Artículo original publicado el 10/05/2023 – Actualizado en mayo de 2026
El 22 de junio de 2025, el Ayuntamiento de Melilla amaneció con 90 de sus 100 servidores críticos inutilizados. El grupo ruso Qilin había cifrado sus sistemas con ransomware en la nube y exigía 1,8 millones de euros de rescate después de haber anulado también los equipos conectados a la red interna. El virus, que se activó a través de un acceso no autorizado tras el error de un usuario con permisos internos, suspendió los plazos legales, contratos municipales, cobros y trámites electrónicos.
Meses antes, el 27 de noviembre de 2024, Infortisa, mayorista valenciano de tecnología, también veía sus servidores encriptados justo antes del Black Friday, con datos bancarios y fiscales de sus clientes comprometidos.
Estos dos casos no son excepcionales. Según el INCIBE, España registró en 2025 un total de 392 ataques de ransomware, un 116% más que el año anterior, dentro de un total de 55.411 incidentes de malware. Un tipo de ataque que, como hemos visto, no distingue entre administraciones públicas, grandes corporaciones o medianas empresas.
Aunque el vector de entrada varía (un acceso no autorizado, un correo de phishing, un empleado con permisos excesivos), hay un factor que acelera el daño del ransomware y que está presente en la mayoría de empresas: la sincronización automática de archivos en la nube.
Pocos directivos saben que la herramienta que tienen instalada hoy en su empresa puede estar facilitando la propagación. Cuando Drive, Dropbox o OneDrive sincronizan los documentos corporativos con los dispositivos locales, un solo ordenador infectado es suficiente para que el ransomware alcance toda la estructura de carpetas de la empresa en cuestión de minutos.
¿Cómo ocurre esto exactamente y qué se puede hacer para evitarlo?
¿Cómo se transmite el ransomware a través de la nube?
El ransomware es un tipo de malware que se propaga a través de la red y cifra los archivos del usuario, impidiendo su acceso a menos que se pague un rescate en moneda digital. Para hacerlo, no necesita entrar directamente en tu servidor, ya que le basta con infectar el ordenador de un empleado.
A partir de ahí, si ese equipo tiene una carpeta sincronizada con Drive, Dropbox o OneDrive, el camino hacia todos los archivos corporativos está abierto. La mecánica de infección suele seguir el siguiente patrón:
- Entrada. El ransomware accede al equipo a través de un correo de phishing, una descarga de software maliciosa o un sitio web manipulado para propagar este virus. También pueden utilizar técnicas de ingeniería social para engañar a los usuarios para que descarguen y ejecuten archivos infectados.
- Detección. Una vez dentro, el ransomware identifica las carpetas locales sincronizadas con la nube: la carpeta de Dropbox, la unidad de Google Drive, el directorio de OneDrive…
- Cifrado y propagación. El virus cifra los archivos en el disco local. La sincronización automática hace el resto: sube las versiones cifradas a la nube y sobrescribe las originales con versiones cifradas. En minutos, el daño se replica en todos los dispositivos conectados a esa cuenta.
Así, el ordenador de un empleado es un problema para toda la empresa. Y el mecanismo que lo ha permitido es, probablemente, el sistema de almacenamiento en la nube elegido para trabajar: el disco virtual y la sincronización automática.
Los sincronizadores no son el punto de entrada del ransomware: son el mecanismo que convierte un incidente local en un desastre corporativo
El peligro de los discos virtuales y la sincronización automática: Drive, Dropbox y OneDrive como vectores de infección
La sincronización en la nube es una forma particularmente peligrosa de propagación de ransomware porque los archivos infectados pueden extenderse rápidamente a través de múltiples dispositivos y usuarios. Un ordenador contaminado que trabaja sin carpetas sincronizadas es un problema que se puede contener. El mismo ordenador con Dropbox, Drive o OneDrive activos es una amenaza para toda la organización.
El motivo es fácil de entender. Cuando estos servicios de sincronización en la nube se instalan, crean una carpeta en el disco local que aparece en el sistema operativo como una unidad más. Para el ransomware, esa carpeta es indistinguible de cualquier otra.
Una vez que un archivo infectado en local se sincroniza con la nube, cualquier dispositivo que tenga acceso a la cuenta también se infectará. Esto puede incluir dispositivos personales y de trabajo, lo que hace que la propagación sea aún más rápida y peligrosa.
El INCIBE, en su guía de seguridad, subraya que el mecanismo más documentado de infección es el cifrado de los backups alojados en servicios cloud. De hecho, advierte de que «algunas familias de ransomware también cifran y bloquean las copias de seguridad en la nube», por lo que recomienda expresamente desactivar la sincronización persistente con servicios como Dropbox.
