¿Cuánto dura un ataque de ransomware de principio a fin?

El tiempo medio desde el acceso inicial hasta el despliegue del cifrador es de 5-14 días para grupos organizados (LockBit, BlackCat). Los afiliados experimentados pueden completar el ciclo en 24-48 horas. El tiempo de permanencia se ha reducido significativamente desde 2020.

¿Cuál es la fase más importante para detectar un ataque de ransomware?

El movimiento lateral (fase 4). Es donde el atacante hace más ruido: escaneo de red, autenticación en múltiples sistemas, uso de PsExec/WMI, y acceso a recursos compartidos. Es la ventana más amplia para detección antes de que se produzca el cifrado.

¿Por qué los atacantes exfiltran datos antes de cifrar?

Es la base de la doble extorsión: si la víctima tiene backups, el atacante amenaza con publicar los datos robados. Esto presiona a empresas con datos regulados o propiedad intelectual sensible.

¿Cómo entra el ransomware inicialmente?

Los vectores más comunes en 2025-2026 son: phishing con adjunto o enlace (40-50%), explotación de vulnerabilidades en VPN/RDP (25-30%), credenciales comprometidas de mercados underground (15-20%), y supply chain (5-10%).

¿Se puede parar un ataque de ransomware una vez iniciado?

Sí, si se detecta antes del despliegue del cifrador. Aislar sistemas comprometidos, bloquear cuentas usadas para lateral movement y cortar la comunicación C2 puede detener el ataque. Una vez iniciado el cifrado, el foco cambia a contención y recuperación.

Intermedioransomwarekill chainMITRE ATT&CKdetecciónincident responselateral movement

Cadena de Infección de Ransomware: Del Acceso Inicial al Cifrado

Análisis paso a paso de la cadena de infección completa de un ataque de ransomware moderno: phishing inicial, ejecución de loader, movimiento lateral, exfiltración de datos y despliegue del cifrador. Cada fase con técnicas MITRE ATT&CK, indicadores de detección y oportunidades de defensa.

MalwareIntel Research·27 de mayo de 2026·13 min lectura

Serie: Ransomware — Parte 3

Un ataque de ransomware moderno tiene siete fases con ventanas de detección en cada una

Un ataque de ransomware no es un evento instantáneo: es una operación que dura entre 2 y 14 días, con fases diferenciadas desde el acceso inicial hasta el despliegue del cifrador. Entender cada fase permite detectar el ataque antes de que el cifrado comience, que es el momento en que los daños se vuelven irreversibles. Este artículo descompone las siete fases con técnicas MITRE ATT&CK, indicadores y oportunidades de defensa para cada una.

Visión general: las siete fases

Fase 1: ACCESO INICIAL          (Día 0)
  │  Phishing, exploit, credenciales, supply chain
  ▼
Fase 2: ESTABLECIMIENTO          (Día 0-1)
  │  Loader, persistencia, beacon C2
  ▼
Fase 3: RECONOCIMIENTO INTERNO   (Día 1-3)
  │  AD enumeration, network scan, credential harvesting
  ▼
Fase 4: MOVIMIENTO LATERAL       (Día 3-7)    ← MAYOR VENTANA DE DETECCIÓN
  │  PsExec, WMI, RDP, SMB, Cobalt Strike
  ▼
Fase 5: EXFILTRACIÓN DE DATOS    (Día 5-10)
  │  Staging, compresión, upload a infra atacante
  ▼
Fase 6: PREPARACIÓN DEL DEPLOY   (Día 7-12)
  │  Disable backups, kill AV/EDR, delete shadows
  ▼
Fase 7: DESPLIEGUE DEL CIFRADOR  (Día 10-14)
  │  GPO push, PsExec masivo, cifrado
  ▼
  NOTA DE RESCATE

Variación temporal: operadores rápidos vs lentos

Perfil del atacante	Acceso → Cifrado	Ejemplo
Afiliado RaaS experimentado	24-48 horas	LockBit affiliates
Grupo organizado estándar	5-14 días	BlackCat, Black Basta
APT con objetivos de espionaje + ransomware	30-90 días	Conti, Ryuk (pre-2022)
Atacante oportunista poco sofisticado	1-4 semanas	Grupos menores

Los tiempos se han comprimido drásticamente desde 2020. Según datos de Mandiant, la mediana de dwell time para incidentes de ransomware bajó de 9 días en 2021 a 5 días en 2024.

