Anatomía de un Ransomware: Cifrado, Comunicación C2 y Sistema de Pagos

Por qué entender las tripas del ransomware

Un analista de seguridad que solo conoce el ransomware por las noticias ve el síntoma: archivos cifrados y una nota de rescate. Un analista que entiende su anatomía interna ve oportunidades de detección en cada fase, identifica la familia por sus patrones criptográficos y sabe exactamente dónde buscar artefactos forenses.

El ransomware moderno no es un programa simple que cifra archivos. Es un sistema con tres componentes interdependientes: un motor de cifrado optimizado para velocidad, una infraestructura de comunicación resiliente y un sistema de pagos diseñado para maximizar la presión sobre la víctima. Cada componente tiene sus propias técnicas, sus debilidades y sus indicadores de detección.

Este artículo desmonta los tres pilares. No para aprender a construir ransomware, sino para saber exactamente cómo detectarlo, analizarlo y responder cuando aparece en tu red.

Los tres pilares del ransomware moderno

Todo ransomware funcional necesita resolver tres problemas técnicos:

Pilar	Problema que resuelve	Consecuencia si falla
Motor de cifrado	Hacer inaccesibles los datos de la víctima	Si el cifrado es débil o tiene bugs, los investigadores pueden descifrar sin pagar
Infraestructura C2	Comunicación segura entre malware y operadores	Sin C2, el ransomware no puede enviar claves ni recibir instrucciones
Sistema de pagos	Cobrar el rescate de forma anónima	Sin un sistema de pago funcional, el ataque no genera ingresos

Las familias exitosas (LockBit, BlackCat/ALPHV, Conti) destacan porque resolvieron los tres problemas de forma robusta. Las familias que fracasan suelen fallar en al menos uno: criptografía débil que permite descifrado gratuito, C2 que law enforcement puede tumbar, o sistemas de pago que las víctimas no consiguen usar.

Pilar 1: el motor de cifrado

Cifrado híbrido: la arquitectura estándar

Prácticamente todo ransomware moderno usa cifrado híbrido, combinando criptografía simétrica y asimétrica. La razón es puramente práctica:

• Cifrado simétrico (AES-256, ChaCha20): rápido, puede cifrar gigabytes por segundo. Pero requiere compartir la clave, lo cual es un problema si quieres que solo tú puedas descifrar.
• Cifrado asimétrico (RSA-2048, Curve25519): no requiere compartir clave privada. Pero es miles de veces más lento, inutilizable para cifrar archivos grandes.

La solución híbrida combina ambos:

1. El ransomware genera una clave AES aleatoria por archivo (o por sesión)
2. Cifra el archivo con AES (rápido)
3. Cifra la clave AES con la clave pública RSA del atacante (seguro)
4. Almacena la clave AES cifrada junto al archivo o en un fichero separado
5. Solo el atacante, con su clave privada RSA, puede recuperar la clave AES

Generación de claves

La seguridad del cifrado depende de la calidad de la generación de claves aleatorias. Los ransomware profesionales usan las APIs criptográficas del sistema operativo:

• Windows: BCryptGenRandom (CNG) o el legacy CryptGenRandom (CryptoAPI)
• Linux: /dev/urandom o getrandom() syscall

Los ransomware amateur a veces usan generadores pseudoaleatorios predecibles basados en timestamps o funciones como rand() de la librería estándar de C. Estos errores han permitido descifrar familias completas sin pagar rescate.

Enumeración de archivos

Antes de cifrar, el ransomware necesita decidir qué cifrar. Este proceso sigue un patrón consistente entre familias:

Extensiones objetivo: documentos (.docx, .xlsx, .pdf), bases de datos (.sql, .mdb, .sqlite), imágenes (.jpg, .png, .psd), archivos comprimidos (.zip, .rar), backups (.bak, .vhd, .vmdk) y máquinas virtuales (.vmx, .vmdk).

Exclusiones: el ransomware evita cifrar archivos del sistema operativo para que la máquina siga siendo operativa y la víctima pueda leer la nota de rescate y pagar. Directorios típicamente excluidos:

C:\Windows\
C:\Program Files\
C:\Program Files (x86)\
$Recycle.Bin
System Volume Information

Extensiones excluidas: .exe, .dll, .sys, .lnk, .url. Cifrar ejecutables del sistema haría que Windows dejara de funcionar.

