RaaS (Ransomware-as-a-Service)

75% de todos los ataques ransomware en 2024 utilizaron plataformas RaaS. El modelo ha reducido la barrera de entrada al cibercrimen hasta el punto de que un afiliado sin conocimientos de programación puede lanzar un ataque devastador pagando entre 40 y 200 dólares mensuales de suscripción. Según el informe ENISA Threat Landscape 2024, la demanda media de rescate alcanzó los 850,000 euros, y solo LockBit acumulaba 194 afiliados activos antes de que la Operación Cronos desmantelara su infraestructura en febrero de 2024. Europa registró un incremento del 64% en incidentes ransomware respecto al ejercicio anterior, con pymes españolas como uno de los blancos preferentes.

Definicion tecnica

RaaS (Ransomware-as-a-Service) es un modelo de negocio criminal que replica la estructura del software como servicio (SaaS) legítimo: los desarrolladores crean y mantienen el ransomware, la infraestructura de pago y las herramientas de negociación, y los afiliados pagan por acceso para ejecutar los ataques contra víctimas concretas.

Roles principales del ecosistema RaaS:

• Desarrolladores (Operators): Programan el ransomware, mantienen paneles de control, actualizan encriptores y proporcionan soporte técnico a afiliados
• Afiliados (Affiliates): Ejecutan el ataque completo: acceso inicial, movimiento lateral, exfiltración y despliegue del ransomware
• Initial Access Brokers (IABs): Venden acceso ya comprometido a redes corporativas (credenciales VPN, RDP expuesto, sesiones activas) en foros de la dark web por 500-5,000 euros
• Negociadores: Especialistas que median entre víctima y atacante para fijar el importe del rescate

Modelo de reparto de beneficios:

Distribución típica del rescate cobrado:

Desarrollador RaaS: 20-30% del rescate
Afiliado ejecutor:  70-80% del rescate

Variantes:
  - LockBit: 80/20 (afiliado/desarrollador)
  - ALPHV/BlackCat: 80/20 a 90/10 (según volumen)
  - Akira: 70/30
  - Modelo suscripción: Tarifa fija mensual (€40-€200) + 100% rescate para afiliado

Similitudes con SaaS legítimo:

• Panel de administración web (dashboard afiliado)
• Soporte técnico 24/7 (ticket system en dark web)
• Actualizaciones regulares del malware
• Documentación y manuales de uso
• Programa de referidos (comisión por reclutar nuevos afiliados)

Principales plataformas RaaS (2024-2025)

LockBit

Estado: Desmantelado parcialmente (Operación Cronos, febrero 2024). Resurgió como LockBit 4.0 en 2025.

• Plataforma RaaS más prolífica 2022-2024 con 194 afiliados documentados
• Especialización: Ataques a infraestructura crítica y sector salud
• Encriptador rápido: 17 minutos para cifrar 100 GB
• Programa bug bounty propio (recompensas por encontrar fallos en su malware)
• Responsable del ataque al Hospital Clínic de Barcelona (marzo 2023)

ALPHV/BlackCat

Estado: Desaparecido tras exit scam en marzo 2024 (robó 22 millones de dólares a sus propios afiliados).

• Primer ransomware escrito en Rust (dificulta análisis por ingeniería inversa)
• Triple extorsión: cifrado + exfiltración + DDoS a la víctima
• Afiliados migraron a RansomHub y Akira tras el exit scam

RansomHub

Estado: Activo. Principal sucesor de ALPHV/BlackCat.

• Emergió en febrero 2024, absorbió afiliados de ALPHV
• Reparto agresivo: 90/10 a favor del afiliado
• 529 víctimas publicadas en sus primeros 12 meses de operación

Akira

Estado: Activo y en expansión.

• Cifrador para Windows y Linux (VMware ESXi)
• Objetivo preferente: pymes con facturación 10-100 millones de euros
• Rescates moderados (200,000-400,000 euros) que maximizan probabilidad de cobro

Play (PlayCrypt)

Estado: Activo.

• Especialización en sector gubernamental y educación
• Explotación vulnerabilidades Fortinet y Microsoft Exchange
• Más de 300 víctimas documentadas por CISA

Cl0p

Estado: Activo intermitente. Opera por campañas masivas.