Fase 1: Acceso inicial

Vectores de entrada (2025-2026)

Vector	Frecuencia	Técnica MITRE	Ejemplo real
Phishing con adjunto	30-35%	T1566.001	Qakbot via Excel con macros
Phishing con enlace	10-15%	T1566.002	IcedID via link a ZIP con JS
Exploit de servicio expuesto	25-30%	T1190	CVE-2023-46604 (ActiveMQ), CVE-2024-1709 (ConnectWise)
Credenciales comprometidas	15-20%	T1078	RDP con credenciales de info stealer marketplace
Supply chain / MSP	5-10%	T1195	Kaseya VSA (REvil, 2021), MOVEit (Cl0p, 2023)

Qué buscar (detección)

Email gateway: adjuntos .xlsm, .docm, .iso, .img, .vhd, password-protected ZIPs
Web proxy: descargas de dominios recién registrados (menos de 30 días)
Firewall/VPN: intentos de autenticación anómalos, escaneo de puertos desde IPs en listas de reputación
EDR: ejecución de archivos desde %TEMP%, %APPDATA% tras apertura de documento Office

Fase 2: Establecimiento

Una vez dentro, el atacante necesita persistencia y comunicación con su infraestructura.

Acciones típicas

Ejecución del loader: el adjunto/exploit descarga y ejecuta un loader (Qakbot, IcedID, Bumblebee, Pikabot)
Persistencia: registro de tarea programada, clave Run del registro, servicio de Windows
Beacon C2: el loader contacta al servidor C2 y descarga un framework de post-explotación (Cobalt Strike, Sliver, Brute Ratel)
Reconocimiento local: whoami, hostname, ipconfig, lista de AV/EDR instalados

Técnicas MITRE ATT&CK

Acción	Técnica	ID
Descarga del payload	Ingress Tool Transfer	T1105
Persistencia via registry	Boot or Logon Autostart	T1547.001
Persistencia via scheduled task	Scheduled Task/Job	T1053.005
C2 beacon	Application Layer Protocol (HTTPS)	T1071.001
Reconocimiento local	System Information Discovery	T1082

Qué buscar

EDR: proceso hijo anómalo de Office (excel.exe → cmd.exe → powershell.exe)
Sysmon Event 1: procesos con líneas de comandos sospechosas (base64, IEX, DownloadString)
Sysmon Event 3: conexiones salientes a IPs/dominios sin historial
Sysmon Event 11: archivos creados en %TEMP% con extensiones ejecutables

Fase 3: Reconocimiento interno

Con C2 establecido, el atacante mapea la red para identificar objetivos de alto valor.

Acciones típicas

Enumeración de Active Directory: consultas LDAP para obtener estructura de dominio, Domain Admins, servidores, OUs
Escaneo de red: identificación de subnets, servidores de archivos, bases de datos, controladores de dominio
Credential harvesting: Mimikatz/Rubeus para extraer tickets Kerberos, hashes NTLM de LSASS
Identificación de backups: localizar servidores de backup (Veeam, Commvault, Windows Server Backup) para destruirlos en la fase 6

Herramientas del atacante

Herramienta	Propósito	Detección
BloodHound/SharpHound	Mapeo de caminos de escalación en AD	Consultas LDAP masivas (Event 1644)
ADFind	Enumeración AD por línea de comandos	Proceso `adfind.exe` o renombrado con args LDAP
Mimikatz	Extracción de credenciales de LSASS	Acceso a proceso lsass.exe (Sysmon Event 10)
Rubeus	Ataques Kerberos (Kerberoasting, AS-REP)	Event 4769 con encryption type RC4
Advanced IP Scanner	Escaneo de red	Proceso `advanced_ip_scanner.exe`, SYN scan
Netscan (SoftPerfect)	Descubrimiento de servicios SMB	Tráfico SMB masivo desde un solo host

Técnicas MITRE ATT&CK

T1087: Account Discovery
T1018: Remote System Discovery
T1069: Permission Groups Discovery
T1003.001: LSASS Memory (credential dumping)
T1558.003: Kerberoasting

Qué buscar

AD logs: consultas LDAP masivas desde un solo host (no desde DC)
Sysmon Event 10: acceso a lsass.exe desde procesos no estándar
Event 4769: solicitudes TGS con cifrado RC4 (indicador de Kerberoasting)
Tráfico de red: escaneo SYN masivo o enumeración SMB desde un endpoint

Fase 4: Movimiento lateral

Esta es la fase con mayor ventana de detección y donde el atacante hace más ruido.

