— ¿Cifraste los archivos? — Sí. — ¿Y la clave? — En la carpeta Temp. — Ups... Por eso el ransomware Pay2Key no es tan temible como lo pintan
La historia de un torpe ataque informático a una clínica
En la muestra de enero del ransomware Pay2Key se oculta una sorpresa desagradable. Incluso cuando el cifrado funciona "por todas las reglas", parte de los datos queda en su lugar, y a veces es bastante. La muestra analizada muestra cómo está diseñado el mecanismo interno y por qué las víctimas pueden recuperar al menos parte de los archivos.
A finales de febrero Pay2Key atacó a una organización médica en EE. UU. Según Halcyon y Beazley Security, los atacantes entraron en la red con credenciales de administrador robadas, no mostraron actividad durante casi una semana, luego se conectaron mediante TeamViewer y empezaron a recopilar contraseñas con Mimikatz y LaZagne. Después ejecutaron un comprimido que descomprimió el cifrador. El cifrado completo tomó alrededor de tres horas.
El archivo usado en el ataque a la clínica no se encontró en bases públicas. Sí apareció una versión anterior de Pay2Key del 9 de enero de 2026. La muestra difiere de la de febrero, pero utiliza el mismo conjunto de herramientas y un esquema de entrega similar. El cifrador está empaquetado en un archivo 7z autoextraíble y dentro carga utilidades auxiliares, incluido un programa de eliminación segura de datos.
El programa está basado en el ransomware Mimic, que a su vez creció a partir del constructor filtrado Conti. Para buscar archivos usa la utilidad Everything, y los procesos bloqueados se cierran forzadamente mediante los mecanismos de Windows. Antes de cifrar, el malware finaliza decenas de servicios y procesos, entre ellos los relacionados con bases de datos, copias de seguridad y protección del sistema.
La criptografía está implementada de forma cuidadosa y sin errores evidentes. Para cada archivo se genera una clave única de 32 bytes usando el generador de números aleatorios integrado de Windows. A continuación se emplea el algoritmo de flujo ChaCha20, y las claves se protegen mediante un intercambio de claves Curve25519. Sin la clave privada de los atacantes, los datos no se pueden descifrar.
Un detalle interesante: en todos los archivos se usa un nonce de un solo uso nulo, que normalmente debería ser aleatorio. En la práctica esto no genera problema porque la clave de cada archivo es nueva. No hay repetición del flujo, por lo que la vulnerabilidad no aparece.
Las claves para descifrar se guardan localmente en el archivo session.tmp en el directorio C:\temp. En la versión de enero el malware no envía ese archivo al servidor. Si el archivo se elimina o corrompe, la recuperación se vuelve imposible incluso para los propios atacantes. Por eso, en una investigación hay que conservar ese archivo como prioridad.
La característica principal es el modo de cifrado parcial. Para archivos grandes el programa cifra solo bloques separados, dejando el resto intacto. Como resultado, entre el 70% y el 87% del contenido puede permanecer en texto claro. Para bases de datos, discos virtuales y copias de seguridad esto es crítico: una parte significativa de la información se puede extraer directamente, aun si la estructura del archivo queda dañada.
El tamaño de los bloques cifrados suele ser de 1 MB, y la distancia entre ellos se calcula en función de la clave. El patrón cambia de archivo en archivo, pero en promedio la mayor parte de los datos no se toca. Al mismo tiempo, el inicio y el final del archivo sí se cifran, por lo que las herramientas de recuperación estándar a menudo no bastan sin un procesamiento adicional.
En la práctica es posible una recuperación parcial. De archivos de bases de datos se pueden extraer tablas, de imágenes de máquinas virtuales se pueden recuperar archivos dentro del disco, y de archivos comprimidos se pueden obtener segmentos independientes. No es posible recuperar todo sin la clave, pero el daño puede reducirse de forma notable.
La versión de enero de Pay2Key muestra un punto importante. Incluso con una criptografía fuerte, los atacantes apuestan a la velocidad y no a la destrucción total de los datos. Ese enfoque acelera la acción, pero deja una oportunidad de recuperación si se registran a tiempo las evidencias y se conservan los archivos de servicio.