Una computadora congelada, una oficina llena de pantallas en blanco, un mensaje impreso. El reloj está corriendo. Tus compañeros tienen horas para llegar a un acuerdo. Así se siente un ataque de ransomware: el instante en que la rutina digital se convierte en emergencia y cada segundo cuenta. El libro We Know You Can Pay a Million (Sabemos que puedes pagar un millón) desarma la estructura de esta economía criminal en pleno auge.

Anja Shortland, profesora de economía política en la prestigiosa universidad británica King's College London, explora cómo el secuestro de datos mediante malware (programas diseñados para dañar) ha dejado de ser una rareza para convertirse en un negocio global con procedimientos casi corporativos y en el que la extorsión digital se ha normalizado. Los delincuentes han dejado atrás la imagen del improvisado solitario para operar como organizaciones: emplean manuales operativos, jerarquías internas y desarrollan procesos de delegación, marcas criminales y protocolos de confianza entre extorsionadores. Desde su primera página, el libro plantea la pregunta: ¿Cómo llegamos al punto en que la criminalidad digital puede exigir sumas millonarias con la misma naturalidad con la que una empresa factura a sus clientes?

Shortland sostiene que, en este contexto, la profesionalización del delito ha superado cualquier expectativa previa: la aparición de marcas, la delegación de tareas y la incorporación de protocolos de confianza entre extorsionadores inauguran una nueva era en el crimen informático.

En 1989, Joseph L Popp Jr, un biólogo evolutivo vinculado a la Organización Mundial de la Salud, agencia sanitaria de la ONU, protagonizó el primer gran episodio de ransomware. No obtener un puesto permanente lo llevó a enviar un mensaje disruptivo sobre los riesgos de los virus informáticos.

Popp distribuyó 20.000 disquetes a investigadores en 90 países. Cada uno contenía un cuestionario que prometía ayudar a reducir el riesgo de contraer VIH, pero el verdadero propósito era mucho más malévolo.

Al insertar el disquete, un virus troyano se activaba como una bomba de tiempo. El programa inutilizaba el ordenador hasta que la víctima pagara una "licencia" de USD 189 a una casilla postal en Panamá.

La AIDS Trojan fue detectada rápidamente y Popp terminó arrestado por chantaje. Su objetivo no era lucrativo, sino didáctico; aun así, la reacción causó graves consecuencias: una organización italiana dedicada al sida borró sus discos duros, perdiendo información acumulada durante diez años por miedo al virus.

El propio Popp colapsó psicológicamente al ver los efectos y fue declarado incapaz de enfrentar un juicio. Los criminales que tomarían su idea y la transformarían en un negocio global no compartirían ese remordimiento.

Un ataque de ransomware consiste en que piratas informáticos emplean malware para cifrar los archivos de sus víctimas y luego exigen un pago a cambio de la clave que permite recuperar esos datos.

En una evolución reciente, los atacantes además roban información sensible y amenazan con subastarla en la dark web, práctica conocida como "double extortion".

El resultado es una extorsión que, como observa la autora, equivale a "destrozar un coche entero solo para robar unas gafas de sol". La desproporción entre el daño causado y el beneficio obtenido es notable.

Según Shortland, los hackers obtuvieron alrededor de 1.000 millones de dólares en 2025, pero las pérdidas estimadas para las víctimas alcanzaron los 57.000 millones de dólares en ese mismo año.

Esta disparidad genera un dilema colectivo: la tentación de pagar para minimizar el daño es grande, pero cada rescate abonado alimenta la cadena de futuros ataques.

Un caso paradigmático fue el de la British Library, la biblioteca nacional del Reino Unido, que sufrió un ataque en octubre de 2023 y, meses después, aún no había recuperado la normalidad.

La presión psicológica de estos ataques es considerable. Un empresario, cuya compañía estuvo al borde del colapso por un hackeo, describe la experiencia como vivir una sensación de ahogo constante y desesperante.

