El ransomware ahora apunta a las copias de seguridad personales

Cuando hablamos de copias de seguridad, la mayoría de las personas se dicen a sí mismas: “Mañana lo haré”. Pero incluso si eres una de esas personas responsables que realiza copias de seguridad periódicas de sus documentos, archivos de fotos y todo el sistema operativo, sigues estando en riesgo. ¿Por qué? Esto se debe a que el ransomware ha aprendido a dirigirse específicamente a las copias de seguridad diarias de los usuarios.

Por qué los usuarios domésticos están en el punto de mira

En un pasado no muy lejano, el ransomware era, básicamente, un problema de empresas grandes. Los atacantes se centraban en los servidores corporativos y las copias de seguridad empresariales, porque congelar el proceso de producción de una empresa importante o robar toda su información y bases de datos de clientes generalmente significaba pagos masivos. Hemos visto muchos casos similares en los últimos años. Sin embargo, el mercado de los “peces chicos” se ha vuelto igualmente tentador para los ciberdelincuentes, he ahí el motivo.

Para empezar, los ataques están automatizados. El ransomware moderno no necesita que un humano lo opere manualmente. Estos programas analizan Internet en busca de dispositivos vulnerables y, cuando encuentran uno, cifran todo de forma indiscriminada, sin que el ciberdelincuente se involucre. Esto significa que un solo atacante puede atacar sin esfuerzo miles de dispositivos domésticos.

En segundo lugar, debido a este amplio alcance, las exigencias de rescate se han vuelto más “asequibles”. A los usuarios habituales no se les piden millones, sino “solo” unos pocos cientos o miles de dólares. Muchas personas están dispuestas a pagar esa cantidad sin implicar a la policía, sobre todo si hay en juego archivos familiares, fotos, historiales médicos, documentos bancarios y otros archivos personales de los que no hay copias. Y al multiplicar esos pagos más pequeños por miles de víctimas, los atacantes consiguen sumas muy significativas.

Y, por último, los dispositivos domésticos suelen ser blancos fáciles. Si bien las redes corporativas están muy bien protegidas, el router doméstico promedio suele funcionar con la configuración de fábrica y la contraseña “admin”. Mucha gente deja su almacenamiento conectado a la red NAS ((Network Attached Storage o Almacenamiento Conectado a la Red) abierto a Internet sin protección ninguna. Es un fruta muy apetecible.

Cómo se atacan las copias de seguridad personales

Una unidad NAS doméstica, comúnmente denominada nube personal, es esencialmente un miniequipo que ejecuta un sistema operativo especializado basado en Linux o FreeBSD. Alberga uno o más discos duros de gran capacidad, a menudo combinados en una matriz. El almacenamiento se conecta a un router doméstico, lo que permite acceder a los archivos desde cualquier dispositivo de la red doméstica, o incluso de forma remota a través de Internet si lo has configurado de esa manera. Mucha gente compra una NAS específicamente para centralizar las copias de seguridad de su familia y simplificar el acceso a los familiares, pensando que es el refugio más seguro para sus archivos digitales.

La ironía es que estos mismos centros de almacenamiento se han convertido en el objetivo principal de las bandas de ransomware. Los ciberdelincuentes pueden acceder con relativa facilidad, ya sea explotando vulnerabilidades conocidas o simplemente forzando una contraseña débil. Durante los últimos cinco años, se han producido varios ataques de ransomware importantes dirigidos específicamente a unidades NAS domésticas fabricadas por QNAP, Synology y ASUSTOR.

Dirigirse al NAS no es la única forma en que los atacantes pueden acceder a tus archivos. El segundo método se basa en la ingeniería social: básicamente, consiste en engañar a las víctimas para que ejecuten ellas mismas el software malicioso. Tomemos, por ejemplo, el gran revuelo que rodeó a la IA en 2025. Los estafadores configuraban sitios web maliciosos que distribuyen instaladores falsos para ChatGPT, Invideo AI y otras herramientas de moda. Atraían a la gente con promesas de suscripciones premium gratuitas pero, en realidad, los usuarios terminaban descargando y ejecutando ransomware .

Qué busca el ransomware una vez que está dentro

Una vez que el software malicioso se infiltra en el sistema, comienza a supervisar su entorno y a neutralizar cualquier elemento que te pueda ayudar a recuperar tus datos sin pagar.

• Elimina las instantáneas de Windows. El Servicio de instantáneas de volumen es una función integrada de Windows para la recuperación rápida de archivos. Eliminar estos datos hace que sea imposible algo tan simple como revertir a una versión anterior de un archivo.
• Analiza las unidades conectadas. Si dejas un disco duro externo conectado permanentemente a tu equipo, el ransomware lo detectará y lo cifrará como haría con cualquier otro archivo.
• Busca carpetas de red. Si tu nube personal está asignada como unidad de red, el malware seguirá esa ruta para atacarla también.
• Comprueba los clientes de sincronización en la nube. Servicios como Dropbox, Google Drive o iCloud para Windows mantienen carpetas de sincronización locales en tu equipo. El ransomware cifra los archivos de estas carpetas, y el servicio en la nube “ayuda” a cargar las versiones cifradas a la nube.

