Secuestrar archivos sin dejar rastro, la nueva estrategia que te deja expuesto en internet
La técnica revela cómo los ciberdelincuentes logran cifrar información sin ejecutar malware en los dispositivos de las víctimas
InfobaeUna nueva modalidad de ransomware está poniendo a prueba los sistemas de seguridad tradicionales de empresas en todo el mundo. La campaña WantToCry representa una amenaza que desafía los métodos convencionales de protección, ya que permite el secuestro de archivos sin dejar los rastros habituales que suelen detectar los antivirus y otras herramientas de defensa digital.
Esta técnica, documentada por la investigación de Sophos, revela cómo los ciberdelincuentes logran cifrar información sin ejecutar malware en los dispositivos de las víctimas, lo que obliga a reformular las estrategias de detección y respuesta ante incidentes.
Cómo funciona el ransomware sin rastros detectables
El punto de partida de este tipo de ataques radica en la identificación de servicios SMB expuestos a internet. Los atacantes buscan sistemas con configuraciones vulnerables, especialmente aquellos utilizados para el intercambio de archivos empresariales, y prueban credenciales débiles hasta que logran acceder.

Una vez dentro, el procedimiento difiere radicalmente de las tácticas conocidas: los archivos no se cifran en el equipo comprometido, sino que se trasladan primero a una infraestructura controlada por los atacantes.
En ese entorno externo, los archivos extraídos se someten al proceso de cifrado. Solo después de esta manipulación, los delincuentes devuelven los documentos ya bloqueados al sistema original junto con una nota de rescate, haciendo muy difícil rastrear el ataque desde el entorno afectado. El resultado es un incidente que escapa a muchos de los controles implementados por soluciones antivirus y de detección y respuesta a nivel de endpoint.

Técnicas de ataque utilizadas por los ciberdelincuentes
El ransomware WantToCry emplea métodos de fuerza bruta para acceder a servicios empresariales de intercambio de archivos expuestos en los puertos 139 y 445. Una vez obtenidas las credenciales correctas, los atacantes inician sesiones autenticadas que les permiten leer, copiar y sobrescribir archivos del sistema atacado.
La clave de esta técnica consiste en realizar todo el proceso de cifrado fuera del entorno comprometido. Así, desaparecen los indicadores locales que normalmente activarían alertas en las soluciones de seguridad.
Tras la devolución de los archivos cifrados, las víctimas encuentran una nota de rescate identificada como “!Want_To_Cry.txt” y los archivos afectados presentan la extensión “.want_to_cry”.

El monto exigido por los delincuentes en estos ataques es notoriamente inferior al que suele asociarse con campañas de ransomware de alto perfil. En la mayoría de los casos documentados, las demandas se ubican alrededor de los 600 dólares, aunque existen reportes públicos de cifras entre 400 y 1.800 dólares.
Cabe señalar que esta estrategia sugiere que los atacantes buscan ataques rápidos, discretos y susceptibles de repetirse en múltiples objetivos.
Vulnerabilidades y puntos ciegos en la seguridad empresarial
El éxito de la campaña WantToCry evidencia la existencia de varios puntos ciegos en los sistemas de defensa empresarial. La técnica de cifrado remoto elimina la necesidad de ejecutar código malicioso en el equipo objetivo, lo que anula la eficacia de varias capas de protección basadas en la detección de malware o comportamientos sospechosos en los endpoints.

Entre los principales factores de riesgo identificados se encuentran la exposición de servicios de intercambio de archivos a internet, la utilización de credenciales débiles o configuraciones de invitado y la falta de segmentación adecuada en las copias de seguridad.
Estos elementos, presentes en muchas infraestructuras empresariales, abren la puerta a ataques que resultan prácticamente invisibles para los mecanismos de defensa tradicionales.
Medidas para reducir el riesgo de ataques de ransomware invisibles
Frente a este escenario, existen cinco recomendaciones clave que pueden ayudar a las organizaciones a reducir su exposición a este nuevo tipo de ransomware:
- Cerrar el acceso a internet de los servicios utilizados para compartir archivos internamente.
- Eliminar la posibilidad de accesos anónimos o configuraciones de invitado que permitan conexiones sin autenticación robusta.
- Revisar y fortalecer todas las credenciales asociadas a servidores y recursos compartidos, evitando contraseñas predecibles.
- Asegurar que las copias de seguridad estén aisladas y no sean accesibles mediante los mismos servicios empleados para el intercambio de archivos.
- Supervisar de manera constante los intentos repetidos de autenticación y cualquier actividad inusual relacionada con la lectura o escritura masiva de información desde direcciones externas.

Estas acciones se plantean como la ruta más efectiva para evitar convertirse en la próxima víctima de una campaña que aprovecha debilidades estructurales y operativas. La experiencia reciente muestra que el riesgo de ataques exitosos ya no depende solo de vulnerabilidades de software, sino que una mala configuración o una contraseña insuficiente bastan para desencadenar una operación de cifrado remoto que, en muchos casos, pasa inadvertida.
El panorama presentado por la campaña WantToCry marca un cambio de paradigma en la forma en que deben protegerse las infraestructuras empresariales y redefine las prioridades en materia de ciberseguridad.


