Ransomware PYSA: cómo funciona y cómo protegerte

El ransomware PYSA se ha convertido en uno de los nombres propios del cibercrimen reciente: combina cifrado fuerte de archivos, robo de información y tácticas de presión muy agresivas como llamadas telefónicas a las víctimas. Este grupo, también conocido como Pysa-Mespinoza, se ha cebado especialmente con universidades, organismos públicos y empresas del sector sanitario, pero también con compañías privadas de todo tipo y tamaño en Europa y Latinoamérica.

Si te preguntas cómo funciona PYSA, cómo entra en una red, qué hace exactamente en los equipos y cómo puedes protegerte, en este artículo tienes una explicación a fondo. Está orientado a usuarios y organizaciones en España y Latinoamérica y busca contar las cosas sin tecnicismos innecesarios, pero sin perder detalle técnico donde realmente importa.

Qué es el ransomware PYSA y por qué es tan peligroso

PYSA son las siglas de “Protect Your System Amigo”, una frase irónica que los atacantes usan incluso dentro de su nota de rescate. Se trata de un ransomware de tipo filecoder: bloquea el acceso a los archivos cifrándolos con criptografía fuerte y exige el pago de un rescate, normalmente en criptomonedas como Bitcoin, a cambio de una supuesta herramienta o clave de descifrado.

Esta familia es una variante del ransomware Mespinoza, detectada inicialmente a finales de 2019 y que ganó mucha visibilidad entre 2020 y 2021. No se limita a cifrar datos: aplica doble extorsión, es decir, roba primero la información sensible y amenaza con publicarla si la víctima no paga, además de exigir dinero por el descifrado de los archivos.

PYSA ha llamado la atención de organismos como el FBI y la agencia de ciberseguridad francesa por el tipo de víctimas que ha ido sumando a su lista: universidades (como la Universidad Autónoma de Barcelona), centros educativos de todos los niveles, grandes proveedores del sector salud, administraciones locales y regionales, así como empresas privadas en países como España, Argentina, Brasil, Colombia y México.

Los operadores de PYSA mantienen un sitio en la Dark Web donde van publicando el nombre de las organizaciones atacadas y parte de los archivos exfiltrados de aquellas que se niegan a pagar. Según datos de fuentes como Darktracer, solo hasta noviembre de 2021 ya se contabilizaban más de 300 víctimas listadas públicamente, lo que da una idea de la magnitud de la campaña.

Modelo de negocio: PYSA como Ransomware-as-a-Service (RaaS)

PYSA opera bajo un modelo de Ransomware-as-a-Service (RaaS). Esto significa que los desarrolladores del malware no son necesariamente quienes ejecutan los ataques en primera línea: reclutan afiliados que se encargan de comprometer las redes, moverse por ellas y desplegar el ransomware a cambio de una comisión del rescate cobrado.

En este esquema, los desarrolladores proporcionan la infraestructura (paneles de control, versiones personalizadas del ransomware, direcciones de correo y a veces servicios de negociación), mientras que los afiliados aportan el acceso inicial y el conocimiento operativo para moverse dentro de la red de la víctima. Esta especialización hace que los ataques sean más dirigidos, manuales y difíciles de parar que las viejas campañas masivas de spam.

Al igual que otros grupos como REvil, LockBit, Conti, DarkSide o Netwalker, PYSA combina el modelo RaaS con tácticas de doxware/leakware: robar y filtrar datos como palanca adicional de presión. Esto multiplica el impacto reputacional y legal para la víctima, que se enfrenta no solo a la pérdida de disponibilidad de los datos, sino a la posible difusión pública de información confidencial.

Cómo se propaga el ransomware PYSA y cómo consigue acceso inicial

A diferencia de amenazas como WannaCry, que se extendían aprovechando vulnerabilidades de forma automática, PYSA utiliza un enfoque de “operación humana”. No se auto-propaga por sí mismo, sino que los atacantes entran a mano en las redes y van avanzando paso a paso hasta tener la posición ideal para cifrar.