Técnicas de movimiento

Técnica	Cómo funciona	MITRE ID	Indicadores
PsExec	Copia un servicio al target via SMB, lo ejecuta remotamente	T1569.002	Servicio temporal PSEXESVC, pipes \PSEXESVC
WMI	Ejecución remota via WMI (DCOM/WinRM)	T1047	Proceso wmiprvse.exe padre de cmd/powershell
RDP	Conexión de escritorio remoto con credenciales robadas	T1021.001	Event 4624 tipo 10 desde hosts internos inusuales
SMB/Admin shares	Copia de archivos a \target\C$ o \target\ADMIN$	T1021.002	Acceso a shares administrativos desde no-admin
WinRM	Ejecución remota via PowerShell Remoting	T1021.006	Event 4624 tipo 3 + proceso wsmprovhost.exe
Cobalt Strike lateral	jump/remote-exec integrado	T1569.002	Named pipes por defecto (\MSSE-xxx, \postex_xxx)

Patrones de comportamiento

Lo que hace detectable esta fase es el volumen y la anomalía:

Un endpoint de usuario que se autentica en 15 servidores en 2 horas
Uso de cuentas de administrador de dominio desde workstations
PsExec ejecutándose en hosts donde nunca antes se ejecutó
RDP entre endpoints del mismo segmento (lateral, no vertical)

Qué buscar

Event 4624: autenticaciones tipo 3 (red) y tipo 10 (RDP) desde hosts inusuales
Event 4648: logon con credenciales explícitas (Runas, PsExec)
Event 7045: nuevo servicio instalado (PsExec crea servicio temporal)
Sysmon Event 17/18: named pipes de Cobalt Strike (\MSSE-, \postex_, \status_)
Anomalía de tráfico: host de usuario generando tráfico SMB a múltiples servidores

Fase 5: Exfiltración de datos

En ataques de doble extorsión (la norma desde 2020), los atacantes exfiltran datos antes de cifrar.

Proceso de exfiltración

1. IDENTIFICACIÓN: localizar datos valiosos
   - Shares de red con documentos financieros, legales, RRHH
   - Bases de datos con datos de clientes (PII)
   - Propiedad intelectual, código fuente, contratos

2. STAGING: preparar datos para la transferencia
   - Compresión con 7-Zip, WinRAR (archivos .7z, .rar)
   - A veces cifrado con contraseña antes de exfiltrar
   - Staging en un servidor intermedio de la red

3. EXFILTRACIÓN: transferencia al atacante
   - Servicios de cloud storage: MEGA, Dropbox, Google Drive
   - Herramientas dedicadas: rclone, FileZilla
   - C2 channel: Cobalt Strike con bandwidth reducido
   - Protocolo: HTTPS (difícil de distinguir de tráfico legítimo)

Volumen y tiempo

Los atacantes exfiltran desde decenas de GB hasta varios TB. Para evitar detección, suelen hacerlo fuera de horario laboral y limitar el ancho de banda.

Técnicas MITRE ATT&CK

T1560: Archive Collected Data (7-Zip, WinRAR)
T1567: Exfiltration Over Web Service (MEGA, Dropbox)
T1048: Exfiltration Over Alternative Protocol
T1041: Exfiltration Over C2 Channel

Qué buscar

Proxy/firewall: tráfico masivo a cloud storage (mega.nz, dropbox.com) desde servidores
DLP: archivos comprimidos grandes siendo creados en ubicaciones inusuales
Proceso: rclone.exe, 7z.exe, rar.exe ejecutándose en servidores donde no es habitual
Anomalía de volumen: transferencia saliente > 1 GB fuera de horario desde host que normalmente no transfiere datos

Fase 6: Preparación del despliegue

Justo antes de cifrar, el atacante neutraliza las defensas y los mecanismos de recuperación.