El ransomware permaneció durante años como un fenómeno limitado por las dificultades técnicas para monetizar la información robada. La situación cambió con la llegada de tres avances clave: la comunicación anónima a través del protocolo TOR, el uso de criptomonedas como bitcoin y la implementación de la encriptación asimétrica, que permite generar claves únicas para cada equipo infectado.

Para el año 2013 —detalla Shortland—: "all the preconditions for large-scale, profitable ransomware campaigns were in place". Estos elementos permitieron que el ransomware pasara de ser una amenaza marginal a convertirse en una industria en expansión.

En este nuevo escenario, grupos de hackers desarrollan "marcas" reconocibles de ransomware, proveyendo su software a afiliados que se encargan de ejecutar las extorsiones y replicando modelos de franquicia corporativa.

La autora señala que la confianza dentro de estas redes criminales es esencial, aunque siempre temporal. Las principales organizaciones cuentan con empleados asalariados, mesas de ayuda técnica para sus "clientes" y hasta departamentos de recursos humanos.

"Criminal HR is a fast-moving, high-stakes job", apunta Shortland, subrayando la velocidad y el riesgo de estas estructuras. La profesionalización del delito llegó al punto de replicar prácticas empresariales convencionales en el corazón de la ilegalidad.

El ataque que paralizó gran parte de la economía de Costa Rica en 2022, con un coste estimado de USD 500 millones, es presentado por Shortland como un ejemplo de la lógica empresarial de estas organizaciones criminales. Según la autora, la ofensiva fue más una maniobra de marketing de una marca en declive, Conti, que un plan de enriquecimiento directo.

Las víctimas de estos ataques no solo son empresas privadas. Los sistemas de salud figuran entre los objetivos frecuentes, lo que convierte al ransomware en un delito con potencial de causar muertes, más allá de sus consecuencias económicas.

Los líderes de estas bandas distan mucho del estereotipo de criminal. El caso de LockBitSupp, identificado como el ruso Dmitry Yuryevich Khoroshev, ejemplifica el perfil: prácticas de ostentación y actitudes prepotentes. Khoroshev llegó a exigir USD 80 millones al servicio postal británico, Royal Mail, en 2023 y resumió su vida criminal diciendo: "For five years of swimming in money I became very lazy", y que continuó "saliendo en yate con chicas".

Las denominaciones de las bandas, como Evil Corp o DarkSide, transmiten una visión nihilista, sin pretensión de sofisticación literaria.

Desde los años noventa, Rusia se ha consolidado como un nodo estratégico del cibercrimen. Las relaciones con Occidente, especialmente con Estados Unidos, han definido la persecución de estos grupos. En enero de 2022, el gobierno de Vladimir Putin permitió una redada contra la marca REvil, pero la guerra en Ucrania interrumpió cualquier cooperación posterior.

Corea del Norte también juega un papel destacado. Su virus WannaCry infectó decenas de miles de computadoras en 150 países en 2017, afectando desde empresas de telecomunicaciones españolas hasta el sistema de salud británico.

Estos episodios, junto al ataque ruso conocido como NotPetya, encendieron las alarmas de los gobiernos occidentales, que comenzaron a tratar el ransomware como un asunto de seguridad nacional.

Shortland advierte sobre un futuro en el que la inteligencia artificial multiplica el alcance y riesgo del ransomware. Imagina escenarios en los que la finalidad del ataque se transforma: eliminación total de datos en servidores en la nube o sabotajes a instalaciones sensibles, como centrales nucleares.

Según la autora, la sociedad permanece "mostly blind or indifferent" ante un nivel de riesgo antes considerado imposible. Este peligro requiere una respuesta estatal más firme: normas legales para la ciberhigiene, mayor apoyo a las víctimas y un incremento en la persecución penal.

Shortland compara la situación con la pandemia de Covid: la erradicación total del ransomware parece improbable. El objetivo será "acordar un nivel de riesgo aceptable y aprender a convivir con la amenaza latente".

La autora sugiere que, así como el mundo se preparó para vivir bajo la amenaza de un virus biológico, debemos estar listos para una eventualidad digital que paralice economías enteras. Aunque el libro no busca entretener al lector promedio, Shortland espera que las personas responsables de tomar decisiones realmente presten atención.