• Especialización: Explotación vulnerabilidades zero-day en software empresarial (MOVEit, GoAnywhere)
• Modelo atípico: No cifra sistemas, solo exfiltra datos y extorsiona con publicación
• Campaña MOVEit (2023): Más de 2,500 organizaciones afectadas simultáneamente

Como funciona el modelo RaaS

Cadena de ataque tipica RaaS

Fase 1: Acceso Inicial
  IAB vende credenciales VPN comprometidas por €2,000
  → Afiliado compra acceso a red corporativa víctima

Fase 2: Reconocimiento (1-3 días)
  → Mapeo Active Directory (BloodHound, ADFind)
  → Identificación servidores críticos y backups
  → Escalada privilegios: Domain Admin

Fase 3: Exfiltración (2-5 días)
  → Robo datos sensibles: contratos, BBDD clientes, nóminas
  → Subida a servidor atacante vía Rclone/MegaSync
  → Volumen típico: 50-500 GB datos exfiltrados

Fase 4: Desactivación defensas
  → Kill antivirus/EDR (Sophos, CrowdStrike, Defender)
  → Eliminar shadow copies (vssadmin delete shadows /all)
  → Deshabilitar Windows Recovery

Fase 5: Cifrado masivo
  → Despliegue encriptador vía GPO o PsExec
  → Cifrado AES-256 + RSA-2048 de todos los archivos
  → Tiempo medio: 45 minutos red completa (100-500 endpoints)

Fase 6: Extorsión
  → Nota rescate en cada carpeta cifrada
  → Portal negociación Tor con countdown (7-14 días)
  → Amenaza publicar datos en leak site si no paga

Fase 7: Cobro y reparto
  → Víctima paga 15 BTC (≈€850,000) a wallet designada
  → Desarrollador RaaS recibe 3 BTC (20%)
  → Afiliado recibe 12 BTC (80%)
  → IAB ya cobró sus €2,000 por acceso inicial

Analisis forense de ataques RaaS

Identificacion de la plataforma RaaS utilizada

El perito forense determina qué familia RaaS fue empleada mediante múltiples indicadores:

1. Nota de rescate (ransom note):

Cada RaaS tiene nota característica:

LockBit:    "All your important files are encrypted!"
            Archivo: [victim-id]-RECOVER-YOUR-FILES.txt

ALPHV:      "RECOVER-[random]-FILES.txt"
            Formato HTML con portal Tor personalizado

Akira:      "akira_readme.txt"
            Estilo retro años 80 (tema visual verde/negro)

Play:       "ReadMe.txt"
            Mínimo contenido, solo email contacto

RansomHub:  "How To Restore Your Files.txt"
            Instrucciones detalladas paso a paso

2. Extensiones de archivos cifrados:

LockBit:    .lockbit, .abcd, .lock3
ALPHV:      .[7 caracteres aleatorios]
Akira:      .akira
Play:       .play
RansomHub:  .ransomhub
Cl0p:       .cl0p

3. Indicadores de compromiso (IOCs):

• Herramientas de movimiento lateral (Cobalt Strike, Mimikatz, BloodHound)
• Binarios específicos de cada familia (hash SHA-256)
• Comunicaciones C2 (dominios, IPs de command and control)
• Técnicas de evasión EDR (drivers vulnerables, BYOVD)

4. Patrones de cifrado:

Análisis criptográfico:
  - LockBit 3.0: AES-256-CTR + RSA-2048
  - ALPHV: ChaCha20 + RSA-4096
  - Akira: ChaCha20 + RSA-4096
  - Play: AES-256-CBC parcial (solo primeros 5MB archivos grandes)

Retos de atribucion

Desafíos principales:

• Afiliados reutilizan TTPs (tácticas, técnicas y procedimientos) entre diferentes RaaS
• Herramientas legítimas usadas maliciosamente (AnyDesk, Rclone, PsExec) dificultan detección
• Infraestructura compartida entre múltiples afiliados
• Comunicaciones cifradas vía Tor y Tox Messenger

Caso practico: pyme espanola atacada por afiliado RaaS

Nota: El siguiente caso esta basado en una investigacion forense real realizada en Espana durante 2024-2025. Los datos especificos (nombre empresa, cantidades exactas, sector) han sido anonimizados para proteger la confidencialidad de los afectados, preservando unicamente los aspectos tecnicos relevantes para fines educativos.

Contexto: Empresa manufacturera valenciana, 85 empleados, facturación 12 millones de euros anuales. Viernes 17:30h, todos los servidores cifrados. Nota de rescate Akira solicita 280,000 euros en Bitcoin.