Acciones destructivas

Acción	Propósito	MITRE ID
Eliminar shadow copies	Impedir restauración desde VSS	T1490
Desactivar Windows Defender	Eliminar detección en tiempo real	T1562.001
Matar procesos de AV/EDR	Cegar la monitorización	T1562.001
Detener servicios de backup	Impedir backup durante el ataque	T1489
Eliminar backups de Veeam/otros	Destruir la última línea de recuperación	T1490
Deshabilitar boot recovery	Impedir recovery mode	T1490
Modificar GPO	Preparar despliegue masivo via política	T1484.001

Comandos típicos

Eliminación de shadow copies:
  vssadmin delete shadows /all /quiet
  wmic shadowcopy delete
  Get-WmiObject Win32_Shadowcopy | Remove-WmiObject

Desactivar Defender:
  Set-MpPreference -DisableRealtimeMonitoring $true
  sc config WinDefend start= disabled

Detener servicios de backup:
  net stop "Veeam Backup Service"
  net stop "SQL Server (MSSQLSERVER)"
  net stop "BackupExecAgentBrowser"

Deshabilitar recovery:
  bcdedit /set {default} recoveryenabled No
  bcdedit /set {default} bootstatuspolicy ignoreallfailures

Qué buscar

Event 7036: servicios críticos detenidos (backup, AV)
Sysmon Event 1: vssadmin, wmic shadowcopy, bcdedit ejecutados
EDR: intento de terminar proceso del agente EDR (tamper protection debería bloquearlo)
Alertas de backup: Veeam/Commvault reportando servicios caídos

Esta fase es la última oportunidad de detener el ataque antes del cifrado. Las acciones son ruidosas y deberían generar múltiples alertas si la monitorización está configurada correctamente.

Fase 7: Despliegue del cifrador

Métodos de distribución

Método	Cómo funciona	Escala
GPO (Group Policy)	Script de inicio/logon que ejecuta el ransomware en cada máquina del dominio	Masiva (todo el dominio)
PsExec masivo	Ejecución remota del cifrador en lista de IPs/hostnames	Selectiva (lista de targets)
Scheduled task remoto	Tarea programada creada en múltiples hosts para ejecutar a la misma hora	Masiva, sincronizada
SMB + Admin shares	Copia del binario a \host\C$\Windows\Temp\ + ejecución remota	Selectiva
Script de despliegue	PowerShell/batch que itera sobre lista de hosts	Variable

Secuencia de cifrado en cada endpoint

1. Cifrador se ejecuta
2. Enumera drives locales y shares de red mapeados
3. Genera clave simétrica por archivo (AES-256 o ChaCha20)
4. Cifra la clave simétrica con la clave pública RSA del atacante
5. Para cada archivo con extensión objetivo:
   a. Lee contenido
   b. Cifra con clave simétrica
   c. Escribe contenido cifrado
   d. Añade footer con clave simétrica cifrada
   e. Renombra con extensión del ransomware (.lockbit, .alphv, etc.)
6. Elimina archivo original de forma segura (o sobreescribe)
7. Deposita nota de rescate en cada directorio
8. Cambia wallpaper del escritorio

Optimizaciones de las familias modernas

Cifrado parcial: solo cifra los primeros N KB de cada archivo (más rápido, mismo efecto)
Multi-threading: múltiples hilos cifrando en paralelo para maximizar velocidad
I/O completion ports: uso de APIs asíncronas de Windows para máximo throughput
Priorización: primero archivos de documentos, bases de datos, imágenes; luego el resto
Exclusiones: no cifra archivos del sistema (el SO debe funcionar para que la víctima lea la nota)

Qué buscar (ya es tarde, pero la contención importa)

EDR: creación masiva de archivos con extensiones nuevas, modificación masiva de archivos existentes
Filesystem monitoring: ratio anómalo de writes vs reads, entropy de archivos aumentando
Proceso: binario desconocido accediendo a miles de archivos en minutos
Red: contener inmediatamente aislando segmentos para evitar propagación a otros sitios

