Ransomware-as-a-Service (RaaS): Cómo Funciona el Modelo de Negocio del Cibercrimen
El ransomware moderno opera como un negocio organizado. Análisis del modelo RaaS: desarrolladores, afiliados, initial access brokers, paneles de administración, reparto de beneficios y la economía del cibercrimen.
De lobos solitarios a crimen organizado
En 2013, CryptoLocker demostró que cifrar archivos y pedir Bitcoin era un negocio rentable. Pero tenía un problema de escalabilidad: un solo grupo de desarrolladores podía atacar un número limitado de víctimas. La solución llegó con la especialización.
El modelo Ransomware-as-a-Service surgió cuando los desarrolladores de ransomware se dieron cuenta de que era más rentable construir la plataforma y dejar que otros ejecutaran los ataques. Es el mismo concepto que un franquiciado de comida rápida: la casa central provee la marca, las herramientas y la infraestructura; el franquiciado pone el trabajo operativo y comparte los beneficios.
Para 2025, más del 75% de los incidentes de ransomware que investigan las principales firmas de respuesta a incidentes involucran alguna variante de modelo RaaS. No es una tendencia emergente: es la norma.
El ecosistema RaaS: actores y roles
El ransomware moderno no es obra de un solo hacker. Es un ecosistema con roles especializados que interactúan como una cadena de suministro criminal.
Los roles del ecosistema
| Rol | Función | Ejemplo |
|---|---|---|
| Operator/Developer | Desarrolla el ransomware, mantiene la infraestructura (C2, leak site, panel de afiliados, decryptor) | Equipo core de LockBit, desarrolladores de BlackCat |
| Affiliate | Ejecuta los ataques: acceso inicial, movimiento lateral, despliegue del ransomware | Criminales independientes que se unen al programa |
| Initial Access Broker (IAB) | Obtiene y vende acceso a redes corporativas (credenciales, VPN, RDP) | Vendedores en Exploit Forum, XSS Forum |
| Negotiator | Negocia con las víctimas el monto del rescate | A veces parte del equipo del operator, a veces tercerizado |
| Money Launderer | Convierte criptomonedas en dinero fiat | Operadores de mixers, OTC brokers |
| Malware Loader Operator | Distribuye loaders (Emotet, Qakbot, Bumblebee) que sirven como vector de acceso inicial para afiliados | Operadores de botnets que venden instalaciones |
La cadena de valor
El flujo típico de un ataque RaaS sigue esta secuencia:
- Un IAB compromete una red corporativa (vía phishing, exploit de VPN, brute force de RDP)
- El IAB publica el acceso en un foro underground con detalles: sector, país, revenue estimado, tipo de acceso
- Un afiliado compra el acceso (precio típico: 500-10.000 USD dependiendo del tamaño de la víctima)
- El afiliado descarga el builder del ransomware desde el panel del operator y genera un payload personalizado
- El afiliado ejecuta el ataque: reconocimiento, movimiento lateral, exfiltración, cifrado
- La víctima contacta al grupo a través del portal de pago
- El negotiator gestiona la negociación
- La víctima paga
- El operador retiene su porcentaje (20-30%) y el afiliado recibe el resto (70-80%)
- El money launderer convierte los fondos
Cómo funciona la afiliación
Reclutamiento
Los programas RaaS reclutan afiliados en foros underground de habla rusa (Exploit, XSS, RAMP) y, en menor medida, en canales de Telegram y foros de habla inglesa.
Los anuncios de reclutamiento típicos incluyen:
- Descripción técnica del ransomware (velocidad de cifrado, lenguaje, plataformas soportadas)
- Porcentaje de reparto
- Funcionalidades del panel de afiliado
- Requisitos para unirse (experiencia previa, depósito, voucher de otro miembro)
- Reglas de uso (qué víctimas están prohibidas)
Vetting: filtrado de candidatos
Los operadores serios no aceptan a cualquiera. El proceso de selección puede incluir:
Depósito: algunos programas exigen un depósito en Bitcoin (1-5 BTC) que se devuelve tras el primer ataque exitoso. Esto filtra a los "turistas" y a los investigadores de seguridad encubiertos.
Entrevista técnica: preguntas sobre experiencia con Active Directory, herramientas de post-exploitation (Cobalt Strike, Brute Ratel), y conocimiento de redes corporativas.
