Saltar al contenido
Ransomware Response · Respuesta a incidentes de ransomware

¿Cómo saber si tus datos fueron filtrados en un ataque de ransomware?

Publicado: 13 de julio de 2026· Última actualización: 13 de julio de 2026· 5 min de lectura

Sin descifrador gratuito conocido

No existe (todavía) una herramienta pública para descifrar esta familia. No pagues el rescate sin antes consultar con especialistas.

Resumen

Este documento describe metodologías defensivas para detectar si la información de una organización fue expuesta tras un incidente de ransomware o una brecha de datos. Cubre el monitoreo de sitios de filtración (DLS, Data Leak Sites) alojados en la red Tor, el uso de agregadores públicos de estos sitios, la verificación de credenciales comprometidas y el uso de nuestro Monitor de México. El objetivo es que los equipos de seguridad (SOC, CSIRT) construyan un flujo de vigilancia continuo, legal y reproducible, sin exponerse a riesgos operativos ni legales innecesarios.

TL;DR

  • Los grupos de ransomware con modelo de doble extorsión publican datos robados en sitios .onion accesibles solo por Tor [1].
  • Existen agregadores públicos que recopilan estas publicaciones; consúltalos con criterio, pero valida siempre la fuente original.
  • Verifica credenciales filtradas mediante servicios de exposición de brechas y monitoreo de tu dominio corporativo [2].
  • No todo lo que aparece en un DLS es real ni completo: hay reciclaje de datos, exageración y datos falsos.
  • Usa nuestro Monitor de México en /monitor/ para vigilancia enfocada en organizaciones mexicanas.

1. Contexto: doble extorsión y sitios de filtración

Desde alrededor de 2019, los operadores de ransomware adoptaron el modelo de doble extorsión: además de cifrar, exfiltran datos y amenazan con publicarlos si la víctima no paga [1]. Para presionar, mantienen sitios de filtración (DLS) donde anuncian víctimas, publican muestras y luego liberan los volcados completos.

Estos sitios se alojan casi siempre como servicios ocultos de Tor (dominios con terminación .onion), lo que dificulta su localización y desmantelamiento. La red Tor enruta el tráfico a través de múltiples nodos cifrados, ocultando la ubicación real del servidor [3]. Solo son accesibles mediante el navegador Tor u otras herramientas compatibles.

2. Monitoreo directo de sitios .onion (avanzado)

El acceso directo a un DLS permite ver la información de primera mano, pero conlleva riesgos:

  • Riesgo legal y ético: descargar datos robados puede tener implicaciones legales según la jurisdicción. Documenta tu autorización interna.
  • Riesgo operativo: usa una máquina aislada (VM desechable), sin credenciales corporativas ni identificadores que te expongan.
  • Volatilidad: los .onion cambian con frecuencia por operativos policiales y disputas internas.

Recomendaciones prácticas:

  1. Opera desde una red segregada y una identidad desechable.
  2. No interactúes (no descargues binarios, no hagas clic en formularios de "contacto").
  3. Captura evidencia (hashes, capturas con marca de tiempo) para tu expediente forense.
  4. Delega esta tarea en personal entrenado del CSIRT.

Para la mayoría de las organizaciones, el monitoreo directo NO es necesario: es más seguro y eficiente consumir información ya recopilada.

3. Agregadores públicos de DLS

Existen plataformas en la red abierta que recopilan, indexan y hacen buscables las publicaciones de los sitios de filtración, sin necesidad de usar Tor. Ofrecen ventajas: acceso sin riesgo directo, histórico de víctimas y alertas.

Buenas prácticas al usarlos:

  • Valida siempre: un agregador puede clasificar mal, duplicar o registrar reclamos no confirmados. Un anuncio en un DLS es una afirmación del atacante, no un hecho verificado.
  • Cruza fuentes: contrasta con avisos oficiales, prensa técnica y tu propia telemetría.
  • Cuida el sesgo temporal: los grupos reciclan víctimas antiguas para aparentar actividad.

4. Verificación de credenciales filtradas

Muchas brechas exponen correos y contraseñas que terminan en combolistas y foros. Para tu organización:

  1. Monitoreo de dominio: usa servicios que permiten registrar tu dominio corporativo y recibir alertas cuando aparezcan cuentas asociadas en brechas conocidas [2].
  2. Búsqueda por cuenta: verifica correos individuales de personal crítico en servicios de exposición de brechas [2].
  3. Correlación con IAM: cruza los correos expuestos con tu directorio activo para forzar rotación de contraseñas y activar MFA.
  4. Detección de credential stuffing: vigila intentos de acceso masivos con credenciales viejas en tus portales.

Prioriza contraseñas reutilizadas y cuentas privilegiadas. La exposición de una credencial personal en otro servicio se vuelve un riesgo corporativo si el usuario reusa contraseñas.

5. Flujo de monitoreo recomendado

| Frecuencia | Actividad | |---|---| | Diaria | Revisión de alertas de agregadores y de credenciales de dominio | | Semanal | Búsqueda activa del nombre de la organización, marcas y dominios | | Ante alerta | Validación de la fuente original y activación del plan de respuesta | | Continua | Vigilancia con nuestro Monitor de México |

Documenta cada hallazgo con fecha, fuente, tipo de dato y nivel de confianza (confirmado / no confirmado / falso).

6. Nuestro Monitor de México

Para organizaciones mexicanas construimos un monitor enfocado en el ecosistema regional: reúne y presenta reclamos de filtración que afectan a entidades en México, con contexto local, sin que tengas que navegar Tor ni exponerte a los DLS directamente.

CTA: Visita nuestro Monitor de México en /monitor/ para consultar si tu organización o tu sector aparece mencionado, y configurar tu vigilancia continua.

7. Advertencias honestas

  • No hay garantía de detección total: un DLS puede no ser público aún, o la extorsión puede negociarse en privado sin publicación.
  • Un reclamo no es una confirmación: la aparición del nombre de tu organización puede ser falsa, exagerada o corresponder a un proveedor, no a ti.
  • Aparecer en un monitoreo no equivale a estar cifrado: exfiltración y cifrado son eventos distintos.
  • Sobre descifradores: el monitoreo de filtraciones no recupera archivos cifrados. Si tus datos ya están cifrados, verifica primero si existe un descifrador gratuito y legítimo en el proyecto No More Ransom [4]. Si no existe descifrador para tu variante, no lo hay: desconfía de cualquier herramienta que prometa lo contrario.
  • Preserva evidencia: no borres registros ni sistemas afectados antes del análisis forense.

Referencias

[1] Cybersecurity and Infrastructure Security Agency (CISA), "Understanding Ransomware Threat Actors: Data Extortion." Disponible en: https://www.cisa.gov/stopransomware

[2] Have I Been Pwned, "Check if your email or phone is in a data breach / Domain search." Disponible en: https://haveibeenpwned.com/

[3] The Tor Project, "Tor Project: Overview / Onion Services." Disponible en: https://community.torproject.org/onion-services/

[4] No More Ransom Project, "Decryption Tools." Disponible en: https://www.nomoreransom.org/es/decryption-tools.html

Actualizamos esta guía conforme surge nueva información.

Guías relacionadas