Los vectores de acceso inicial más habituales que se han observado en campañas de PYSA son:

• Correos electrónicos de spearphishing cuidadosamente preparados para un objetivo concreto (personal de una universidad, empleados de un ayuntamiento, personal sanitario, etc.), con documentos adjuntos o enlaces maliciosos que, al abrirse, permiten a los atacantes ejecutar código o robar credenciales.
• Ataques de fuerza bruta o de diccionario contra servicios de RDP (Remote Desktop Protocol) expuestos a Internet y mal protegidos, sobre todo aquellos con contraseñas débiles o reutilizadas.
• Abuso de descargas desde sitios no oficiales, instaladores modificados o software pirateado, donde se incrusta malware que facilita la entrada del grupo o instala troyanos que luego despliegan el ransomware.
• Uso de troyanos y malware previos para realizar infecciones en cadena: una vez que un troyano entra, puede descargar y ejecutar PYSA en un segundo momento.

Una vez consiguen un primer punto de apoyo, los operadores de PYSA se apoyan en herramientas típicas de pentesting y administración para el reconocimiento interno: PowerShell Empire, Koadic, PsExec, Mimikatz y otras utilidades que les permiten enumerar la red, obtener más contraseñas, escalar privilegios y moverse lateralmente entre servidores y estaciones de trabajo.

En este proceso, los atacantes van identificando servidores críticos, controladores de dominio, sistemas de copia de seguridad y repositorios de datos (bases de datos, file servers, shares de red) hasta tener una radiografía de la infraestructura. Solo cuando lo tienen todo maduro despliegan el binario de PYSA, de forma casi simultánea en muchos equipos, para maximizar el daño.

Qué hace PYSA dentro de un equipo infectado

Cuando el ejecutable de PYSA se lanza en un equipo comprometido, el ransomware sigue una cadena de acciones muy concreta para garantizar que el cifrado se realiza de forma controlada y que la víctima ve la nota de rescate en todo momento.

En primer lugar, crea un mutex (bloqueo de exclusión mutua) con un identificador específico para asegurarse de que no haya dos instancias del ransomware ejecutándose al mismo tiempo. Si detecta que el mutex ya existe, termina su ejecución para evitar un doble cifrado que pueda dificultar el posterior descifrado e incluso arruinar los archivos de forma irrecuperable.

A continuación, PYSA lanza varios hilos de ejecución encargados de cifrar en paralelo, con el objetivo de acelerar al máximo el proceso y reducir la ventana de reacción de los administradores. En paralelo, modifica claves del Registro de Windows para que su nota de rescate se abra automáticamente cada vez que se inicie el sistema.

El malware también prepara un script por lotes, normalmente llamado update.bat, que se usa al final para eliminar rastros de la propia amenaza: borra ficheros temporales, la carpeta donde se ha alojado el ejecutable, así como otros elementos que pudieran facilitar el análisis forense posterior.

Otra fase crítica es el análisis del sistema de archivos. PYSA recorre las unidades e identifica qué se cifra y qué no, creando dos listas diferenciadas:

• Allowlist: incluye archivos con extensiones de interés para los atacantes (.doc, .docx, .xls, .db, .zip, etc.) siempre que superen cierto tamaño mínimo (por ejemplo, 1 KB). Son los candidatos a ser cifrados.
• Blacklist: recoge directorios y archivos críticos para el funcionamiento del sistema (como “C:\Windows” y otras rutas de sistema). Cifrarlos podría dejar la máquina inservible antes de que los atacantes puedan interactuar con la víctima, lo que va contra sus intereses económicos.

Todo lo que no encaja específicamente en ninguna de las dos listas se marca como “permitido” si se considera que tiene interés para la extorsión. Con esta clasificación hecha, los hilos de cifrado se centran en los elementos de la Allowlist y dejan intactos los de la Blacklist.

Técnica de cifrado híbrido de PYSA y extensión .pysa

PYSA emplea un método de cifrado híbrido muy habitual en ransomware moderno. Combina un algoritmo de cifrado simétrico y otro asimétrico para conseguir rendimiento y seguridad al mismo tiempo.