Voucher: un miembro existente del programa debe responder por el candidato. Si el nuevo afiliado resulta ser un informante o un investigador, el voucher también es sancionado.
Track record: historial demostrable de ataques previos o reputación en foros underground.
Reglas de engagement
La mayoría de programas RaaS tienen reglas explícitas sobre qué víctimas están prohibidas:
| Regla | Motivo real |
|---|---|
| No atacar la CEI (Rusia, Ucrania, Bielorrusia, Kazajistán, etc.) | Los operadores residen allí y evitan atraer la atención de sus propias autoridades |
| No atacar hospitales o infraestructura crítica | Reduce la presión de law enforcement (aunque se viola frecuentemente) |
| No atacar entidades gubernamentales de ciertos países | Evitar escalada geopolítica |
| Exfiltrar datos antes de cifrar | Maximizar la presión de pago (doble extorsión) |
| Informar al operador antes de cifrar | Coordinación y control de calidad |
Estas reglas se violan regularmente. LockBit atacó al hospital SickKids de Toronto en diciembre de 2022. Cuando se hizo público, el operador emitió un comunicado diciendo que el afiliado responsable había sido expulsado del programa y ofreciendo un decryptor gratuito. Es imposible saber si fue un acto genuino de "ética criminal" o una maniobra de relaciones públicas.
El panel del afiliado: lo que reciben
Cuando un afiliado es aceptado en un programa RaaS, recibe acceso a un panel de administración web (normalmente en Tor) con las siguientes funcionalidades:
Builder de payloads
Herramienta para generar ejecutables de ransomware personalizados. Opciones configurables:
- Extensión de cifrado: la extensión que se añade a los archivos cifrados (
.lockbit,.alphv,.hive) - Nota de rescate: texto personalizable
- Directorios a excluir: para evitar romper el sistema operativo
- Extensiones a cifrar: lista configurable
- Modo de cifrado: completo, parcial, intermitente
- Plataforma objetivo: Windows, Linux, ESXi, NAS
- Kill switch de idioma: activar o desactivar la comprobación de idioma CIS
Panel de gestión de víctimas
Dashboard donde el afiliado ve:
- Lista de víctimas activas con estado (cifrado completado, en negociación, pagado, publicado)
- Chat de negociación con cada víctima
- Monto del rescate y deadline
- Estado del pago (pendiente, confirmado, distribuido)
- Herramienta para subir pruebas de datos robados
Leak site management
Interfaz para publicar datos de víctimas que no pagan:
- Crear entrada con nombre de la víctima, sector, país
- Subir muestras de datos como presión (partial leak)
- Configurar countdown timer hasta la publicación completa
- Publicar el dump completo tras expirar el plazo
Decryptor
Herramienta de descifrado que se entrega a la víctima tras el pago. Generada automáticamente con las claves específicas de esa víctima.
Modelo de ingresos: cómo se reparte el dinero
Estructura de reparto
El reparto estándar en la industria RaaS es:
| Programa | Porcentaje afiliado | Porcentaje operador |
|---|---|---|
| LockBit | 80% | 20% |
| BlackCat/ALPHV | 80-90% | 10-20% |
| Conti | 70% (salary model) | 30% |
| REvil | 70-80% | 20-30% |
| Hive | 80% | 20% |
| Black Basta | ~70% | ~30% |
Conti operaba con un modelo diferente: en vez de porcentaje por ataque, pagaba "salarios" mensuales a sus operadores (700-2.000 USD/mes según los Conti Leaks). Los ataques grandes generaban bonificaciones.
Volumen y cifras
Los números publicados por empresas de respuesta a incidentes y blockchain analysis dan una idea de la escala:
- 2023: rescates pagados por valor de 1.100 millones USD a nivel global (Chainalysis)
- 2024: estimación de 1.300-1.500 millones USD
- Rescate medio: 150.000-250.000 USD (Coveware)
- Rescate mediano: 50.000-80.000 USD
- Rescate máximo documentado: 70 millones USD demandado (REvil a Kaseya, no pagado). El mayor pagado confirmado: 40 millones USD por CNA Financial (2021)
Modelo económico del IAB
Los Initial Access Brokers tienen su propio mercado con precios relativamente estandarizados:
| Tipo de acceso | Precio típico | Factores que afectan al precio |
|---|---|---|
| RDP con credenciales | 5-50 USD | País, sector, si es admin |
| VPN corporativa | 200-5.000 USD | Revenue de la empresa, sector |
| Webshell en servidor | 50-500 USD | Privilegios, tipo de servidor |
| Citrix/Pulse Secure | 500-10.000 USD | Tamaño de la red interna |
| Domain Admin | 1.000-50.000 USD | Revenue de la empresa, número de endpoints |
La asimetría es notable: un IAB vende acceso por 2.000 USD que luego genera un rescate de 500.000 USD.
