Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Esta obra est´a bajo una Licencia
Creative Commons Atribuci´on
4.0 Internacional.
Tipo de art´ıculo: Art´ıculos de revisi´on
Tem´atica: Redes y seguridad inform´atica
Recibido: 7/12/2025 | Aceptado: 3/2/2026 | Publicado: 30/3/2026
Identificadores persistentes:
DOI: 10.48168/innosoft.s29.a342
ARK: ark:/42411/s29.a342
Enfoques de detecci´on de ransomware basados en aprendizaje
autom´atico
Machine learning-based ransomware detection approaches
Luis Fernando Avila Reyes
1[0009-0000-0827-7491]*
, Kevin Eduardo Galvez Carrillo
2[0009-0007-4013-9081]
,
Alberto Carlos Mendoza De Los Santos
3[0000-0002-0469-915X]
1
Universidad Nacional de Trujillo. Trujillo, Per´u.. t1013300721@unitru.edu.pe
2
Universidad Nacional de Trujillo. Trujillo, Per´u.. t1023300621@unitru.edu.pe
3
Universidad Nacional de Trujillo. Trujillo, Per´u.. amendozad@unitru.edu.pe
∗
Autor para correspondencia: t1013300721@unitru.edu.pe
Resumen
El estudio tuvo como objetivo analizar los enfoques y t´ecnicas de detecci´on de ransomware basados en apren-
dizaje autom´atico, a fin de identificar las propuestas m´as eficaces reportadas en la literatura reciente. Se aplic´o
la metodolog´ıa PRISMA para seleccionar art´ıculos originales publicados entre 2020 y 2025 en bases de datos
especializadas. Los hallazgos muestran que los m´etodos tradicionales basados en firmas resultan insuficientes
ante variantes de d´ıa cero, mientras que algoritmos como Random Forest, Gradient Boosting y redes neuro-
nales profundas ofrecen mayor precisi´on y capacidad de adaptaci´on. Asimismo, se destacan enfoques h´ıbridos
y emergentes que incorporan an´alisis forense con modelos de lenguaje o inteligencia artificial explicable. Se
concluye que las t´ecnicas de aprendizaje autom´atico representan una alternativa robusta y en evoluci´on para
la detecci´on temprana de ransomware, contribuyendo a mejorar la resiliencia de los sistemas de ciberseguridad.
Palabras claves: Aprendizaje autom´atico, Ciberseguridad, Detecci´on, Ransomware, Redes neuronales
Abstract
The study aimed to analyze machine learning-based ransomware detection approaches in order to identify the
most effective proposals reported in recent literature. The PRISMA methodology was applied to select original
articles published between 2020 and 2025 in specialized databases. Findings show that traditional signature-
based methods are insufficient against zero-day variants, while algorithms such as Random Forest, Gradient
Boosting, and deep neural networks provide higher accuracy and adaptability. Likewise, hybrid and emerging
approaches that incorporate forensic analysis with language models or explainable artificial intelligence stand
out. It is concluded that machine learning techniques represent a robust and evolving alternative for early
ransomware detection, contributing to strengthening the resilience of cybersecurity systems.
Keywords: Machine learning, Cybersecurity, Detection, Ransomware, Neural networks.
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
183
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Introducci´on
En los pa´ıses desarrollados, el uso de sistemas inform´aticos e Internet se ha convertido en un parte fundamental
de la econom´ıa y de la vida cotidiana. Esta creciente interconexi´on tambien ha abierto nuevas oportunidades
para que los ciberdelincuentes act´uen, desarrollando ataques cada vez m´as sofisticados [1]. A medida que crece
el acceso a Internet y se ampl´ıa el uso de la tecnolog´ıa, no solo se incrementa el n´umero de ciberataques, tambien
sus m´etodos evolucionan. Un ciberataque es el intento de vulnerar o explotar sistemas y redes inform´aticas de
personas u organizaciones [2].
Dentro de las multiples formas de malware, que es el software dise˜nado para causar da˜no o infiltrarse en
sistemas ajenos, el ransomware ha surgido como una amenaza grave en los ´ultimos a˜nos. Este tipo de malware
afecta a individuos, empresas, hospitales e incluso a infraestructuras cr´ıticas como los sistemas de suministro
de energ´ıa [3].