Primero, los ficheros seleccionados se cifran con AES en modo CBC (AES-CBC). Para cada archivo o conjunto de archivos se genera una clave simétrica y un vector de inicialización (IV), que son los elementos necesarios para revertir el cifrado. Este uso de AES permite cifrar grandes volúmenes de información en un tiempo razonable.

Después, esa clave y ese IV de AES se cifran a su vez usando RSA, un algoritmo de criptografía asimétrica. De esta manera, solo quien posee la clave privada RSA correspondiente (es decir, los atacantes) puede descifrar la clave AES y, por extensión, todos los archivos cifrados con ella. Esto impide que se pueda realizar un ataque por fuerza bruta razonable o que se aproveche una sola clave para muchas víctimas.

En la práctica, cuando una infección de PYSA finaliza, el usuario se encuentra con sus documentos, imágenes, bases de datos y otros archivos importantes cifrados y renombrados, añadiendo la extensión “.pysa”. Así, un archivo como “1.jpg” pasa a llamarse “1.jpg.pysa”, y lo mismo ocurre con el resto de ficheros afectados.

En la misma carpeta donde hay archivos cifrados, PYSA deja un archivo de texto de rescate, normalmente llamado “Readme.README.txt”, que explica qué ha pasado y cómo contactar con los criminales. Una vez el cifrado termina, se ejecuta el script update.bat para borrar la carpeta temporal “\pysa” del directorio donde se ejecutó el malware y los propios scripts de limpieza guardados, por ejemplo, en C:\Users\<usuario>\AppData\Local\Temp.

Nota de rescate, correos de contacto y táctica de doble extorsión

La nota de rescate de PYSA suele comenzar con un mensaje del tipo “Hi Company” e indica que “cada byte de los dispositivos ha sido cifrado”. Añade que no sirve restaurar copias de seguridad porque, según ellos, también habrían sido cifradas (algo que en la práctica no siempre ocurre si las copias estaban bien aisladas).

En esa nota, los atacantes proporcionan varias direcciones de correo de ProtonMail como vías de contacto: aireyeric@protonmail.com, ellershaw.kiley@protonmail.com, entre otras muchas que han ido rotando con el tiempo (raingemaximo@protonmail.com, gareth.mckie3l@protonmail.com, minginskilian@protonmail.com, schofield_niko@protonmail.com, etc.). ProtonMail es popular entre los ciberdelincuentes por ofrecer un alto grado de anonimato y cifrado en las comunicaciones.

Como gancho de confianza, los operadores de PYSA permiten a la víctima enviar dos archivos cifrados (de hasta unos pocos MB) para descifrarlos gratuitamente a modo de prueba. Este truco se repite en muchos ransomware y busca convencer de que realmente tienen el control de las llaves y que pueden devolver los datos si se paga.

La nota incluye una pequeña sección de “FAQ” donde responden preguntas típicas: cómo asegurarse de que no están engañando, qué hacer para recuperar todos los datos (básicamente, no reiniciar, no mover archivos y contactarles), e incluso una frase irónica para explicar qué decir al jefe: “Protect Your System Amigo”, reforzando el juego con el acrónimo PYSA.

Además del cifrado, el grupo practica doxing o leakware: antes de lanzar el ransomware, ha ido exfiltrando documentación sensible (contratos, datos de empleados, historiales médicos, información financiera, etc.). Si la víctima no paga, parte de esos datos se publican en el sitio oscuro del grupo a modo de castigo y aviso al resto de objetivos. Esta táctica aumenta la presión psicológica, comercial y regulatoria sobre la organización afectada.

Perfil de víctimas e impacto de los ataques de PYSA

PYSA se ha especializado en atacar instituciones educativas (universidades, colegios, seminarios), entidades gubernamentales (ayuntamientos, administraciones locales y regionales), empresas privadas y organizaciones del sector sanitario. Este perfil responde a un cálculo bastante claro: son entornos que manejan datos críticos y que no pueden permitirse parar durante muchos días.