Casos de estudio: operaciones RaaS destacadas
LockBit (2019-2024)
El programa RaaS más prolífico de la historia reciente. Puntos clave:
- Más de 1.700 víctimas documentadas antes de Operation Cronos (febrero 2024)
- Operaba un "bug bounty" ofreciendo 1.000 USD por reportar vulnerabilidades en su infraestructura
- LockBit 3.0 (LockBit Black) introdujo cifrado intermitente para maximizar velocidad
- El leak site incluía un ranking de afiliados por ingresos generados
- Tras Operation Cronos, el administrador "LockBitSupp" intentó relanzar pero perdió credibilidad
Conti (2020-2022)
El grupo que operaba como una empresa:
- Estructura organizativa con departamentos: desarrollo, RRHH, negociación, administración
- Los Conti Leaks (febrero 2022) revelaron chats internos, código fuente y estructura organizativa
- Empleados con horarios de oficina, vacaciones y evaluaciones de rendimiento
- Se disolvió tras posicionarse a favor de Rusia en la invasión de Ucrania, lo que provocó la filtración
- Los miembros migraron a Royal, Black Basta, BlackByte y otros programas
BlackCat/ALPHV (2021-2024)
Innovación técnica como diferenciador:
- Primer ransomware major escrito en Rust (cross-platform: Windows, Linux, ESXi, ARM)
- Panel de afiliados sofisticado con API programable
- Ofreció hasta 90% de reparto a afiliados top
- Exit scam en marzo 2024: tras cobrar 22 millones USD de Change Healthcare, el operador simuló un takedown del FBI, robó el dinero al afiliado y desapareció
Disrupciones de law enforcement
Operation Cronos vs LockBit (febrero 2024)
Operación multinacional liderada por NCA (Reino Unido) y FBI:
- Incautación de 34 servidores en 8 países
- Obtención de 1.000+ claves de descifrado (entregadas a víctimas gratuitamente)
- Identificación pública del administrador: Dmitry Khoroshev (alias LockBitSupp), ciudadano ruso
- Congelación de 200+ cuentas de criptomonedas
- LockBit intentó relanzar pero su reputación quedó destruida entre afiliados
Hive takedown (enero 2023)
El FBI infiltró la red de Hive durante 7 meses:
- Accedió al panel de administración y obtuvo claves de descifrado
- Distribuyó claves a más de 1.300 víctimas en todo el mundo
- Evitó pagos de rescate por valor estimado de 130 millones USD
- Incautó la infraestructura en coordinación con Europol y BKA (Alemania)
Impacto real de las disrupciones
Las disrupciones de law enforcement tienen efectos medibles pero temporales:
| Efecto | Duración |
|---|---|
| Caída inmediata del volumen de ataques del grupo | 1-3 meses |
| Migración de afiliados a otros programas | Inmediata |
| Desconfianza en el ecosistema RaaS | 3-6 meses |
| Reducción general del ransomware | No demostrada a largo plazo |
| Rebranding del grupo bajo nuevo nombre | 2-6 meses |
El problema fundamental: las disrupciones eliminan la marca pero no a las personas. Los desarrolladores y afiliados migran a nuevos programas. Conti se disolvió y sus miembros crearon Royal, Black Basta y BlackByte. ALPHV hizo exit scam y sus afiliados migraron a RansomHub.
Por qué el modelo RaaS es difícil de detener
Descentralización
No hay un punto central de fallo. Si cae el operador, los afiliados migran. Si cae un afiliado, hay docenas más. Si cae un IAB, hay cientos esperando.
