El ransomware se volvió «low cost» y ahora no lo detectan los antivirus

La carrera entre ciberdelincuentes y equipos de seguridad acaba de sumar un nuevo capítulo. Mientras las empresas invierten en capacidades de detección cada vez más sofisticadas, algunos grupos criminales están apostando por estrategias que buscan pasar inadvertidas desde el primer momento.

Un ransomware está logrando algo que hasta hace poco parecía contradictorio: secuestrar archivos sin dejar el rastro habitual que buscan los sistemas de seguridad. La campaña, bautizada como WantToCry, cifra información empresarial sin ejecutar malware en los equipos de las víctimas, una táctica que obliga a replantear cómo se detectan este tipo de ataques.

Detrás del hallazgo está una investigación de Sophos que documenta una táctica cada vez más difícil de detectar. Los atacantes localizan servicios SMB expuestos a internet, prueban credenciales vulnerables y trasladan los archivos hacia infraestructura bajo su control para cifrarlos lejos del entorno comprometido.

La cifra llama la atención, pues solo a comienzos de 2026, existían más de 1,5 millones de dispositivos con servicios empresariales de intercambio de archivos expuestos a internet, según datos analizados por los investigadores. Ese universo se convierte en un catálogo potencial de objetivos para ciberdelincuentes.

Una vez que obtienen acceso, los atacantes copian los archivos hacia infraestructura bajo su control. Allí realizan el cifrado y posteriormente devuelven los documentos bloqueados al sistema comprometido. El resultado es un ataque de ransomware que deja muy pocos rastros en los equipos afectados.

Los cinco puntos ciegos que están aprovechando los atacantes

La ruta más corta para evitar convertirse en la próxima víctima

1. Cerrar la exposición a internet de los servicios utilizados para compartir archivos dentro de la organización.
2. Eliminar accesos anónimos o configuraciones de invitado que permitan conexiones sin controles sólidos de autenticación.
3. Revisar la fortaleza de las credenciales asociadas a servidores y recursos compartidos.
4. Verificar que las copias de seguridad permanezcan aisladas y no puedan ser alcanzadas mediante los mismos servicios utilizados para intercambiar archivos.
5. Monitorear intentos repetitivos de autenticación y actividades inusuales de lectura o escritura masiva de información provenientes de direcciones externas.

La técnica representa un desafío para muchas herramientas tradicionales de seguridad. Al no existir ejecución local de código malicioso, desaparecen varios de los indicadores que normalmente activan alertas en soluciones antivirus o EDR.

Los análisis realizados por Sophos muestran que los atacantes utilizaron fuerza bruta contra servicios empresariales de intercambio de archivos expuestos en los puertos 139 y 445. Tras acceder, iniciaron sesiones autenticadas para leer, extraer y sobrescribir archivos. Las víctimas encontraban después una nota de rescate identificada como “!Want_To_Cry.txt” y archivos con la extensión “.want_to_cry”.

Otro detalle llama la atención: los montos exigidos son relativamente bajos. Los investigadores observaron solicitudes de pago cercanas a los 600 dólares, aunque algunos casos públicos muestran cifras entre 400 y 1.800 dólares. Lejos de las demandas millonarias asociadas a grandes grupos de ransomware, la estrategia parece apostar por ataques rápidos, silenciosos y repetibles.

Para las áreas de tecnología y seguridad, el hallazgo deja una lección clara. El riesgo ya no depende únicamente de vulnerabilidades de software. Unservicio expuesto a internet y una contraseña débil pueden ser suficientes para abrir la puerta a una operación de cifrado remoto prácticamente invisible para muchas defensas tradicionales.

CATEGORÍAS:

Tecnología