Investigacion forense:

Timeline reconstruido:

Día -30: IAB compromete credenciales VPN Fortinet
  → Vulnerabilidad CVE-2023-27997 no parcheada
  → Vende acceso en foro Exploit por €1,800

Día -14: Afiliado Akira compra acceso
  → Login VPN desde IP asociada a hosting bulletproof (Moldavia)

Día -12 a -1: Reconocimiento y preparación
  → BloodHound mapea Active Directory completo
  → Mimikatz extrae credenciales Domain Admin
  → Rclone exfiltra 180 GB: contratos, BBDD clientes, nóminas
  → Destino exfiltración: servidor Mega (cuenta anónima)

Día 0 (viernes 17:30): Despliegue cifrador
  → Hora elegida: fin jornada viernes (retrasa respuesta)
  → Desactivación Sophos EDR vía driver vulnerable (BYOVD)
  → Eliminación shadow copies y backups locales
  → Cifrado 47 servidores + 120 estaciones trabajo
  → Tiempo cifrado completo: 52 minutos

Hallazgos forenses clave:

1. Vector entrada identificado: VPN Fortinet sin parche crítico (30 días sin actualizar)
2. Acceso comprado a IAB: Patrón login inicial no coincide con TTPs del afiliado Akira posterior (dos actores distintos)
3. Exfiltración previa al cifrado: Logs Rclone recuperados de memoria RAM del servidor, 180 GB transferidos a Mega
4. Backups destruidos: Shadow copies eliminadas, NAS local cifrado. Único backup superviviente: cinta LTO offline (datos 15 días antiguos)
5. Atribución plataforma: Extensión .akira, nota de rescate característica, binario cifrador con hash SHA-256 coincidente con muestras conocidas de Akira v2

Resultado:

• Empresa NO pagó rescate (decisión con asesoramiento perito + abogado)
• Restauración parcial desde cinta LTO offline (pérdida 15 días datos)
• Notificación AEPD en 48 horas (180 GB incluían datos personales clientes)
• Denuncia ante Guardia Civil (Grupo de Delitos Telemáticos)
• Coste total incidente: 420,000 euros (parada actividad + restauración + pericial + legal)

Marco legal Espana

Codigo Penal

Art. 264 CP - Danos informaticos:

“El que por cualquier medio, sin autorización y de manera grave, borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, será castigado con la pena de prisión de seis meses a tres años.”

Agravante Art. 264.2 CP: Si los daños son de especial gravedad (cifrado masivo que paraliza actividad empresarial), pena de 2 a 5 años de prisión y multa.

Art. 264 bis CP - Obstaculizacion sistemas:

Interrupción del funcionamiento de un sistema informático ajeno. Pena de 3 a 5 años si afecta a servicio esencial o infraestructura crítica.

Art. 197 CP - Acceso ilicito y revelacion secretos: Aplicable a la exfiltración de datos previa al cifrado (doble extorsión). Pena de 1 a 4 años de prisión.

Problemas de autoria en RaaS

La estructura descentralizada de RaaS plantea desafíos jurídicos relevantes:

• Desarrollador RaaS: Autor de un instrumento delictivo. Posible aplicación del art. 28 CP (autoría mediata o cooperación necesaria) aunque no ejecute directamente el ataque
• Afiliado: Autor material del delito (arts. 264, 197 CP)
• IAB: Cooperador necesario o cómplice (art. 29 CP) al proporcionar el acceso inicial que hace posible el delito
• Jurisdicción: Desarrollador en Rusia, afiliado en Rumanía, IAB en Moldavia, víctima en España. Aplicación del principio de territorialidad (art. 23 LOPJ) por producirse el resultado en España

Obligaciones RGPD

Si el ataque RaaS incluye exfiltración de datos personales:

• Art. 33 RGPD: Notificación a AEPD en 72 horas
• Art. 34 RGPD: Comunicación a afectados si alto riesgo para sus derechos
• Sanción por incumplimiento: hasta 20 millones de euros o 4% facturación global

FAQ

P: ¿Cualquier persona puede contratar un RaaS para lanzar un ataque? R: Técnicamente, las plataformas RaaS requieren acceso a foros de la dark web, depósito inicial (1,000-5,000 dólares) y reputación en la comunidad criminal. Sin embargo, el modelo ha reducido drásticamente la barrera técnica: un afiliado no necesita saber programar. Según ENISA, el 60% de afiliados RaaS carecen de conocimientos avanzados de desarrollo de malware.