La regla de oro de las copias de seguridad

Esta es la regla clásica 3-2-1 de las copias de seguridad:

• Tres copias de tus datos: el original más dos copias de seguridad.
• Dos tipos de soporte diferentes: por ejemplo, tu equipo y una unidad externa.
• Una copia fuera del sitio: en la nube o en otro lugar, como en casa de un familiar.

Sin embargo, esta regla es anterior a la era del ransomware. Hoy hace falta actualizarla con una condición vital: otra copia debe estar completamente aislada tanto de Internet como de tu equipo en el momento de sufrir un ataque.

La nueva regla es 3-2-1-1, un poco más complicada, pero mucho más segura. Seguirla resulta sencillo: hazte con un disco duro externo que conectes una vez a la semana, haz una copia de seguridad de tus datos y desconéctalo.

De qué necesitas hacer realmente copias de seguridad

• Fotografías y vídeos. Fotos de boda, primeros pasos de un bebé, archivos familiares: estos son los recuerdos que la gente paga por recuperar.
• Escaneos o fotos digitales de documentos esenciales para cada familiar; desde pasaportes hasta historiales médicos, incluidos archivos antiguos.
• Datos de autenticación de dos factores. Si tu aplicación de autenticación solo está instalada en tu teléfono y lo pierdes, también puedes perder el acceso a todas tus cuentas protegidas. Muchas aplicaciones te permiten hacer una copia de seguridad de tus datos de autenticación.
• Contraseñas. Si usas un administrador de contraseñas, asegúrate de que esté sincronizado con una nube segura o que disponga de función de exportación.
• Las aplicaciones de mensajería centradas en la privacidad no siempre almacenan tu historial en la nube. Correspondencia comercial, acuerdos importantes y contactos podrían desaparecer si no se realizan copias de seguridad.

Qué hacer si tus datos ya están cifrados

No entres en pánico. Consulta nuestra página sobre descifradores de ransomware gratuitos . Hemos recopilado una biblioteca de herramientas de descifrado que pueden ayudarte a recuperar tus datos sin tener que pagar.

Cómo proteger tus copias de seguridad

• No dejes tu unidad de copia de seguridad externa enchufada todo el tiempo. Conéctala, copia tus archivos y desconéctala de inmediato.
• Configura copias de seguridad automatizadas en la nube, pero asegúrate de que tu proveedor de la nube mantenga un historial de versiones durante al menos 30 días. Si tu plan actual no ofrece esta opción, es hora de actualizarlo o cambiar de proveedor.
• Cumple con la regla 3-2-1-1: archivos originales en tu equipo, más una unidad externa que solo conectes periódicamente, más almacenamiento en la nube. Eso supone tres copias, dos tipos de soporte, una copia sin conexión y otra fuera del sitio.
• Corta el acceso de internet a tu almacenamiento de red. Si tienes una unidad de red doméstica, asegúrate de que no se pueda acceder a ella desde internet sin una contraseña, y de que dicha contraseña no sea “admin”. Desactiva cualquier función de acceso remoto que no uses y asegúrate de que tu firmware esté actualizado.
• De hecho, mantén todo actualizado. La mayoría de los ataques aprovechan las vulnerabilidades conocidas que se han parcheado durante mucho tiempo. Habilitar las actualizaciones automáticas del router, la NAS y el equipo solo lleva unos minutos, pero cierra la puerta de forma efectiva a cientos de agujeros de seguridad conocidos.
• Mantente alejado de versiones “gratuitas” de software de pago. Los instaladores falsos de software pirateado o trampas para juegos son algunos de los principales canales de distribución de ransomware. Por cierto, Kaspersky Premium detecta estas amenazas y las bloquea incluso antes de que se ejecuten.
• Asegúrate de activar la función System Watcher de nuestras suites de seguridad para Windows. Esta función registra cada evento del sistema operativo para ayudar a rastrear amenazas como el ransomware y bloquearlas o revertir cualquier daño que ya hayan producido.
• Haz una copia de seguridad de tu aplicación de autenticación. Lo más fácil es migrar tus tokens de autenticación a Kaspersky Password Manager. Los mantiene cifrados de forma segura en la nube junto con tus contraseñas y documentos confidenciales, mientras los sincroniza en todos tus dispositivos. De esa forma, si te roban el móvil o se te estropea, no te quedarás sin acceso a tus cuentas y a tus datos importantes.
• Prueba tus copias de seguridad. Cada pocos meses, intenta restaurar un archivo aleatorio de tu archivo. Te sorprenderá la frecuencia con la que una copia de seguridad aparentemente correcta resulta dañada o defectuosa. Es mejor detectar dichos fallos ahora mientras aún tienes los originales para solucionar el problema.