En España y América Latina se han detectado múltiples víctimas, algunas de ellas visibles en el portal de filtraciones de PYSA. Entre los países afectados están España, Argentina, Brasil, Colombia y México, con entidades tanto públicas como privadas que se han visto forzadas a interrumpir servicios o volver temporalmente a procedimientos en papel.

Las consecuencias de un ataque de este tipo abarcan varias dimensiones: bloqueo de dispositivos y servicios, pérdida de acceso a información esencial, alto coste económico (tanto por el rescate solicitado como por la respuesta al incidente y la recuperación), impacto reputacional al aparecer públicamente como víctima, e incluso posibles sanciones regulatorias si se filtran datos personales o confidenciales.

En muchos casos, la vergüenza o el miedo a la exposición pública lleva a algunas víctimas a pagar el rescate en un intento de evitar la difusión de la información o de recuperar más rápido los datos. Sin embargo, ni las fuerzas de seguridad ni los expertos recomiendan hacerlo, porque no hay ninguna garantía de que se entregue una llave funcional o de que no se sigan filtrando datos después del pago.

Detección, indicadores de compromiso y eliminación de PYSA

Desde el punto de vista de la defensa, existen diferentes indicadores de compromiso (IoC) asociados a PYSA: hashes de los ejecutables, nombres de ficheros y scripts secundarios, direcciones de correo utilizadas, claves de Registro modificadas, procesos inusuales corriendo en sistemas Windows, etc. Estos IoC permiten a soluciones de seguridad como EDR, antivirus de nueva generación o plataformas como la de Cybereason detectar la presencia del ransomware o de sus componentes previos.

Algunas soluciones aprovechan elementos característicos de PYSA, como la creación de un mutex concreto, para bloquear su ejecución. También se utilizan reglas YARA que identifican patrones en el código del binario, así como políticas de control de comportamiento (detección de cifrados masivos, cambios sospechosos en el Registro, ejecución atípica de PowerShell, etc.).

En cuanto a la eliminación, hay que tener claro que borrar el malware no devuelve los archivos. El proceso suele consistir primero en aislar los equipos, ejecutar herramientas antimalware o EDR para erradicar el binario de PYSA y otros componentes (troyanos, backdoors, scripts de persistencia), y solo después iniciar el proceso de restauración de datos desde copias de seguridad o de recuperación mediante herramientas forenses.

Diversas soluciones comerciales (como las recomendadas por portales de seguridad especializados) ofrecen escáneres automáticos capaces de detectar variantes identificadas por motores como Avast, BitDefender, ESET o Kaspersky (que clasifican a PYSA como diferentes tipos de Win32/Filecoder o Trojan.Win32, entre otros nombres de detección). Estas herramientas ayudan a limpiar el sistema, pero no garantizan en absoluto la recuperación de los ficheros cifrados.

Por ahora, y dado que PYSA utiliza criptografía robusta sin fallos públicos conocidos, la única forma fiable de recuperar los datos sin pagar el rescate suele ser disponer de copias de seguridad completas y desconectadas, o bien recurrir a herramientas de recuperación de archivos borrados (como Recuva) en escenarios muy concretos, por si algún dato no hubiera sido todavía sobreescrito.

Cómo identificar un ataque de ransomware y comprobar si se puede desencriptar

Ante cualquier incidente de cifrado masivo de archivos, es fundamental identificar qué familia de ransomware está detrás. Esto es importante porque existen herramientas de descifrado gratuitas para ciertas familias mal diseñadas, pero aplicar un desencriptador equivocado puede dañar irremediablemente los archivos.

Los primeros elementos que conviene revisar son:

• El nombre y contenido de la nota de rescate (archivos como _readme.txt, DECRYPT_FILES.html, Readme.README.txt, etc.). Aunque muchos nombres son genéricos, la redacción y los correos de contacto ayudan a identificar el grupo.
• La extensión añadida a los ficheros cifrados (.pysa, .encrypted, .enc, .locked, etc.). Algunas extensiones son exclusivas de una familia; otras, no.
• Los correos electrónicos de contacto y las direcciones de billeteras de criptomonedas que aparecen en la nota.

