Actualidad

WantToCry: el ransomware que cifra archivos sin activar las alertas del antivirus

WantToCry cifra archivos fuera del equipo comprometido y evita activar alertas tradicionales, según una investigación de Sophos publicada en 2026.
Miércoles, Julio 1, 2026

Un nuevo método de ransomware está cambiando la forma en que operan los ciberdelincuentes. La campaña denominada WantToCry cifra archivos empresariales sin ejecutar malware dentro de los equipos comprometidos, una técnica que reduce drásticamente las posibilidades de ser detectada por antivirus y plataformas tradicionales de respuesta ante amenazas.

El hallazgo fue documentado por Sophos, cuyos investigadores identificaron una modalidad en la que los atacantes localizan servicios SMB expuestos a internet, prueban credenciales vulnerables y trasladan los archivos hacia infraestructura bajo su control para cifrarlos de forma remota. Posteriormente, los documentos cifrados son devueltos a los sistemas de la víctima junto con la nota de rescate.

Según la investigación, a comienzos de 2026 existían más de 1,5 millones de dispositivos con servicios empresariales de intercambio de archivos expuestos a internet, un universo que representa una amplia superficie de ataque para este tipo de campañas.

El procedimiento elimina uno de los principales indicadores que utilizan las herramientas de seguridad para detectar ransomware. Al no ejecutarse código malicioso en el equipo afectado, muchas soluciones antivirus y plataformas EDR no generan alertas durante el proceso de cifrado.

Los investigadores observaron que los atacantes emplearon ataques de fuerza bruta contra servicios SMB expuestos en los puertos 139 y 445. Una vez obtenían acceso mediante credenciales válidas, iniciaban sesiones autenticadas para leer, copiar y sobrescribir archivos. Las víctimas encontraban posteriormente una nota de rescate identificada como "!Want_To_Cry.txt" y los archivos afectados con la extensión ".want_to_cry".

Otro elemento que diferencia esta campaña es el monto exigido por los atacantes. Los rescates analizados rondan los 600 dólares, aunque algunos casos públicos registran solicitudes entre 400 y 1.800 dólares. Frente a las exigencias millonarias de otros grupos de ransomware, la estrategia apunta a ataques de bajo costo, rápidos y fácilmente escalables, con mayores probabilidades de obtener pagos sin atraer una atención excesiva.

Cinco medidas para reducir el riesgo

A partir de los hallazgos, Sophos recomienda fortalecer la seguridad de los servicios de intercambio de archivos mediante acciones concretas:

  • Evitar la exposición a internet de servicios SMB utilizados para compartir archivos dentro de la organización.
  • Eliminar accesos anónimos o configuraciones de invitado que permitan conexiones sin autenticación robusta.
  • Reforzar las credenciales asociadas a servidores y recursos compartidos.
  • Mantener las copias de seguridad aisladas para impedir que puedan ser alcanzadas mediante los mismos servicios comprometidos.
  • Monitorear intentos repetitivos de autenticación y actividades inusuales de lectura o escritura provenientes de direcciones externas.

El caso de WantToCry evidencia que el ransomware continúa evolucionando hacia técnicas que priorizan el sigilo sobre la sofisticación del malware. Para las empresas, la exposición de servicios a internet y el uso de credenciales débiles pueden convertirse en el punto de entrada suficiente para un ataque que, en muchos casos, pasará inadvertido hasta que los archivos ya hayan sido cifrados.