Idioma del sistema: algunas familias de origen ruso (Conti, REvil, LockBit) comprueban el idioma del teclado y abortan si detectan ruso, ucraniano, bielorruso o kazajo. Es una medida para evitar atacar en países de la CEI (Comunidad de Estados Independientes), donde los operadores residen.

Comprobación típica:
GetKeyboardLayout() → si idioma == RU, UA, BY, KZ → ExitProcess(0)
GetSystemDefaultUILanguage() → mismo check

Cifrado parcial e intermitente

Cifrar archivos de varios gigabytes completos es lento. Las familias modernas usan cifrado parcial para maximizar la velocidad:

Estrategia	Familias que la usan	Descripción
Primeros N bytes	LockBit 2.0, Ryuk	Solo cifra los primeros 4 KB o 256 KB del archivo
Bloques alternos	BlackCat/ALPHV	Cifra un bloque de N bytes, salta otro, repite
Porcentaje fijo	LockBit 3.0	Cifra el 4% del archivo en bloques distribuidos
Tamaño adaptativo	Conti	Archivos pequeños completos, grandes solo parcial

El cifrado parcial tiene implicaciones forenses: los headers de archivos grandes pueden sobrevivir, y herramientas de carving pueden recuperar datos parciales de archivos solo parcialmente cifrados.

Multithreading y rendimiento

La velocidad de cifrado es una ventaja competitiva entre familias. Un ransomware que tarda horas en cifrar una red da tiempo a los defensores para detectar y contener. Uno que cifra en minutos no deja margen.

LockBit 3.0 presume de ser el ransomware más rápido, usando:

• I/O completion ports (IOCP) para operaciones de archivo asíncronas
• Cifrado multihilo con un thread por core lógico
• ChaCha20 sin dependencia de hardware AES-NI
• Cifrado intermitente al 4%

En benchmarks publicados por los propios operadores (con el sesgo que eso implica), LockBit 3.0 cifraba 53 GB en 4 minutos y 9 segundos.

Pilar 2: infraestructura de comando y control

Qué necesita comunicar el ransomware

La comunicación C2 en ransomware es más simple que en otros tipos de malware (RATs, botnets). Los datos que necesita transmitir son:

Dirección	Datos	Motivo
Malware → C2	ID de víctima, clave de cifrado, info del sistema	Registrar la infección, permitir descifrado tras pago
C2 → Malware	Clave pública RSA, configuración, kill switch	Proveer la clave para cifrado, parámetros de operación

En muchos ransomware modernos, la clave pública RSA viene embebida en el binario durante la compilación. Esto elimina la necesidad de comunicación C2 antes del cifrado: el ransomware puede cifrar offline, sin conexión a Internet.

Protocolos de comunicación

Los ransomware usan diversos protocolos para comunicarse con sus operadores:

HTTPS (T1071.001): el método más común. Tráfico cifrado que se mezcla con el tráfico web legítimo. Muchas familias usan dominios recién registrados o comprometidos. Detección: monitorizar conexiones a dominios con baja reputación o registrados recientemente.

Tor hidden services (T1090.003): servicios .onion accesibles solo a través de la red Tor. Usado extensivamente para portales de pago y negociación. Algunas familias integran un cliente Tor directamente en el binario. Detección: tráfico a nodos de entrada Tor conocidos (directory authorities, guard nodes).

DNS tunneling (T1071.004): codificar datos en consultas DNS (subdominios TXT records). Bajo ancho de banda pero difícil de bloquear porque el DNS es fundamental para la operación de red. Detección: queries DNS con subdominios anormalmente largos o con alta entropía.

Domain Generation Algorithms (T1568.002): generación algorítmica de dominios para evitar bloqueos estáticos. El ransomware y el C2 usan el mismo algoritmo para generar dominios de contacto diarios o semanales. Detección: DGA produce dominios con patrones estadísticos reconocibles (alta entropía, longitud uniforme).