P: ¿Pagar el rescate garantiza la recuperación de los datos? R: No. Según el informe Sophos State of Ransomware 2024, solo el 65% de las organizaciones que pagaron recuperaron todos sus datos. El 29% recuperó menos de la mitad. Además, pagar no impide que los datos exfiltrados sean publicados o revendidos. El 80% de empresas que pagaron sufrieron un segundo ataque en los 12 meses siguientes.

P: ¿Como puede un perito forense diferenciar entre plataformas RaaS? R: Mediante análisis de la nota de rescate, extensiones de archivos cifrados, algoritmos de cifrado empleados, IOCs (indicadores de compromiso), herramientas de movimiento lateral detectadas y comunicaciones C2. Cada plataforma RaaS tiene una huella técnica distintiva que permite atribución con alta probabilidad.

P: ¿Es ilegal pagar un rescate ransomware en Espana? R: Actualmente no existe prohibición legal explícita de pagar rescates en España. Sin embargo, las autoridades (INCIBE, CCN-CERT, Europol) desaconsejan firmemente el pago. Si los fondos terminan en manos de entidades sancionadas internacionalmente (OFAC), la empresa podría enfrentar consecuencias regulatorias. El pago no exime de las obligaciones de notificación a AEPD ni de presentar denuncia.

P: ¿Que medidas preventivas reducen el riesgo de un ataque RaaS? R: Las más efectivas según CISA: parcheo de vulnerabilidades en menos de 48 horas (vector de entrada en el 32% de casos RaaS), MFA en todos los accesos remotos (VPN, RDP, email), segmentación de red, backups offline verificados semanalmente (regla 3-2-1), y monitorización EDR 24/7 con capacidad de respuesta. Las empresas con estas cinco medidas reducen el impacto de un ataque RaaS en un 85%.

Referencias y Fuentes

1. ENISA. (2024). “ENISA Threat Landscape 2024”. enisa.europa.eu

   • Ransomware como primera amenaza en Europa; 64% incremento incidentes respecto a 2023

2. Europol. (2024). “Internet Organised Crime Threat Assessment (IOCTA) 2024”. europol.europa.eu

   • RaaS como modelo dominante en ecosistema ransomware europeo; análisis Operación Cronos contra LockBit

3. CISA. (2024). “#StopRansomware: Akira Ransomware”. cisa.gov

   • IOCs, TTPs y medidas mitigación para Akira RaaS; más de 250 organizaciones afectadas

4. CISA. (2024). “#StopRansomware: Play Ransomware”. cisa.gov

   • Análisis técnico Play ransomware; más de 300 entidades afectadas globalmente

5. Chainalysis. (2025). “2025 Crypto Crime Report - Ransomware”. chainalysis.com

   • Pagos ransomware superaron 1,100 millones de dólares en 2024; análisis flujos cripto de grupos RaaS

6. Sophos. (2024). “The State of Ransomware 2024”. sophos.com

   • 59% organizaciones afectadas por ransomware; coste medio recuperación 2.73 millones de dólares; solo 65% recuperó todos los datos tras pagar

7. NCA/Europol. (2024). “Operation Cronos: LockBit Takedown”. nationalcrimeagency.gov.uk

   • Desmantelamiento infraestructura LockBit; 194 afiliados identificados; decryptors liberados para víctimas

8. INCIBE. (2024-2025). “Guía de respuesta a incidentes de ransomware”. incibe.es

   • Protocolo actuación empresas españolas ante ransomware; obligaciones notificación y contacto CERT

9. CCN-CERT. (2024). “Informe de Amenazas CCN-CERT IA-13/24 - Ransomware”. ccn-cert.cni.es

   • Análisis amenaza ransomware en administraciones públicas y sector privado español

10. Palo Alto Networks - Unit 42. (2025). “Ransomware Retrospective 2024”. unit42.paloaltonetworks.com

    • 4,800+ víctimas publicadas en leak sites en 2024; RansomHub como grupo más activo post-LockBit

11. FBI IC3. (2024). “Internet Crime Report 2024”. ic3.gov

    • Ransomware como amenaza principal infraestructura crítica EE.UU.; pérdidas reportadas superan 59.6 millones de dólares

12. Código Penal español: Arts. 197 (acceso ilícito), 264 y 264 bis (daños informáticos), 28-29 (autoría y participación)

Ultima actualizacion: 10 Febrero 2026 Categoria: Seguridad (SEG-015) Nivel tecnico: Avanzado Relevancia forense: MUY ALTA (modelo dominante en incidentes ransomware)