Además, la amenaza del ransomware en la nube es especialmente difícil de contener con las medidas de seguridad convencionales al no estar diseñadas para interceptarla. De hecho, los antivirus tampoco son suficientes para evitar la transmisión de ransomware.
Por qué los antivirus fallan ante las mutaciones de ransomware
Repetimos: tener un antivirus instalado no es suficiente. Aunque, el software antivirus escanea los archivos en busca de amenazas y bloquea los archivos maliciosos antes de que se sincronicen con la nube, la realidad es que en la inmensa mayoría de los casos, había un antivirus activo en el momento de la infección.
Muchos directivos piensan: «No pasa nada, tenemos un buen antivirus». Sin embargo, los antivirus son deficientes contra el ransomware porque no están preparados para la gran cantidad de nuevas variantes que van surgiendo y que se ha acelerado con la Inteligencia Artificial. Hay que recordar que los antivirus trabajan con un catálogo de amenazas conocidas y que solo pueden detectar lo que ya han visto antes.
Conscientes de ello, los grupos de ciberdelincuentes explotan esta limitación. Modifican el código de sus virus constantemente (mutaciones), generando nuevas variantes que los antivirus no son capaces de reconocer hasta que es demasiado tarde. Por eso, depender solo de ellos es un error.
Un antivirus puede reducir el riesgo, pero no puede eliminarlo. Por ello, las empresas deben preocuparse no solo por cómo detectar el ransomware, sino por cómo trabajar con una infraestructura con la que, aunque entre el virus, este no pueda propagarse.
Almacenamiento aislado: la solución para evitar la propagación de ransomware
Detectar el ransomware antes de que actúe es cada vez más difícil. Por eso, la estrategia más efectiva no es solo intentar bloquearlo, sino contar con una infraestructura donde, aunque entre, no tenga a dónde propagarse. Eso implica revisar las políticas de acceso, desactivar la sincronización persistente y no delegar toda la seguridad en los backups.
Todas estas medidas preventivas para proteger tus archivos contra en ransomware tienen un principio en común: el aislamiento. Por ello, la mejor solución es trabajar con un sistema de almacenamiento aislado de archivos que separe los archivos de los dispositivos de los usuarios creando así una capa adicional de seguridad.
En este modelo de almacenamiento en la nube sin ransomware, no hay carpetas sincronizadas, no hay copias locales, no hay unidades mapeadas que el ransomware pueda recorrer. Los archivos residen en un entorno centralizado y los usuarios trabajan con ellos directamente desde las aplicaciones del sistema, sin descargar nada.
Como consecuencia, si un equipo se infecta con un ransomware, el daño queda contenido en ese dispositivo. La separación evita la propagación del virus a otros archivos en la misma unidad o en unidades diferentes, a través de la red o a todos los usuarios que pudieran estar sincronizados.
Diferencias del sistema aislado frente a los sistemas de carpetas convencionales
Este sistema de almacenamiento aislado suele tener además una arquitectura totalmente diferente de la estructura de carpetas y archivos comúnmente usada en todos los sistemas.
Esto es especialmente importante porque el ransomware está diseñado para operar sobre sistemas de archivos convencionales: la estructura de carpetas y ficheros que usa Windows, macOS o cualquier sincronizador mapeado como unidad de disco. Fuera de ese entorno y de esa arquitectura, su código se pierde.
El INCIBE recomienda expresamente desactivar la sincronización persistente con sincronizadores como OneDrive, Google Drive o Dropbox
Si, por ejemplo, un sistema en la nube para empresas usa técnicas de cifrado o de almacenamiento por bloques, el ransomware no podrá funcionar e incluso estará fragmentado en su entrada al sistema. En el peor de los casos para la empresa, solo conseguirá cifrar fragmentos inútiles sin coherencia entre sí.
En Dataprius aplicamos exactamente este principio, cambiando por completo lo que ocurre cuando un empleado sufre una infección en su equipo.
Dataprius: tu almacenamiento en la nube inmune al ransomware
Esta es la razón por la que Dataprius fue diseñado tal y como lo está: no sincroniza archivos con ningún dispositivo* y utiliza una arquitectura de almacenamiento por bloques distinta de los sistemas de carpetas convencionales sobre los que trabaja el ransomware. Así, el virus no reconoce el entorno, no puede ejecutarse, no puede recorrerlo y no puede propagar el cifrado.
Cuando un empleado trabaja con Dataprius, sus archivos no abandonan nunca el repositorio central. No hay copias en su disco duro. Si su ordenador se infecta, los documentos de la empresa siguen intactos. El incidente queda contenido en el dispositivo, no se propaga.