Resiliencia del C2

Los operadores de ransomware implementan mecanismos de fallback para mantener la comunicación:

1. Dominios primarios: servidores C2 directos con IP dedicada
2. Fast-flux DNS: rotación rápida de IPs asociadas a un dominio
3. Dominios de backup: lista hardcodeada de dominios alternativos
4. DGA: generación algorítmica como último recurso
5. Tor fallback: hidden service .onion si todo lo demás falla

Algunos ransomware operan en modo completamente offline: la clave pública viene embebida, cifran sin contactar al C2 y dejan instrucciones en la nota de rescate para que la víctima contacte al atacante. Esto hace que el bloqueo del C2 no impida el cifrado, aunque sí dificulta la entrega de la clave de descifrado.

Pilar 3: sistema de pagos

Criptomonedas: Bitcoin y Monero

El ransomware moderno cobra exclusivamente en criptomonedas. Las dos más usadas son:

Criptomoneda	Ventajas para el atacante	Desventajas
Bitcoin (BTC)	Liquidez alta, fácil de adquirir, aceptado en todos los exchanges	Pseudoanónimo, no anónimo. Blockchain pública permite rastreo por chain analysis
Monero (XMR)	Privacidad nativa (ring signatures, stealth addresses, RingCT), no rastreable por diseño	Menor liquidez, más difícil de adquirir para la víctima, algunos exchanges lo han delistado

Muchos grupos ofrecen un "descuento" del 10-20% si la víctima paga en Monero en vez de Bitcoin. Esto refleja el valor que los atacantes asignan a la privacidad de la transacción.

El proceso de pago paso a paso

1. La víctima lee la nota de rescate con instrucciones
2. Accede al portal de pago (normalmente un sitio .onion en Tor)
3. Introduce su identificador de víctima (incluido en la nota de rescate)
4. Ve el monto del rescate, el plazo y un countdown timer
5. Opcionalmente, prueba el descifrado de un archivo gratuito (proof of concept)
6. Negocia por chat con un operador (muchos grupos permiten negociación)
7. Recibe una dirección de wallet Bitcoin/Monero
8. Envía el pago
9. El sistema detecta el pago y libera la herramienta de descifrado
10. La víctima descarga y ejecuta el decryptor

Portales de pago: diseño y funcionalidad

Los portales de pago de los grupos de ransomware han evolucionado hasta parecer productos SaaS legítimos. Funcionalidades típicas:

Identificación de víctima: cada infección genera un ID único que vincula al payload con la clave de descifrado correspondiente.

Chat de negociación: interfaz de mensajería en tiempo real donde la víctima puede negociar el precio. Los operadores de Conti, según los Conti Leaks de 2022, tenían scripts de negociación y protocolos internos para regatear.

Countdown timer: reloj que cuenta hacia atrás. Cuando llega a cero, el precio se duplica o los datos robados se publican (en ataques de doble extorsión). Presión psicológica pura.

Descifrado de prueba: la mayoría de grupos permiten subir 1-3 archivos para descifrarlos gratuitamente. Esto demuestra que tienen la clave y aumenta la probabilidad de pago.

Tracking de pago: monitorización automática de la blockchain para detectar cuando la víctima ha enviado los fondos.

Lavado de fondos

Una vez cobrado el rescate, los fondos necesitan lavarse para convertirse en dinero utilizable:

• Mixers/tumblers: servicios que mezclan criptomonedas de múltiples fuentes para dificultar el rastreo (Tornado Cash, ChipMixer, Sinbad)
• Chain hopping: convertir BTC a XMR (Monero) y viceversa en exchanges sin KYC
• Exchanges descentralizados: plataformas P2P sin verificación de identidad
• OTC brokers: intermediarios que convierten cripto a fiat por una comisión
• Exchanges de alto riesgo: plataformas con KYC laxo, frecuentemente en jurisdicciones con regulación débil

El rastreo de fondos por parte de empresas como Chainalysis y Elliptic ha resultado en la recuperación parcial de rescates en casos de alto perfil (Colonial Pipeline: 63,7 BTC de los 75 BTC pagados fueron recuperados por el FBI).

La nota de rescate: psicología y formato

La nota de rescate es la interfaz entre el atacante y la víctima. Su diseño no es casual: combina elementos técnicos con tácticas de presión psicológica.

