
Los ataques globales de ransomware pueden seguirse mediante rastreadores públicos, mapas de inteligencia de amenazas y alertas oficiales. Estas plataformas permiten conocer qué grupos presentan mayor actividad, qué organizaciones han sido mencionadas, cuáles son los sectores atacados y qué campañas requieren atención inmediata.
Sin embargo, hay una diferencia fundamental entre una víctima reclamada por un grupo criminal y un incidente confirmado oficialmente. Muchos rastreadores recopilan publicaciones procedentes de sitios de filtraciones. Por ello, una organización puede aparecer en un panel antes de reconocer el ataque o sin que la afirmación haya sido verificada.
Respuesta rápida: utiliza Ransomware.live, RansomLook y SOCRadar para observar actividad reciente. Complementa siempre la información con las alertas técnicas de CISA StopRansomware y comunicados oficiales.
Los mejores sitios para consultar ransomware global
| Plataforma | Qué permite consultar | Uso recomendado |
|---|---|---|
| Ransomware.live | Víctimas recientes, grupos, países y estadísticas. | Seguimiento rápido de nuevas publicaciones. |
| RansomLook | Grupos, publicaciones, tendencias, sitios y API. | Investigación e inteligencia de amenazas. |
| SOCRadar | Mapa mundial, grupos, países, industrias, TTP e indicadores. | Panel visual y reportes ejecutivos. |
| Ransom-DB | Actividad reciente, actores, estadísticas y mapa. | Contrastar una reclamación con otra fuente. |
| CISA StopRansomware | Alertas, tácticas, indicadores y medidas defensivas. | Validación técnica y protección empresarial. |
1. Ransomware.live: seguimiento de víctimas y grupos
Ransomware.live es uno de los rastreadores comunitarios más conocidos para consultar organizaciones mencionadas por bandas de ransomware, actividad reciente, grupos y estadísticas por país.
Puede utilizarse como primer punto de consulta cuando se desea comprobar si una empresa, institución o proveedor aparece asociado con una publicación reciente.
Acceso directo: Consultar Ransomware.live
Su información debe interpretarse como inteligencia inicial. Que una organización aparezca mencionada no demuestra automáticamente que todos los datos publicados por el atacante sean auténticos.
2. RansomLook: inteligencia abierta sobre ransomware
RansomLook es un proyecto abierto que recopila publicaciones, grupos, mercados, sitios de filtraciones y otras actividades relacionadas con ransomware.
La plataforma ofrece información reciente, estadísticas, tendencias, buscador y una API. Puede ser especialmente útil para equipos SOC, analistas CTI, investigadores, CSIRT, periodistas especializados y responsables de respuesta a incidentes.
Acceso directo: Consultar RansomLook
El propio proyecto advierte que las publicaciones proceden de afirmaciones realizadas en sitios de filtraciones y que deben tratarse como reclamaciones hasta ser corroboradas por otras fuentes.
3. SOCRadar: mapa mundial y panel de actividad
El panel gratuito de SOCRadar presenta un mapa mundial, un flujo de publicaciones recientes y filtros por país, sector, grupo y familia de ransomware.
También incorpora secciones relacionadas con tácticas, técnicas y procedimientos, indicadores de compromiso y fuentes utilizadas. Su diseño resulta útil para preparar informes de situación, sesiones de concientización o presentaciones ejecutivas.
Acceso directo: Consultar el mapa de SOCRadar
Los elementos del flujo pueden aparecer marcados como reclamaciones. Por ello, no deben publicarse como ataques confirmados sin revisar otras fuentes.
4. Ransom-DB: una fuente adicional para contrastar
Ransom-DB ofrece un centro de seguimiento con víctimas recientes, grupos, estadísticas y un mapa global. Su valor principal está en permitir comparar una misma organización o campaña con otro rastreador.
Acceso directo: Consultar Ransom-DB
No conviene utilizarlo como única evidencia. La práctica correcta es contrastar el nombre, dominio, país, fecha y grupo con dos o más fuentes independientes.
5. CISA StopRansomware: alertas oficiales y medidas defensivas
CISA StopRansomware no funciona como un mapa de todas las víctimas del mundo. Su aporte es diferente: publica guías y alertas técnicas sobre grupos, variantes, indicadores de compromiso, vulnerabilidades explotadas y recomendaciones para prevenir o contener incidentes.
Cuando un rastreador muestra actividad de una banda concreta, conviene buscar el nombre del grupo en CISA para conocer sus métodos de acceso, herramientas habituales y medidas de mitigación.
Acceso directo: Consultar alertas de CISA StopRansomware
¿Los mapas de ciberataques muestran ransomware real?
Mapas como los ofrecidos por Check Point, Kaspersky, Fortinet o Radware permiten visualizar malware, intentos de explotación, ataques web, escaneos y otras amenazas detectadas por sus redes.