Ninguna solución elimina el riesgo de sufrir un ciberataque al cien por cien. Pero sí es posible trabajar con una infraestructura donde ese ataque no sea un desastre para tu empresa. Dataprius es esa infraestructura.
Si quieres comprobarlo, descarga la versión gratuita de Dataprius y pruébalo. O si prefieres una valoración directa de tu caso, contacta con nuestro equipo técnico y te orientaremos sin compromiso.
Fuentes:
- Europa Press. (2025, 26 junio). Melilla sufre un ciberataque que afecta a la mayoría de sistemas informáticos y el CNI apoya en la recuperación de datos. europapress.es. https://www.europapress.es/nacional/noticia-melilla-sufre-ciberataque-afecta-mayoria-sistemas-informaticos-cni-apoya-recuperacion-datos-20250626110654.html
- Los Estragos del Ransomware: Lecciones de la Experiencia de Infortisa y un Ex-Directivo de Knights of Old : CyberLideria MGZN. (s. f.). CyberLideria MGZN. https://cyberlideriamgzn.es/los-estragos-del-ransomware-lecciones-de-la-experiencia-de-infortisa-y-un-ex-directivo-de-knights-of-old/
- Incibe (2020). Ransomware. Una guía de aproximación para el empresario. https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf
Preguntas frecuentes sobre Ransomware y sincronización
¿Cómo puede infectarse la nube de mi empresa con ransomware si tenemos antivirus y usamos Drive o Dropbox?
El antivirus detecta amenazas conocidas, pero el ransomware moderno muta constantemente para evitar su detección. Por eso, la mayoría de ataques documentados con ransomware lo han hecho en organizaciones con un antivirus activo. Por su lado, Drive y Dropbox se basan en la sincronización de carpetas locales, lo que facilita que el ransomware las detecte y cifre igual que cualquier otra carpeta del sistema para, posteriormente, propagarse a todos los dispositivos conectados.
¿Qué diferencia hay entre almacenamiento en la nube con sincronización y almacenamiento aislado para proteger una empresa del ransomware?
Un sincronizador replica los archivos de la empresa en cada dispositivo del empleado, mientras que un sistema aislado centraliza los archivos en la nube y los usuarios trabajan sobre ellos sin descargarlos. De este modo, el sincronizador amplifica el daño frente al sistema aislado, que contiene el incidente en el dispositivo local.
¿Por qué la sincronización agrava los ataques de virus?
Porque actúa como un puente directo. Una vez que un equipo de la empresa se infecta, el disco virtual sincroniza el archivo dañado con el servidor central, que a su vez lo propaga al resto de ordenadores de tus compañeros en segundos.
¿Puede el ransomware cifrar los archivos de mi empresa aunque estén en la nube y no en el ordenador?
Sí, el ransomware puede alcanzar archivos en la nube si hay una sincronización activa. Para este virus, la nube no es un escudo sino un destino al que llega a través del dispositivo infectado. La forma de evitar esta propagación es trabajar con un sistema que no genere esa conexión entre el dispositivo y el repositorio central.
¿Qué medidas puede tomar una empresa para evitar el ransomware en su nube corporativa sin cambiar de proveedor?
La medida con un mayor impacto inmediato es desactivar la sincronización persistente en todos los dispositivos y trabajar con acceso web o bajo demanda. También es recomendable complementar esta medida con autenticación de doble factor, gestión estricta de permisos y formación básica en phishing para todos los empleados. A medio plazo, evaluar un sistema de almacenamiento aislado es la única forma de eliminar el riesgo estructural de propagación.
¿Qué es el almacenamiento aislado de archivos?
Es una tecnología donde no existen copias físicas locales sincronizándose continuamente. Los archivos residen de forma segura en los servidores y los usuarios acceden a ellos de manera remota para editarlos, creando una barrera contra la propagación de malware.
¿Por qué Dataprius es más seguro frente al ransomware que Dropbox, Drive o OneDrive para una empresa con datos de clientes?
Dataprius no sincroniza carpetas con dispositivos locales, por lo que no existe la superficie de ataque que el ransomware necesita para propagarse. Además, su sistema de almacenamiento por bloques hace que el ransomware no reconozca la estructura de archivos y no pueda ejecutarse sobre ella. A esto se suman herramientas como la papelera de doble nivel o los backups automáticos en dos zonas geográficas.
¿Y si se sube a la nube un virus ransomware afectaría a los archivos que estén en la misma carpeta o red?
Buenas, no, porque el archivo no se ejecuta nunca en la nube, en los servidores. Si sube un archivo con virus, es tratado como cualquier archivo, inocuo. Solo es peligroso si lo abres (haces doble click), donde será su propio ordenador el infectado. Pero nunca la nube.