Elementos comunes

Elemento	Propósito
ID de víctima	Vincular la infección con la clave de descifrado
Dirección .onion del portal de pago	Canal de comunicación seguro
Email de contacto (backup)	Comunicación alternativa si Tor no funciona
Plazo (deadline)	Crear urgencia
Monto del rescate	A veces fijo, a veces "negociable"
Lista de archivos cifrados	Demostrar el alcance del daño
Advertencia contra descifrado por terceros	Evitar que la víctima contacte a empresas de recuperación
Promesa de descifrado tras pago	Incentivar el pago

Tácticas psicológicas

Urgencia temporal: "Tienes 72 horas. Después el precio se duplica." El countdown timer activa el sesgo de aversión a la pérdida.

Profesionalismo simulado: muchas notas usan lenguaje corporativo ("su red ha sido comprometida", "le ofrecemos asistencia completa para restaurar sus sistemas") para normalizar la situación y hacer que el pago parezca una transacción comercial.

Amenaza de publicación: en ataques de doble extorsión, la nota incluye muestras de datos robados como prueba y amenaza con publicarlos en el leak site del grupo.

Desacreditar alternativas: "No intente descifrar con herramientas de terceros, esto dañará sus archivos de forma irreversible." Esta advertencia busca evitar que la víctima contacte a empresas de respuesta a incidentes o use herramientas de NoMoreRansom.

Formatos de nota

Las notas de rescate se presentan en varios formatos:

• Archivos de texto: README.txt, DECRYPT_INSTRUCTIONS.txt, HOW_TO_RECOVER.txt
• HTML: archivos HTML con formato que se abren en el navegador
• HTA: aplicaciones HTML que pueden ejecutar scripts
• Wallpaper: cambio del fondo de escritorio con las instrucciones
• Impresión masiva: algunas familias imprimen la nota en todas las impresoras de red conectadas

Actividades pre-cifrado: preparando el terreno

Antes de activar el motor de cifrado, el ransomware ejecuta una serie de acciones preparatorias para maximizar el impacto:

Eliminación de shadow copies (T1490)

Las Volume Shadow Copies de Windows permiten restaurar archivos a versiones anteriores. Todo ransomware las elimina:

vssadmin.exe delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled No
wbadmin delete catalog -quiet

Detección: monitorizar ejecución de vssadmin.exe con parámetro delete, wmic con shadowcopy delete, y modificaciones a bcdedit. Sysmon Event ID 1 (Process Create) con estas líneas de comando es un indicador de alta confianza.

Detención de servicios (T1489)

Los ransomware detienen servicios que podrían bloquear el acceso a archivos:

• Bases de datos: SQL Server, MySQL, PostgreSQL, Oracle, MongoDB
• Email: Microsoft Exchange
• Backup: Veeam, Veritas, Acronis, BackupExec
• Antivirus: Windows Defender, servicios de EDR
• Virtualización: VMware, Hyper-V

net stop "SQL Server (MSSQLSERVER)" /y
net stop "Veeam Backup and Replication Service" /y
taskkill /IM sqlserver.exe /F
sc config SQLSERVERAGENT start= disabled

Descubrimiento de red (T1018, T1083)

En ataques dirigidos con operador humano, el reconocimiento de red ocurre días o semanas antes del cifrado:

• Escaneo de subredes con herramientas como nltest, net view, arp -a
• Enumeración de Active Directory con BloodHound o ADFind
• Identificación de file servers y shares de red (net share, Get-SmbShare)
• Localización de backups (Veeam, NAS, tape libraries)

Despliegue masivo del payload

El cifrado se despliega simultáneamente en toda la red para minimizar el tiempo de reacción:

• Group Policy Object (GPO): crear una GPO que ejecute el ransomware en todos los equipos del dominio al reiniciar
• PsExec: ejecución remota en lista de hosts
• WMI: wmic /node:@hosts.txt process call create "ransomware.exe"
• Scheduled tasks: crear tareas programadas remotas que ejecuten el payload a una hora específica