El ransomware representa actualmente una de las amenazas m´as relevantes en el ´ambito de la ciberseguridad,
ya que provoca considerables perjuicios econ´omicos y compromete la confidencialidad tanto de individuos como
de instituciones [4]. Se trata de un riesgo de ciberseguridad en aumento, ya que cifra la informaci´on y exige un
pago para su recuperaci´on. La evoluci´on constante de esta amenaza suele superar los m´etodos tradicionales
de detecci´on de ransomware [5]. En este escenario, el ransomware se ha distinguido por su capacidad de
restringir el acceso de los usuarios a sus sistemas o archivos, bien sea mediante el bloqueo de la pantalla o el
cifrado de documentos esenciales, hasta que se pague un rescate [6]. Lo que lo ha consolidado como una de las
amenazas digitales m´as perjudiciales de la ´ultima d´ecada. Del mismo modo, su impacto econ´omico ha quedado
en evidencia con ataques de gran magnitud como WannaCry y NotPetya, responsables de p´erdidas globales
que superan los ocho mil millones de d´olares [7].
En especial, los ataques de ransomware de d´ıa cero, que buscan aprovechar fallos a´un no identificados, consti-
tuyen una seria amenaza para las defensas de ciberseguridad actuales. La ausencia de datos de entrenamiento
hace que su detecci´on contin´ue siendo un reto considerable [8]. Asimismo, este tipo de ataques suele valerse
de m´etodos avanzados de cifrado para explotar nuevas vulnerabilidades [9].
Las soluciones antiransomware habituales con frecuencia no logran identificar ataques de ransomware de d´ıa
cero, pues no es posible disponer anticipadamente de sus firmas para entrenar los modelos de detecci´on [9]. Las
soluciones centradas en la mitigaci´on suelen enfocarse en alertar o detener la ejecuci´on del ransomware, pero
pocas veces abordan mecanismos que permitan prevenir de forma proactiva la ocurrencia de estos ataques [10].
Es importante se˜nalar que la modalidad de ransomware como servicio (RaaS) ha intensificado este escenario
de riesgo, ya que facilita que incluso ciberdelincuentes sin conocimientos t´ecnicos avanzados puedan desplegar
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
184
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
campa˜nas a gran escala mediante infraestructuras alojadas en la nube [11]. Est´a din´amica ha contribuido no
solo a aumentar la frecuencia de los ataques, sino tambi´en a elevar su nivel de sofisticaci´on en los ultimos a˜nos.
Los sistemas de detecci´on tradicionales se apoyan fundamentalmente en enfoques basados en firmas, los cuales
identifican malware mediante patrones previamente definidos. Pero, estos m´etodos enfrentan importantes limi-
taciones ante la r´apida evoluci´on del ransomware y la aparici´on de ataques de d´ıa cero [11]. Tambien, requieren
actualizaciones constantes y personal con conocimientos especializados [12].
Como respuesta, la comunidad investigadora ha enfocado sus esfuerzos en la detecci´on de ransomware mediante
el uso de tecnolog´ıas como el aprendizaje autom´atico [13]. Los enfoques convencionales para la detecci´on de
malware, como aquellos sustentados en t´ecnicas estad´ısticas, resultan insuficientes frente a la evoluci´on del
ransomware, pues tienden a producir un elevado n´umero de falsos positivos [14].
Los m´etodos de aprendizaje autom´atico (ML) han mostrado una mayor efectividad en la detecci´on de ransom-
ware en comparaci´on con las t´ecnicas tradicionales basadas en firmas [15]. Aunque las t´ecnicas de aprendizaje
autom´atico y profundo representan alternativas prometedoras, la falta de transparencia de los complejos mo-
delos de caja negra puede limitar su implementaci´on en contextos de seguridad sensibles [16].
En consecuencia, se vuelve fundamental dise˜nar estrategias innovadoras e inteligentes que permitan una pro-
tecci´on m´as efectiva contra este tipo de amenaza [14]. Entre ellos, los algoritmos fundamentados en estructuras
de ´arboles, como los ´arboles de decisi´on (DT), los bosques aleatorios (RF) y el eXtreme Gradient Boosting
(XGBoost), han captado una atenci´on significativa dentro de la comunidad investigadora en ciberseguridad [15].