Son útiles para comprender la actividad general, pero no equivalen a un registro de ataques de ransomware confirmados. Un punto que aparece en movimiento puede representar una detección bloqueada, un escaneo o una categoría diferente de amenaza.
| Tipo de plataforma | Qué representa normalmente |
|---|---|
| Rastreador de ransomware | Publicaciones y víctimas reclamadas por grupos. |
| Mapa general de amenazas | Telemetría sobre malware, ataques web, phishing o escaneos. |
| Alerta gubernamental | Información técnica investigada sobre campañas y actores. |
| Comunicado de la víctima | Confirmación oficial del incidente y su impacto conocido. |
Cómo verificar una supuesta víctima paso a paso
- Busca la organización en Ransomware.live.
- Comprueba si aparece también en RansomLook o SOCRadar.
- Compara el dominio, país, fecha y nombre del grupo.
- Revisa el sitio oficial y las redes institucionales de la organización.
- Consulta comunicados del CERT nacional o de autoridades competentes.
- Busca alertas técnicas relacionadas con el grupo en CISA.
- Cuando no exista confirmación, escribe “el grupo afirma haber atacado” y no “la empresa fue atacada”.
Dato importante: la fecha de publicación en un sitio de filtraciones no suele coincidir con la fecha del acceso inicial. Los atacantes pueden permanecer dentro de una red durante días o semanas antes de publicar a la víctima.
Qué datos debería observar una empresa
| Dato | Para qué sirve |
|---|---|
| Grupo activo | Investigar técnicas, herramientas e indicadores asociados. |
| Sector atacado | Determinar si existe una campaña contra empresas similares. |
| País o región | Identificar concentraciones geográficas. |
| Vulnerabilidades utilizadas | Priorizar actualizaciones y controles compensatorios. |
| Estado de confirmación | Diferenciar una reclamación de un incidente reconocido. |
Qué hacer si ya sufriste un ataque
Los mapas sirven para investigar tendencias, pero no recuperan información cifrada. Si un equipo fue afectado, debe aislarse de la red y activarse el procedimiento de respuesta a incidentes.
Para identificar la variante y comprobar si existe una herramienta de descifrado, puede consultarse No More Ransom. El proyecto mantiene Crypto Sheriff, recomendaciones preventivas y un repositorio de descifradores gratuitos para determinadas familias.
Acceso directo: Consultar No More Ransom
Protege tus datos: no subas documentos confidenciales, expedientes, datos personales o información empresarial sensible a plataformas públicas. Utiliza muestras controladas y solicita apoyo al equipo de respuesta.
Errores comunes al utilizar rastreadores
- Presentar todas las reclamaciones como ataques confirmados.
- Utilizar una sola plataforma como fuente definitiva.
- Confundir la fecha de publicación con la fecha del incidente.
- Usar mapas generales de malware como estadísticas de ransomware.
- Publicar nombres de empresas sin verificar comunicados oficiales.
- Visitar directamente sitios criminales o descargar datos robados.
- Ignorar indicadores y recomendaciones defensivas oficiales.
Preguntas clave
¿Existe un mapa oficial con todos los ataques de ransomware?
No. Ningún servicio contiene todos los ataques mundiales. Muchos incidentes no se reportan y gran parte de los rastreadores depende de reclamaciones publicadas por los propios grupos.
¿Cuál es la mejor plataforma para comenzar?
Ransomware.live es útil para búsquedas rápidas. RansomLook ofrece mayor profundidad para investigación y SOCRadar facilita una visión gráfica del panorama.
¿La información aparece en tiempo real?
Es más correcto hablar de información cercana al tiempo real. Puede existir retraso entre la intrusión, la extorsión, la publicación y la recopilación por el rastreador.
¿Una empresa que aparece en el mapa fue atacada con seguridad?
No necesariamente. Puede tratarse de una reclamación no confirmada, una filial, un proveedor o una atribución incorrecta.
¿Dónde encuentro recomendaciones para proteger mi empresa?
CISA StopRansomware ofrece guías, alertas e indicadores. También conviene utilizar un SIEM, mantener copias aisladas y probar periódicamente la recuperación.
¿Debo entrar en sitios de filtraciones de la red Tor?
No es necesario. Los rastreadores públicos recopilan la información relevante sin exponer al usuario a riesgos técnicos, legales o de privacidad.
Recomendamos
En resumen
Para comprobar ataques globales de ransomware debes combinar rastreadores abiertos y fuentes oficiales. Ransomware.live, RansomLook, SOCRadar y Ransom-DB permiten observar víctimas reclamadas, grupos, países y sectores. CISA aporta información técnica y medidas defensivas.
La regla más importante es no confundir una publicación criminal con una confirmación. Contrasta varias fuentes, revisa los comunicados de la organización y utiliza la información para priorizar parches, monitoreo, segmentación, copias de seguridad y respuesta a incidentes.
Conclusión editorial
El valor de estos mapas no está en observar ataques como espectáculo. Está en transformar las tendencias globales en decisiones concretas: actualizar sistemas, vigilar proveedores, proteger credenciales, mantener respaldos aislados y preparar a la empresa para responder.