Rebranding
Cuando un grupo atrae demasiada atención de law enforcement, simplemente cambia de nombre. El código base puede ser el mismo con modificaciones menores. La reputación se reconstruye en semanas si el producto funciona.
| Grupo original | Rebrand(s) |
|---|---|
| Conti | Royal → BlackSuit |
| DarkSide | BlackMatter |
| REvil | Ransom Cartel (parcial) |
| Avaddon | Haron/Midas (parcial) |
| Babuk | Babuk v2, PayloadBIN (code reuse) |
Jurisdicción
La mayoría de operadores residen en Rusia o países de la CEI donde las autoridades locales no cooperan con extradiciones. Mientras no ataquen objetivos domésticos, operan con impunidad de facto.
Barrera de entrada baja
El modelo RaaS permite que criminales sin habilidades técnicas ejecuten ataques sofisticados. La oferta de Initial Access Brokers y Malware Loaders elimina incluso la necesidad de realizar la intrusión inicial. Un afiliado puede comprar acceso, descargar un payload del builder y desplegarlo siguiendo un manual.
Detección e inteligencia: rastrear operaciones RaaS
Fuentes de inteligencia
| Fuente | Qué aporta | Accesibilidad |
|---|---|---|
| Foros underground (Exploit, XSS, RAMP) | Reclutamiento de afiliados, venta de accesos | Requiere acceso encubierto |
| Leak sites en Tor | Lista de víctimas, samples de datos, actividad del grupo | Acceso público vía Tor |
| Ransomware.live | Agregador de leak sites, estadísticas, timelines | Público, gratuito |
| Chainalysis / Elliptic | Rastreo de fondos en blockchain | Comercial |
| Conti Leaks / ALPHV leaks | Información interna de operaciones | Público (tras filtración) |
| CISA advisories | TTPs por familia, IOCs | Público |
| Mandiant / CrowdStrike / Sophos reports | Análisis técnico de familias y campañas | Público (informes) + comercial (feeds) |
Indicadores de que un programa RaaS está activo
- Publicaciones regulares en su leak site (víctimas nuevas semanalmente)
- Anuncios de actualización del builder en foros
- Reclutamiento activo de nuevos afiliados
- Respuesta a mensajes en canales de Telegram o TOX
Indicadores de declive o exit scam
- Leak site caído durante semanas sin explicación
- Quejas de afiliados en foros por pagos no recibidos
- Ausencia de nuevas víctimas durante más de 30 días
- Mensajes contradictorios del operador en foros
- Infraestructura C2 rotando con frecuencia anormal
Lo que viene después
El modelo RaaS explica el "quién" y el "por qué" del ransomware moderno. El siguiente artículo de la serie analiza el "cómo" paso a paso: la cadena de infección completa, desde el primer email de phishing o la primera vulnerabilidad explotada hasta el momento en que los archivos se cifran y la nota de rescate aparece en pantalla.
Fuentes y referencias
- Chainalysis. "The 2024 Crypto Crime Report: Ransomware." Chainalysis, 2024.
- CISA. "Understanding Ransomware Threat Actors: LockBit." CISA Advisory AA23-165A, 2023.
- CrowdStrike. "2024 Global Threat Report." CrowdStrike, 2024.
- Europol. "Internet Organised Crime Threat Assessment (IOCTA) 2024." Europol, 2024.
- Group-IB. "Ransomware Uncovered 2023/2024." Group-IB, 2024.
- Ke-La. "All About Initial Access Brokers." Ke-La Research, 2023.
- Mandiant. "M-Trends 2025 Report." Google Cloud Security, 2025.
- National Crime Agency. "Operation Cronos: LockBit disruption." NCA Press Release, February 2024.
- Sophos. "The State of Ransomware 2025." Sophos, 2025.
- The Record. "Conti Leaks." Recorded Future News, February-March 2022.
- U.S. Department of Justice. "Hive Ransomware Disrupted After FBI Covertly Infiltrated Network." DOJ Press Release, January 2023.
- Coveware. "Quarterly Ransomware Report Q4 2024." Coveware by Veeam, 2025.
Preguntas frecuentes
Libros recomendados
Artículos relacionados
Anatomía de un Ransomware: Cifrado, Comunicación C2 y Sistema de Pagos
Cadena de Infección de Ransomware: Del Acceso Inicial al Cifrado
Doble Extorsión: Cómo el Ransomware Moderno Roba tus Datos Antes de Cifrarlos
BlackCat/ALPHV: Doble Extorsión y Data Leak Investigation
Conti: De Cobalt Strike a Exfiltración y Cifrado en 72 Horas
LockBit 3.0: Incident Response Completo de Principio a Fin
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.