Frente a este panorama, resulta necesario ordenar y examinar lo que la investigaci´on ha producido en torno
al uso del aprendizaje autom´atico para la detecci´on de ransomware. Aunque en la literatura se describen
multiples enfoques, todav´ıa no existe una vision integrada que permita reconocer con claridad cu´ales son las
t´ecnicas m´as empleadas, c´uales han mostrado mejores resultados y qu´e limitaciones persisten en su aplicaci´on.
Bajo esta premisa, se plantea la siguiente pregunta de investigaci´on: ¿Cu´ales son los enfoques, t´ecnicas y
tendencias m´as relevantes en la detecci´on de ransomware basados en aprendizaje autom´atico reportados en la
literatura cient´ıfica reciente?
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
185
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Materiales y m´etodos o Metodolog´ıa computacional
Marco metodol´ogico y t´erminos de busqueda
Para el desarrollo de este estudio se aplic´o la metodolog´ıa PRISMA (Preferred Reporting Items for Systematic
Reviews and Meta-Analyses), la cual ofrece un marco estructurado y transparente que facilita la identificaci´on,
selecci´on y an´alisis cr´ıtico de los trabajos m´as relevantes dentro de la literatura cient´ıfica [17].
A partir de la pregunta de investigaci´on planteada, se definieron los siguientes terminos de b´usqueda: “ran-
somware detection”, “machine learning”, “approaches”, “techniques”. Posteriormente, mediante el uso de
operadores booleanos para ampliar y refinar los resultados, la cadena final qued´o conformada de la siguiente
manera: “ransomware detection” AND “machine learning” AND (approaches OR techniques).
Bases de datos consultadas
La b´usqueda se llev´o a cabo en bases de datos acad´emicas reconocidas por su cobertura y fiabilidad, a fin
de garantizar la calidad de evidencia recopilada. Se consultaron ScienceDirect, IEEE Xplore y ACM Digital
Library. Para garantizar la actualidad de los hallazgos, se estableci´o como criterio temporal el intervalo com-
prendido entre los a˜nos 2020 y 2025. Adem´as, se restringi´o los resultados a publicaciones en espa˜nol e ingl´es.
Finalmente, se filtr´o la inclusi´on solo de art´ıculos originales y de libre acceso.
Criterios de inclusi´on y exclusi´on
Para garantizar la pertinencia y consistencia de los estudios incluidos, se definieron criterios de elegibilidad
claros. Los criterios de inclusi´on y exclusi´on se muestran en la Tabla 1.
Tabla 1. Criterios de inclusi´on y exclusi´on
Tipo Criterio
Inclusi´on Estudios publicados entre 2020 y 2025
Art´ıculos originales y de acceso abierto
Propuestas basadas en ML aplicadas a la detecci´on de ransomware
Exclusi´on Revisiones, encuestas, art´ıculos de opini´on o editoriales
Investigaciones sobre malware gen´erico
M´etodos no basados en ML
Dentro de la metodolog´ıa PRISMA se emplea un diagrama de flujo de cuatro fases (Figura 1), el cual per-
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
186
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
mite representar el proceso de depuraci´on y selecci´on de los art´ıculos que ser´an considerados en la revisi´on
sistem´atica.
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
187
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Resultados y discusi´on
Resultados
El aprendizaje autom´atico (ML) se ha consolidado como una estrategia de gran relevancia en la detecci´on de
ransomware, al posibilitar la identificaci´on de patrones en extensos vol´umenes de datos. En especial, los m´etodos
de ML fundamentados en enfoques basados en conjuntos destacan por ofrecer elevados niveles de precisi´on, una
notable capacidad de adaptaci´on frente a amenazas emergentes y una gesti´on eficiente de grandes cantidades
de informaci´on [18].
Teniendo en cuenta los notables progresos en redes informales, computaci´on en la nube, entornos web, ban-
ca electr´onica, sistemas adaptativos e inteligentes, la seguridad inform´atica se presenta como un ´ambito en
constante expansi´on que abre m´ultiples l´ıneas de an´alisis. En este contexto, diversas soluciones basadas en
aprendizaje autom´atico han demostrado ser efectivas para abordar la complejidad de los problemas asociados
a la ciberseguridad [19]. El aprendizaje autom´atico puede aplicarse de distintas formas dentro de este campo.