Ventanas de detección: dónde tienes más tiempo

Fase          Duración típica    Ventana para defender
─────────────────────────────────────────────────────
1. Acceso      Minutos            Estrecha (email/exploit)
2. Establecer  Horas              Media (EDR, proxy)
3. Recon       1-3 días           AMPLIA (AD logs, LSASS)
4. Lateral     3-7 días           MUY AMPLIA (autenticación, SMB)
5. Exfiltrar   2-5 días           AMPLIA (DLP, proxy, volumen)
6. Preparar    Horas-1 día        Media (servicios, VSS)
7. Cifrar      Minutos-horas      MUY ESTRECHA (contención)

Las fases 3, 4 y 5 representan el 80% del tiempo total del ataque y son donde las detecciones basadas en comportamiento anómalo son más efectivas. Si tu SOC detecta Kerberoasting (fase 3), lateral movement anómalo (fase 4) o exfiltración masiva (fase 5), hay tiempo real para contener antes del cifrado.

Caso real simplificado: cadena típica LockBit affiliate

Día 0, 09:15   Email phishing con link a ZIP password-protected
Día 0, 09:22   Usuario descarga y ejecuta JS → descarga Bumblebee loader
Día 0, 09:45   Bumblebee establece C2, descarga Cobalt Strike beacon
Día 0, 14:00   whoami, ipconfig, net group "domain admins", tasklist
Día 1, 02:00   SharpHound ejecutado → BloodHound analysis offline
Día 1, 10:00   Mimikatz → LSASS dump → credenciales Domain Admin
Día 2, 03:00   Lateral movement via PsExec a 3 servidores
Día 2-4        Enumeración de shares de red, identificación de datos
Día 4, 22:00   rclone a MEGA: 180 GB de documentos financieros y RRHH
Día 5, 01:00   Disable Defender via GPO, delete shadow copies
Día 5, 03:00   LockBit 3.0 desplegado via PsExec a 47 endpoints
Día 5, 03:15   Cifrado completado. Nota de rescate en cada directorio.

Tiempo total: 5 días. La ventana de detección más amplia estaba entre el día 1 (credential dumping) y el día 4 (exfiltración).

Conclusión

La cadena de infección de ransomware es predecible en su estructura. Las siete fases se repiten con variaciones en todas las familias y afiliados. La clave defensiva es maximizar la detección en las fases 3-5, donde el atacante hace más ruido y hay más tiempo de reacción, antes de que la fase 7 haga los daños irreversibles.

Fuentes y referencias

Mandiant: M-Trends 2025 (estadísticas de dwell time y vectores de acceso)
CISA: #StopRansomware advisory series
The DFIR Report: análisis de intrusiones reales con timelines completas
MITRE ATT&CK: Ransomware techniques
Conti Playbooks: documentación filtrada de operaciones (2022)
Secureworks: Annual Threat Report 2025 (tendencias de ransomware)

Preguntas frecuentes

Libros recomendados

Ransomware: Defending Against Digital Extortion (Allan Liska)

Amazon (enlace afiliado)

Practical Malware Analysis (Sikorski & Honig)

Amazon (enlace afiliado)

Un ataque de ransomware moderno tiene siete fases con ventanas de detección en cada una

Visión general: las siete fases

Variación temporal: operadores rápidos vs lentos

Fase 1: Acceso inicial

Vectores de entrada (2025-2026)

Qué buscar (detección)

Fase 2: Establecimiento

Acciones típicas

Técnicas MITRE ATT&CK

Qué buscar

Fase 3: Reconocimiento interno

Acciones típicas

Herramientas del atacante

Técnicas MITRE ATT&CK

Qué buscar

Fase 4: Movimiento lateral

Técnicas de movimiento

Patrones de comportamiento

Qué buscar

Fase 5: Exfiltración de datos

Proceso de exfiltración

Volumen y tiempo

Técnicas MITRE ATT&CK

Qué buscar

Fase 6: Preparación del despliegue

Acciones destructivas

Comandos típicos

Qué buscar

Fase 7: Despliegue del cifrador

Métodos de distribución

Secuencia de cifrado en cada endpoint

Optimizaciones de las familias modernas

Qué buscar (ya es tarde, pero la contención importa)

Ventanas de detección: dónde tienes más tiempo

Caso real simplificado: cadena típica LockBit affiliate

Conclusión

Fuentes y referencias

Preguntas frecuentes

Libros recomendados

Artículos relacionados