Mapeo MITRE ATT&CK del ransomware

Fase	Técnica	ID ATT&CK	Descripción
Preparación	Inhibit System Recovery	T1490	Eliminar shadow copies, deshabilitar recovery
Preparación	Service Stop	T1489	Detener bases de datos, backup, AV
Preparación	Impair Defenses	T1562	Desactivar EDR, Windows Defender
Descubrimiento	Remote System Discovery	T1018	Escanear red para identificar objetivos
Descubrimiento	File and Directory Discovery	T1083	Enumerar archivos y shares de red
Descubrimiento	Network Share Discovery	T1135	Identificar recursos compartidos SMB
Comunicación	Application Layer Protocol	T1071	Comunicación C2 vía HTTPS
Comunicación	Encrypted Channel	T1573	Canal cifrado para C2
Comunicación	Proxy: Multi-hop Proxy	T1090.003	Uso de Tor para C2 y portales de pago
Comunicación	Dynamic Resolution: DGA	T1568.002	Generación algorítmica de dominios C2
Impacto	Data Encrypted for Impact	T1486	Cifrado de archivos de la víctima
Impacto	System Shutdown/Reboot	T1529	Reiniciar para completar cifrado en boot
Exfiltración	Exfiltration Over C2 Channel	T1041	Robo de datos antes del cifrado
Exfiltración	Exfiltration Over Web Service	T1567	Exfiltración a cloud storage (Mega, pCloud)

Oportunidades de detección por fase

Fase	Indicador	Herramienta	Confianza
Pre-cifrado	vssadmin delete shadows	Sysmon, EDR	Alta
Pre-cifrado	Servicios de backup detenidos masivamente	Event Log 7036	Alta
Pre-cifrado	Deshabilitación de Windows Defender vía PowerShell	AMSI, Defender logs	Alta
Cifrado	Tasa alta de renombrado de archivos con extensiones nuevas	EDR, file integrity monitoring	Alta
Cifrado	I/O de disco anormalmente alto con patrón read-write secuencial	Endpoint telemetry	Media
Cifrado	Cambio de wallpaper vía API SystemParametersInfo	Sysmon Event ID 13	Media
C2	Conexiones a nodos Tor (IPs conocidas de directory authorities)	Firewall, proxy logs	Alta
C2	DNS queries con alta entropía en subdominios	DNS logs, Zeek/Suricata	Media
C2	Conexiones HTTPS a dominios registrados recientemente	Proxy logs, threat intel	Media
Post-cifrado	Nota de rescate escrita en múltiples directorios	File creation monitoring	Alta
Post-cifrado	Impresión masiva en impresoras de red	Print spooler logs	Alta

Lo que viene después

Este artículo ha descompuesto los tres pilares técnicos del ransomware. En los siguientes artículos de la serie profundizamos en cada aspecto: el modelo de negocio RaaS que hace posible estos ataques a escala industrial, la cadena de infección paso a paso con oportunidades de detección en cada fase, y las técnicas criptográficas específicas (AES, RSA, ChaCha20) con los errores de implementación que han permitido descifrar familias sin pagar.

---

Fuentes y referencias

• Sikorski, M. & Honig, A. "Practical Malware Analysis." No Starch Press, 2012.
• Liska, A. & Gallo, T. "Ransomware: Defending Against Digital Extortion." O'Reilly Media, 2016.
• MITRE ATT&CK. "Data Encrypted for Impact (T1486)." https://attack.mitre.org/techniques/T1486/
• MITRE ATT&CK. "Inhibit System Recovery (T1490)." https://attack.mitre.org/techniques/T1490/
• CISA. "Stop Ransomware." https://www.cisa.gov/stopransomware
• Chainalysis. "The 2024 Crypto Crime Report: Ransomware." Chainalysis, 2024.
• The DFIR Report. "LockBit 3.0: Ransomware Analysis." https://thedfirreport.com/
• Mandiant. "M-Trends 2025 Report." Google Cloud Security, 2025.
• No More Ransom Project. https://www.nomoreransom.org/
• Sophos. "The State of Ransomware 2025." Sophos, 2025.
• Coveware. "Quarterly Ransomware Report." Coveware by Veeam, 2025.
• Department of Justice. "Department of Justice Seizes $2.3 Million in Cryptocurrency Paid to the Ransomware Extortionists Darkside." Press Release, June 2021.