La Figura 2 ilustra algunas de sus aplicaciones en el ´ambito de la seguridad inform´atica.
Figura 2. Aplicaciones de aprendizaje autom´atico en ciberseguridad
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
189
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
En la Tabla 2 se resumen los trabajos que han propuesto m´etodos de detecci´on de ransomware en equipos
y redes que no son dispositivos m´oviles. La informaci´on se organiza de acuerdo con el enfoque de detecci´on
planteado, el algoritmo de aprendizaje autom´atico utilizado, las m´etricas de desempe˜no reportadas y las
limitaciones.
Tabla 2. S´ıntesis de estudios sobre detecci´on de ransomware en entornos no moviles
Referencia Enfoque de de-
tecci´on
Algoritmo de
ML utilizado
M´etrica de des-
empe˜no
Limitaciones
Arabo et
al., 2020
Detecci´on de
Ransomware
basado en el
comportamiento
de procesos de
ejecuci´on
Neural Net, Nea-
rest Neighbors,
Linear SVM,
RBF SVM, Gaus-
sian Process,
Decision Tree,
Random Forest,
AdaBoost, QDA,
Naive Bayes
Se emple´o como
m´etrica Accuracy
para comparar
los algoritmos
de ML, donde
Random Forest
fue el mejor con
una exactitud de
75,01 %
Dependencia de
umbrales y pa-
trones concretos
(extensiones,
frecuencia de API
calls), suscepti-
bles a evasi´on
Singh et al.,
2024
El trabajo propo-
ne RansoDetect
Fusion, un mode-
lo de detecci´on de
Ransomware-as-
a-Service (RaaS)
enfocado en datos
cifrados en la
nube
Arquitectura
principal: un
ensemble de Deep
Learning. Mode-
los individuales:
tres Multila-
yer Perceptrons
(MLPs) con
distinta funci´on
de activaci´on:
MLP1: ReLU
MLP2: SeLU
MLP3: ELU
RansoDetect
Fusion (ensem-
ble): Accuracy:
98,79 % Recall:
98,79 % Precision:
98,85 % F1-score:
98,80 % Mode-
los individuales:
MLP3: Accuracy,
Recall y F1 ≈
96,8 % MLP2: Ac-
curacy ≈ 96,97 %
MLP1: Accuracy
≈ 96,39 %
El desempe˜no
puede variar
frente a ataques
zero-day o nuevas
variantes de RaaS
no presentes en
los datasets
Contin´ua en la p´agina siguiente
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
190
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Tabla 2 – Continuaci´on de la p´agina anterior
Referencia Enfoque de de-
tecci´on
Algoritmo de
ML utilizado
M´etrica de des-
empe˜no
Limitaciones
Almashhadani
et al., 2022
El trabajo pro-
pone MFMCNS
(Multi-Feature
Multi-Classifier
Network-based
System), un siste-
ma de detecci´on
network-based
dise˜nado pa-
ra identificar
actividades de
ransomworm
en su fase de
propagaci´on
- Decision Tree
(Fine Tree) para
vista session-
based - Ensemble
(Bagged Tree)
para vista time-
based - Fusi´on
mediante majo-
rity voting
- Accuracy: 99,6–
99,9 % - Recall:
≈ 100 % - FPR:
˜0,002–0,004 - F1:
≈ 0,997
Dependencia de
la naturaleza del
dataset y fami-
lias estudiadas.
Alcance limita-
do: se centra en
ransomworms
propagados en
red, no en otras
variantes de
ransomware
Kok et al.,
2022
Detecci´on
de crypto-
ransomware en
la etapa anterior
al cifrado (pre-
cifrado) mediante
el Pre-Encryption
Detection Algo-
rithm (PEDA).
Combina la coin-
cidencia de firmas
(hash SHA-256) y
an´alisis din´amico
de APIs preci-
frado extra´ıdas
desde sandbox
Random Forest
(RF) entrenado
sobre secuencias
de API pre-
cifrado (con y sin
discretizaci´on)
Principalmente
Recuperaci´on
(Recall/Tasa
de verdaderos
positivos): 100 %
(80:20 split) y
99.9 % (10-fold
CV); tambi´en re-
portan Precisi´on,
F1-Score, MCC,
ROC y PRC
Dependencia de
APIs de Windows
para cifrado: si el
ransomware usa
c´odigo de cifrado
propio (sin Cry-
ptoAPI), PEDA
no lo detecta;
debe verse como
complemento, no
soluci´on ´unica.
