Secuestrar archivos sin dejar rastro, la nueva estrategia que te deja expuesto en internet

La técnica revela cómo los ciberdelincuentes logran cifrar información sin ejecutar malware en los dispositivos de las víctimas

Guardar
Google icon
Persona encapuchada y con guantes tecleando en un teclado, con pantallas de ordenador que muestran código y un mapa global, y un fondo de múltiples rostros borrosos.
El punto de partida de este tipo de ataques radica en la identificación de servicios SMB expuestos a internet. (Imagen Ilustrativa Infobae)

Una nueva modalidad de ransomware está poniendo a prueba los sistemas de seguridad tradicionales de empresas en todo el mundo. La campaña WantToCry representa una amenaza que desafía los métodos convencionales de protección, ya que permite el secuestro de archivos sin dejar los rastros habituales que suelen detectar los antivirus y otras herramientas de defensa digital.

Esta técnica, documentada por la investigación de Sophos, revela cómo los ciberdelincuentes logran cifrar información sin ejecutar malware en los dispositivos de las víctimas, lo que obliga a reformular las estrategias de detección y respuesta ante incidentes.

PUBLICIDAD

Cómo funciona el ransomware sin rastros detectables

El punto de partida de este tipo de ataques radica en la identificación de servicios SMB expuestos a internet. Los atacantes buscan sistemas con configuraciones vulnerables, especialmente aquellos utilizados para el intercambio de archivos empresariales, y prueban credenciales débiles hasta que logran acceder.

ciberdelincuencia - ciberataque - secuestro de datos - internet - tecnología - 30 de junio
Una nueva modalidad de ransomware está poniendo a prueba los sistemas de seguridad tradicionales de empresas en todo el mundo. Sophos

Una vez dentro, el procedimiento difiere radicalmente de las tácticas conocidas: los archivos no se cifran en el equipo comprometido, sino que se trasladan primero a una infraestructura controlada por los atacantes.

PUBLICIDAD

En ese entorno externo, los archivos extraídos se someten al proceso de cifrado. Solo después de esta manipulación, los delincuentes devuelven los documentos ya bloqueados al sistema original junto con una nota de rescate, haciendo muy difícil rastrear el ataque desde el entorno afectado. El resultado es un incidente que escapa a muchos de los controles implementados por soluciones antivirus y de detección y respuesta a nivel de endpoint.

Esta campaña opera aprovechando la presencia de más de 1,5 millones de dispositivos con servicios de intercambio de archivos expuestos a internet al comienzo de 2026, según datos analizados por los investigadores de Sophos. Ese volumen de equipos se convierte en una lista permanente de posibles blancos para este tipo de maniobras.

ciberdelincuencia - ciberataque - secuestro de datos - internet - tecnología - 30 de junio
El éxito de la campaña WantToCry evidencia la existencia de varios puntos ciegos en los sistemas de defensa empresarial. Sophos

Técnicas de ataque utilizadas por los ciberdelincuentes

El ransomware WantToCry emplea métodos de fuerza bruta para acceder a servicios empresariales de intercambio de archivos expuestos en los puertos 139 y 445. Una vez obtenidas las credenciales correctas, los atacantes inician sesiones autenticadas que les permiten leer, copiar y sobrescribir archivos del sistema atacado.

La clave de esta técnica consiste en realizar todo el proceso de cifrado fuera del entorno comprometido. Así, desaparecen los indicadores locales que normalmente activarían alertas en las soluciones de seguridad.

Tras la devolución de los archivos cifrados, las víctimas encuentran una nota de rescate identificada como “!Want_To_Cry.txt” y los archivos afectados presentan la extensión “.want_to_cry”.

IA - ciberataque - tecnología - 24 de febrero
La técnica de cifrado remoto elimina la necesidad de ejecutar código malicioso en el equipo objetivo. (Imagen ilustrativa Infobae)

El monto exigido por los delincuentes en estos ataques es notoriamente inferior al que suele asociarse con campañas de ransomware de alto perfil. En la mayoría de los casos documentados, las demandas se ubican alrededor de los 600 dólares, aunque existen reportes públicos de cifras entre 400 y 1.800 dólares.

Cabe señalar que esta estrategia sugiere que los atacantes buscan ataques rápidos, discretos y susceptibles de repetirse en múltiples objetivos.

Vulnerabilidades y puntos ciegos en la seguridad empresarial

El éxito de la campaña WantToCry evidencia la existencia de varios puntos ciegos en los sistemas de defensa empresarial. La técnica de cifrado remoto elimina la necesidad de ejecutar código malicioso en el equipo objetivo, lo que anula la eficacia de varias capas de protección basadas en la detección de malware o comportamientos sospechosos en los endpoints.

Mujer joven con cabello oscuro y blusa verde azulado, con lágrimas en los ojos, mirando un celular encendido que ilumina su rostro en un ambiente oscuro.
El ransomware WantToCry emplea métodos de fuerza bruta para acceder a servicios empresariales de intercambio de archivos expuestos en los puertos 139 y 445. (Imagen Ilustrativa Infobae)

Entre los principales factores de riesgo identificados se encuentran la exposición de servicios de intercambio de archivos a internet, la utilización de credenciales débiles o configuraciones de invitado y la falta de segmentación adecuada en las copias de seguridad.

Estos elementos, presentes en muchas infraestructuras empresariales, abren la puerta a ataques que resultan prácticamente invisibles para los mecanismos de defensa tradicionales.

Medidas para reducir el riesgo de ataques de ransomware invisibles

Frente a este escenario, existen cinco recomendaciones clave que pueden ayudar a las organizaciones a reducir su exposición a este nuevo tipo de ransomware:

  1. Cerrar el acceso a internet de los servicios utilizados para compartir archivos internamente.
  2. Eliminar la posibilidad de accesos anónimos o configuraciones de invitado que permitan conexiones sin autenticación robusta.
  3. Revisar y fortalecer todas las credenciales asociadas a servidores y recursos compartidos, evitando contraseñas predecibles.
  4. Asegurar que las copias de seguridad estén aisladas y no sean accesibles mediante los mismos servicios empleados para el intercambio de archivos.
  5. Supervisar de manera constante los intentos repetidos de autenticación y cualquier actividad inusual relacionada con la lectura o escritura masiva de información desde direcciones externas.
Primer plano de manos escribiendo en un teclado de portátil, con la pantalla iluminada por código verde en un entorno oscuro
Existen cinco recomendaciones clave que pueden ayudar a las organizaciones a reducir su exposición a este nuevo tipo de ransomware. (Reuters)

Estas acciones se plantean como la ruta más efectiva para evitar convertirse en la próxima víctima de una campaña que aprovecha debilidades estructurales y operativas. La experiencia reciente muestra que el riesgo de ataques exitosos ya no depende solo de vulnerabilidades de software, sino que una mala configuración o una contraseña insuficiente bastan para desencadenar una operación de cifrado remoto que, en muchos casos, pasa inadvertida.

El panorama presentado por la campaña WantToCry marca un cambio de paradigma en la forma en que deben protegerse las infraestructuras empresariales y redefine las prioridades en materia de ciberseguridad.

PUBLICIDAD

PUBLICIDAD