecnología de confianza cero habrán implantado más de una solución de microsegmentación en 2027. Gartner también predice que cada vez más organizaciones recurrirán a la microsegmentación para lograr una segmentación de red más precisa, aplicar políticas a nivel de carga de trabajo, obtener visibilidad del tráfico de red y gestionar políticas de carga de trabajo a escala.6
Volvamos al ataque de ransomware a M&S: en este caso, el uso de la microsegmentación podría haber reducido considerablemente los daños, ya que habría impedido que los atacantes siguieran extendiéndose dentro de la red interna. La vulnerabilidad de seguridad fue causada por un proveedor de servicios externo y posteriormente se extendió a las áreas centrales de los sistemas de venta al por menor y comercio electrónico. La microsegmentación habría permitido controles estrictos basados en reglas entre las distintas áreas del sistema, por ejemplo, separando las áreas de acceso para proveedores de servicios externos de los sistemas de producción o aislando las aplicaciones de comercio electrónico de las bases de datos backend y los sistemas de pago.
Esto habría bloqueado los canales de comunicación no autorizados y evitado que el ransomware se propagara más allá de los puntos finales inicialmente infectados, garantizando la funcionalidad de los sistemas críticos. Además, los tiempos de inactividad probablemente habrían sido mucho más breves.
La microsegmentación no solo bloquea las amenazas, sino que también ofrece visibilidad completa del tráfico de red a nivel de aplicación y carga de trabajo. A diferencia de los cortafuegos tradicionales que supervisan el tráfico de red entre distintas zonas, las herramientas de microsegmentación (como Akamai Guardicore) muestran qué dispositivos se comunican entre sí, qué servicios se están utilizando y si esta comunicación es siquiera necesaria. Ya sea en el cloud, en las instalaciones o en un entorno híbrido: esta transparencia ayuda a los equipos informáticos a detectar errores de configuración, sistemas informáticos en la sombra y comportamientos de riesgo. Es como encender la luz en una red.
Esta forma de transparencia es crucial para la seguridad y el cumplimiento normativo. Permite a las empresas registrar las dependencias entre aplicaciones, detectar conexiones no autorizadas y crear normas de acceso extremadamente precisas. Durante un ataque, los movimientos laterales pueden detectarse más rápidamente y contenerse de forma selectiva. Además, las normas de cumplimiento, como HIPAA, PCI o SOC 2, se respaldan mostrando qué sistemas interactúan con datos sensibles y garantizando el cumplimiento de las directrices de segmentación.
Un proveedor sanitario estadounidense implantó la solución de segmentación de red Guardicore de Akamai e inmediatamente obtuvo información sobre el tráfico de red interno. El primer día se detectaron más de 4000 intentos de ataque. El equipo pudo identificar un dispositivo mal configurado y controlar la comunicación entre los dispositivos de la red. Esto permitió aumentar la seguridad, reducir la superficie de ataque y mejorar el cumplimiento normativo, todo ello con un equipo reducido y sin afectar a la atención al paciente ni los sistemas existentes.7
La mayoría de los ciberataques permanecen invisibles para las empresas. Sin embargo, con las herramientas adecuadas, estas amenazas pueden reconocerse y defenderse. El número de ataques a una empresa puede ascender a miles cada día y cada intento puede desembocar en un ciberataque en toda regla. Según un informe de Microsoft, cada día se registran en todo el mundo unos 600 millones de intentos de ataque.8
Las organizaciones que aplican la microsegmentación están mejor protegidas contra las amenazas internas y las actividades posteriores a las incidencias, como la propagación horizontal de ransomware o la extensión de privilegios. Como el tráfico se limita a lo que está explícitamente autorizado, es menos probable que los dispositivos o las cuentas de usuario comprometidos pongan en peligro otros recursos, sobre todo datos sensibles como información financiera, propiedad intelectual o datos confidenciales de clientes.
Desde el punto de vista empresarial, esto implica un menor riesgo en el ámbito de la ciberseguridad, menores costes en caso de violación de la seguridad y, por tanto, una mayor estabilidad operativa. La microsegmentación también ayuda a las organizaciones a garantizar el cumplimiento de todos los requisitos de cumplimiento (como PCI DSS, HIPAA y GDPR) garantizando la separación de los entornos de datos sensibles. También simplifica la respuesta a las incidencias al minimizar las superficies de ataque y acelerar la contención.
Características
Ventajas
La lucha contra el ransomware requiere una profunda experiencia en ciberseguridad, visibilidad en tiempo real y un sistema de seguridad multicapa. T-Systems es un proveedor de servicios de detección y respuesta gestionadas (MDR) y ofrece a los clientes la experiencia necesaria con la supervisión permanente mediante Centros de Operaciones de Seguridad (SOC), el análisis de amenazas y las tecnologías más avanzadas, incluida la solución de microsegmentación Akamai Guardicore. Con sólidas capacidades de prevención, respuesta rápida a incidentes y caza proactiva de amenazas, T-Systems permite a las organizaciones defenderse de las complejas amenazas de ransomware, manteniendo al mismo tiempo la continuidad del negocio y garantizando la confianza.
Para protegerte de los modernos ataques de ransomware, ponte en contacto con nosotros hoy mismo.
1 Marks and Spencer Statistics, 2025, Statista
2 Artículo sobre el ciberataque a M&S, 2025, BBC
3 Marks & Spencer Breach, 2025, Blackfog
4 Informe The State of Ransomware, 2025, Sophos
5 Informe The State of Ransomware, 2025, Sophos
6 Market Guide for Microsegmentation, 2025, Gartner
7 Healthcare Case Study, 2025, Akamai
8 Microsoft Digital Defense Report, 2024, Microsoft.