Una forma rápida de obtener una identificación fiable es usar servicios como ID Ransomware. Basta con subir la nota de rescate y uno de los archivos cifrados (siempre que no contenga datos sensibles) para que la plataforma indique, en pocos segundos, a qué familia pertenece el ransomware, si existen herramientas de descifrado gratuitas y qué opciones reales hay de recuperación.

En el caso concreto de PYSA, actualmente no se dispone de un desencriptador público funcional, de modo que si el servicio identifica esta familia lo razonable es centrarse en: mantener las evidencias para la investigación, limpiar el entorno, restaurar desde backups seguros y notificar el incidente a las autoridades competentes.

Buenas prácticas para prevenir infecciones de PYSA y otros ransomware

Mucho antes de plantearse cómo reaccionar a un ataque, lo importante es reducir al máximo el riesgo de infección. Las recomendaciones para frenar a PYSA encajan con las buenas prácticas generales frente a cualquier ransomware de alto impacto.

En el plano del usuario y del correo electrónico, tiene sentido:

• Evitar abrir correos sospechosos o inesperados, especialmente aquellos con adjuntos o enlaces que piden acciones urgentes (pagos, cambios de contraseña, descarga de facturas, etc.).
• Desconfiar de archivos ofimáticos con macros, ejecutables empaquetados en ZIP o RAR y documentos que solicitan bajar la seguridad de la suite ofimática.
• Formar y concienciar al personal de forma regular sobre phishing, ingeniería social y riesgos del ransomware.

En cuanto a la superficie de ataque técnico, es clave:

• Configurar correctamente RDP y otros servicios expuestos: restringir por IP, usar VPN, desactivar servicios que no sean necesarios y protegerlos con contraseñas robustas.
• Implementar contraseñas fuertes y únicas, junto con autenticación multifactor (MFA) allá donde se pueda (correo, VPN, paneles de administración, escritorios remotos, etc.).
• Aplicar parches y actualizaciones de sistema operativo y aplicaciones con rapidez, sobre todo en servicios expuestos a Internet.

También es esencial una política de copias de seguridad bien diseñada:

• Realizar backups periódicos de la información crítica, siguiendo principios como la regla 3-2-1 (tres copias, en dos soportes distintos, una fuera de la red principal).
• Segregar las copias de seguridad para que no queden accesibles de forma directa desde la red de producción y el ransomware no pueda cifrarlas con la misma facilidad.
• Probar periódicamente la restauración, no solo la copia, para asegurarse de que el plan de backup funciona en la práctica.

Por último, el despliegue de una buena solución de seguridad endpoint (antivirus/antimalware de confianza, EDR, firewall con IDS/IPS, etc.) reduce mucho la probabilidad de que una amenaza como PYSA pase desapercibida. Estas herramientas, bien configuradas y actualizadas, permiten detectar intentos de movimiento lateral, abuso de herramientas de administración y cifrados masivos antes de que el daño sea irreversible.

En caso de infección, las autoridades y expertos coinciden en varias recomendaciones: aislar inmediatamente el equipo o la red afectada (desconectar de Internet, desconectar unidades externas, cerrar sesión en servicios de nube), no pagar el rescate, recopilar evidencias, contactar con profesionales de ciberseguridad y denunciar el incidente ante los organismos competentes para contribuir a la persecución de estos delitos.

Con todo lo anterior, queda claro que PYSA no es un simple virus molesto, sino una operación criminal compleja que combina ingeniería social, explotación de malas configuraciones, herramientas de pentesting, cifrado avanzado y chantaje público. Conocer cómo funciona, qué pasos sigue y qué puede hacerse para frenarlo o mitigar su impacto es la mejor manera de que, si algún día te cruzas con él, te pille con los deberes hechos y con un plan realista para proteger tus sistemas y tus datos.