Una nueva campaña de ransomware suplanta a Interpol para presionar a las pequeñas empresas a infectarse a sí mismas. Los investigadores de Bitdefender, con reportes recogidos por medios como SC Media, Infosecurity y Hackread, describen correos que se hacen pasar por una "Interpol Cybercrime Investigation Unit" oficial y afirman que se necesita una respuesta urgente para colaborar en una investigación sobre problemas de cumplimiento o seguridad. El cebo es la autoridad y el miedo. La realidad es un intento torpe de engañar al destinatario para que ejecute malware.
Hay un giro inusual que cambia toda la respuesta. Las personas detrás de esta campaña construyeron su ransomware tan mal que la herramienta necesaria para revertir el cifrado, y la clave que usa, viajan dentro del propio malware. Ese único error vuelve a poner sobre la mesa la recuperación sin pagar.
Cómo es la campaña del falso Interpol
El mensaje llega como un correo disfrazado de aviso oficial. Usa el nombre de Interpol y la etiqueta inventada de una "Cybercrime Investigation Unit", e insiste en la urgencia: supuestamente se requiere la cooperación del destinatario para una investigación en curso sobre un asunto de cumplimiento o seguridad. Ese planteamiento busca cortocircuitar el juicio. Un empleado asustado que cree que un organismo policial internacional lo vigila es más propenso a hacer clic primero y pensar después.
El correo no lleva la carga directamente. En su lugar apunta a un enlace de Proton Drive donde se aloja un archivo protegido con contraseña, y facilita amablemente la contraseña en el cuerpo del mensaje. Los archivos protegidos con contraseña son un truco de evasión habitual: muchos escáneres de correo y de endpoints no pueden inspeccionar el contenido de un archivo cifrado, de modo que el fichero malicioso se cuela por los filtros que de otro modo lo marcarían.
Cómo funciona la cadena de infección
Una vez que la víctima descarga el archivo e introduce la contraseña facilitada, no encuentra un documento. Encuentra más archivos anidados en su interior. Capa tras capa, el empaquetado mantiene enterrada la carga real, lo que dificulta aún más el análisis automatizado y hace que el objeto parezca un paquete de ficheros inofensivo.
En el fondo del anidamiento se halla el ransomware, disfrazado de fichero de vídeo. La ingeniería social es coherente hasta el final: un destinatario al que se le dijo que esto concierne a una investigación espera revisar pruebas, así que un "vídeo" resulta plausible. Cuando la víctima intenta reproducir ese vídeo, el ejecutable se lanza. En lugar de imágenes, empieza a cifrar los archivos en las unidades disponibles y deja una nota de rescate exigiendo un pago.
La cadena está deliberadamente estratificada pero no es sofisticada. Cada paso, la falsa autoridad, el alojamiento de ficheros fuera de la plataforma, la contraseña facilitada, los archivos anidados, el disfraz de vídeo, es un truco ya conocido. Lo que hace notable a la campaña no es su ingenio, sino su selección de objetivos y un error de implementación que se vuelve contra los atacantes.
El fallo clave: la clave de descifrado viaja dentro del malware
Aquí está el detalle que más importa a cualquier víctima. Según los investigadores que analizaron las muestras, este ransomware lleva tanto su función de descifrado como la clave necesaria dentro del propio malware. En una cepa bien construida, la clave que desbloquearía tus archivos se genera en la infraestructura del atacante y nunca toca tu equipo, que es precisamente por lo que pagar puede parecer la única opción. Esta campaña hace lo contrario.
Como la lógica de descifrado y la clave están presentes localmente, es técnicamente posible recuperar los archivos cifrados sin negociar con los atacantes ni pagarles. Es un defecto grave en el diseño de los atacantes. También significa que fabricantes como Bitdefender están bien situados para publicar un descifrador gratuito construido a partir de ese material incrustado, y que socios de antivirus y policiales pueden añadirlo al catálogo público de herramientas gratuitas.
Seamos claros sobre los límites: extraer una clave incrustada de forma segura es tarea de analistas de malware, no algo que improvisar a partir de un artículo de blog. No intentes diseccionar la muestra tú mismo. La conclusión práctica es más simple e igual de importante: no pagues, porque el cifrado empleado aquí no es del tipo irrompible en el que se apoya un ransomware correctamente implementado.
A quién se dirige
La campaña apunta a pequeñas y medianas empresas más que a consumidores, y alcanza varias regiones. Los investigadores observaron objetivos en Estados Unidos, Europa, Asia y Oriente Medio, abarcando un amplio conjunto de sectores: tecnología, finanzas, servicios jurídicos, agroalimentario, farmacéutico y medios. Esa dispersión sugiere una distribución oportunista más que una lista de víctimas escogida a mano.
