Un nuevo tipo de ransomware está empezando a preocupar a expertos en ciberseguridad por su comportamiento radicalmente distinto al de las variantes tradicionales. En lugar de cifrar los datos para exigir un rescate, este malware opta directamente por eliminarlos de forma irreversible si cumplen ciertas condiciones. Este cambio de estrategia plantea un escenario mucho más peligroso tanto para usuarios particulares como para empresas, ya que elimina la posibilidad de recuperación incluso pagando. En este artículo analizamos cómo funciona esta amenaza, qué implicaciones tiene a nivel técnico y operativo, y qué medidas pueden adoptarse para mitigar su impacto.

Un cambio de paradigma en el ransomware

Durante años, el ransomware ha seguido un patrón bastante claro: cifrar archivos y pedir un rescate a cambio de la clave de descifrado. Sin embargo, según Mashable esta nueva variante rompe con ese modelo. En lugar de utilizar algoritmos criptográficos como AES-256 o RSA-2048 para bloquear el acceso a los datos, el malware elimina directamente cualquier archivo cuyo tamaño supere los 128 KB.

Este detalle técnico no es menor. La mayoría de archivos relevantes en un sistema, como documentos, bases de datos, imágenes o ejecutables, superan ampliamente ese umbral. En términos prácticos, esto significa que el malware está diseñado para maximizar el daño eliminando prácticamente toda la información útil del sistema. Desde un punto de vista técnico, el proceso implica llamadas directas a funciones del sistema de archivos para sobrescribir o borrar bloques de datos, lo que dificulta enormemente su recuperación incluso mediante técnicas forenses.

Otro aspecto relevante es que este tipo de ataque elimina la motivación económica tradicional del ransomware. No hay rescate, no hay negociación. Esto podría indicar un cambio hacia objetivos más destructivos, como sabotaje, ciberataques políticos o incluso acciones de ciberguerra. En este contexto, el ransomware deja de ser una herramienta de monetización para convertirse en un arma de destrucción digital.

Funcionamiento técnico y vectores de ataque

Desde el punto de vista técnico, este malware presenta características interesantes que lo diferencian de otras familias conocidas. En primer lugar, el umbral de 128 KB no es arbitrario. Se trata de un valor cuidadosamente seleccionado para evitar archivos del sistema críticos que suelen ser más pequeños, lo que permite que el sistema operativo siga funcionando parcialmente mientras los datos del usuario desaparecen.

El proceso de eliminación no se limita a un simple borrado lógico. En muchos casos, el malware sobrescribe los datos varias veces utilizando patrones binarios, lo que reduce significativamente la posibilidad de recuperación mediante herramientas de recuperación de datos. Este comportamiento recuerda a técnicas utilizadas en software de borrado seguro, como las basadas en el estándar DoD 5220.22-M.

Además, el malware puede ejecutarse con privilegios elevados si logra explotar vulnerabilidades del sistema o engañar al usuario para que conceda permisos administrativos. Esto le permite acceder a rutas críticas, unidades de red y sistemas conectados. En entornos corporativos, esto puede traducirse en la eliminación masiva de datos en servidores compartidos o sistemas de almacenamiento en red (NAS).

El vector de ataque más probable sigue siendo el phishing, aunque también se han observado casos donde se distribuye a través de software comprometido o actualizaciones falsas. En este sentido, el comportamiento no difiere demasiado de otras amenazas modernas, pero el impacto final sí lo hace.

El producto protagonista: una amenaza silenciosa

El malware descrito en el artículo de Mashable no tiene aún un nombre ampliamente reconocido, lo que sugiere que se trata de una amenaza relativamente reciente o en evolución. Aun así, su diseño apunta a una arquitectura modular, capaz de adaptarse a distintos entornos y objetivos.

Uno de los aspectos más llamativos es su eficiencia. Al centrarse únicamente en archivos superiores a 128 KB, reduce la carga computacional y acelera el proceso de destrucción. En pruebas controladas, un sistema con 500 GB de datos puede ver eliminada la mayoría de su información en cuestión de minutos, dependiendo del rendimiento del almacenamiento y la velocidad de acceso al disco.

También destaca su bajo perfil. A diferencia de otros ransomware que muestran mensajes de rescate o alertas visibles, este malware puede operar en segundo plano sin generar notificaciones. Esto retrasa la detección y aumenta el daño potencial. En entornos empresariales, donde los sistemas pueden permanecer activos durante horas sin supervisión directa, esto supone un riesgo considerable.

Implicaciones para empresas y usuarios

El impacto de este tipo de ransomware es especialmente grave en entornos donde no existen copias de seguridad adecuadas. En empresas, la pérdida de datos puede traducirse en interrupciones operativas, pérdida de clientes y daños reputacionales. Según un informe de la empresa de ciberseguridad Sophos (https://www.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-ransomware-report-2024.pdf), el coste medio de recuperación tras un ataque de ransomware supera los 1,8 millones de dólares, incluso cuando se dispone de backups.

En el caso de usuarios particulares, el impacto puede ser igualmente devastador. Fotografías, documentos personales y proyectos pueden desaparecer sin posibilidad de recuperación. A diferencia del ransomware tradicional, aquí no existe la opción de pagar para recuperar los datos, lo que cambia completamente la estrategia de respuesta.

Además, este tipo de ataques plantea nuevos retos para las herramientas de seguridad. Los antivirus tradicionales, que se basan en firmas o comportamientos conocidos, pueden no detectar una amenaza que no sigue los patrones habituales. Esto obliga a adoptar soluciones más avanzadas, como sistemas de detección basados en comportamiento o inteligencia artificial.

Referencias y análisis externo

El fenómeno no ha pasado desapercibido para la comunidad de ciberseguridady  se describe cómo este tipo de malware se clasifica más correctamente como “wiper” en lugar de ransomware, debido a su naturaleza destructiva.

Por otro lado, Kaspersky señala que el uso de malware destructivo ha aumentado en los últimos años, especialmente en contextos geopolíticos. Esto refuerza la idea de que este tipo de amenazas pueden estar vinculadas a conflictos más amplios.

Finalmente, el propio artículo de Mashable ya citado ofrece una visión general accesible pero precisa del problema, destacando la peligrosidad de eliminar archivos sin ofrecer opción de recuperación.

Reflexiones adicionales

Este cambio en la naturaleza del ransomware obliga a replantear muchas de las estrategias actuales de ciberseguridad. La prevención cobra aún más importancia, ya que la recuperación puede no ser posible. Esto implica invertir en formación, sistemas de detección avanzados y, sobre todo, en copias de seguridad robustas y desconectadas.

También plantea preguntas sobre la evolución futura de este tipo de amenazas. Si el incentivo económico desaparece, ¿qué motiva a los atacantes? La respuesta puede estar en el impacto estratégico, la disrupción o incluso el simple vandalismo digital.

En cualquier caso, lo que está claro es que el panorama de amenazas sigue evolucionando, y que las soluciones deben adaptarse al mismo ritmo.