Las pequeñas empresas son un blanco atractivo por una razón. A menudo carecen de un equipo de seguridad dedicado, el personal puede estar menos entrenado frente a la suplantación, y el impacto de un aparente aviso de Interpol puede anular la cautela habitual. Los atacantes apuestan por esa brecha. Un equipo bien informado, en cambio, detecta la estafa en la primera línea: una policía real no envía "pruebas" de una investigación como un archivo protegido con contraseña desde una nube de consumo.
Qué hacer si recibes uno de estos correos
Si un mensaje así llega a tu bandeja, trátalo como hostil y no interactúes con la carga:
- No descargues el archivo ni abras ningún fichero de su interior. El ransomware se dispara al abrir el falso vídeo, así que lo más seguro es no llegar nunca a ese paso.
- No respondas ni uses ningún dato de contacto del correo. La marca Interpol es falsa, y cualquier "unit" nombrada en el mensaje es una invención.
- Aísla cualquier equipo que ya haya descargado o abierto el fichero: desconecta el cable de red, desactiva el Wi-Fi y desconecta las unidades externas para limitar la propagación.
- Repórtalo a tu equipo de informática o seguridad y a tu autoridad nacional de ciberdelincuencia. Si necesitas verificar una petición policial genuina, contacta con el organismo por sus canales públicos oficiales, nunca a través del correo.
Qué hacer si tus archivos ya están cifrados
Si la carga ya se ejecutó y tus archivos están bloqueados, la respuesta sigue el protocolo estándar de ransomware, con un factor alentador: el diseño defectuoso de esta cepa hace realista una recuperación gratuita. Avanza con calma, paso a paso.
Empieza por aislar el equipo y fotografiar la nota de rescate y la extensión de los archivos cifrados. Luego identifica la cepa con precisión: nuestra guía de identificación con ID Ransomware explica cómo subir una muestra y la nota para determinar exactamente qué te ha golpeado. Una identificación correcta es lo que permite encontrar o construir un descifrador adecuado.
A continuación, consulta las herramientas gratuitas oficiales. Como la clave está incrustada, un descifrador para esta familia es viable, así que revisa el portal No More Ransom y la página de herramientas gratuitas de Bitdefender. Nuestra guía pilar sobre cómo descifrar un ransomware sin pagar explica cómo encontrar, verificar y probar de forma segura un descifrador oficial en una copia antes de lanzarlo de forma masiva. Si aún no existe una herramienta para tu muestra exacta, conserva los archivos cifrados en un disco externo limpio y vuelve a comprobarlo, porque las herramientas para cepas defectuosas suelen aparecer.
Si dispones de una copia de seguridad limpia y desconectada anterior al ataque, restaurarla es la vía fiable más rápida. Sea cual sea el camino, no pagues el rescate: el pago financia la operación, te marca como blanco fácil y es innecesario cuando el propio cifrado es reversible. Para la respuesta completa paso a paso y las opciones de recuperación, consulta nuestras guías sobre qué hacer cuando tus archivos están cifrados por ransomware y cómo recuperar archivos después de un ransomware.
Cómo puede blindarse una pequeña empresa
Esta campaña triunfa por las personas, no por brillantez técnica, así que las mejores defensas son organizativas. Forma al personal para desconfiar de cualquier mensaje no solicitado que dice ser de la policía y pide descargar un fichero protegido con contraseña, y haz normal detenerse a verificar en lugar de reaccionar a la urgencia. Bloquea, cuando sea posible, los tipos de adjuntos de riesgo y los archivos protegidos con contraseña en la pasarela de correo, ya que esa es exactamente la evasión en la que se apoya esta campaña.
Mantén copias de seguridad sin conexión o inmutables para que incluso un cifrado exitoso sea una molestia y no una crisis, y prueba que realmente puedes restaurar desde ellas. Por último, establece una regla simple: todo contacto real de una agencia policial se verifica por los canales nacionales oficiales, nunca mediante un enlace, un adjunto o un número de teléfono suministrados en un correo inesperado. Esos hábitos neutralizan el miedo que esta falsa campaña de Interpol está diseñada para explotar.
Guías relacionadas
- Descifrar un ransomware sin pagar: guía completa 2026
- Archivos cifrados por ransomware: qué hacer ahora
- Recuperar archivos después de un ransomware
Haz copia ahora para frenar el ransomware → EaseUS Todo Backup
Copias automáticas · clon de disco · copia offline