´
Ambito estre-
cho: dise˜nado
para un tipo de
malware (crypto-
ransomware)
Contin´ua en la p´agina siguiente
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
191
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Tabla 2 – Continuaci´on de la p´agina anterior
Referencia Enfoque de de-
tecci´on
Algoritmo de
ML utilizado
M´etrica de des-
empe˜no
Limitaciones
Oh et al.,
2024
El trabajo in-
troduce volGPT,
una integraci´on
entre la herra-
mienta de an´alisis
de memoria
Volatility y un
Large Language
Model (LLM)
para asistir en
la triage forense
de procesos de
ransomware en
memoria RAM
El n´ucleo ML es
un Large Langua-
ge Model (LLM)
(basado en GPT
3.5), utilizado
para interpre-
tar la salida de
Volatility y gene-
rar evaluaciones
sobre procesos
sospechosos
Accuracy ge-
neral: 94,1 %
en clasificaci´on
de familias:
STOP/Djvu:
99 % Cerber:
93,8 % Locky:
91,9 % Tes-
laCrypt: 87,1 %
Triage efficiency:
10,4 % (es decir,
logra reducir
˜90 % de mues-
tras sin descartar
verdaderos positi-
vos)
Dependencia de
un LLM externo:
implica riesgos
de privacidad
y seguridad si
se emplea un
modelo alojado
en la nube
Contin´ua en la p´agina siguiente
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
192
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Tabla 2 – Continuaci´on de la p´agina anterior
Referencia Enfoque de de-
tecci´on
Algoritmo de
ML utilizado
M´etrica de des-
empe˜no
Limitaciones
Hernandez-
Jaimes et
al., 2024
Detecci´on tem-
prana basada en
an´alisis de archi-
vos y patrones de
comportamiento
para entornos
de Internet of
Medical Things
(IoMT)
Los vectores de
Nilsimsa finger-
prints son usados
como caracter´ısti-
cas principales.
Clasificadores
probados: Na¨ıve
Bayes (NB)
Support Vector
Machine (SVM)
Random Forest
(RF) k-Nearest
Neighbors (k-NN)
Decision Tree
(DT)
M´etricas evalua-
das: Accuracy,
Precision, Recall,
F1-score. Resul-
tados clave: El
uso de Nilsimsa
fingerprinting
mejorado mejor´o
el desempe˜no en
todos los clasifi-
cadores Random
Forest alcanz´o la
mayor precisi´on
global (≈ 96–97 %
accuracy, con F1
superior al 0,95)
SVM y k-NN
tambi´en mostra-
ron resultados
competitivos,
pero NB qued´o
rezagado
Evaluaci´on reali-
zada con un da-
taset limitado, sin
acceso a reposi-
torios amplios de
ransomware diri-
gido a IoMT
Contin´ua en la p´agina siguiente
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
193
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Tabla 2 – Continuaci´on de la p´agina anterior
Referencia Enfoque de de-
tecci´on
Algoritmo de
ML utilizado
M´etrica de des-
empe˜no
Limitaciones
Khan et al.,
2020
Propone
DNAact-Ran,
un motor de
“secuenciaci´on
de ADN digital”
para la detecci´on
de ransomware.
Se centra en
caracterizar el
software como
ransomware o
goodware a partir
de su “genoma
digital”, evitando
depender de fir-
mas tradicionales
que requieren un
ataque previo
para crear la
huella.
Active Learning
con regresi´on
lineal Random
Forest (RF).
Na¨ıve Bayes
(NB). Sequen-
tial Minimal
Optimization
(SMO)
M´etricas evalua-
das: Precisi´on,
Recall, F1, Ac-
curacy, TP y
FP rates Ac-
tive Learning:
87.9 % accu-
racy, superando
a AdaBoost
(83,2 %), Na¨ıve
Bayes (78,5 %) y
Decision Stump
(75,8 %)
Dataset relativa-
mente peque˜no
(solo ˜1,5K mues-
tras, de las cuales
300 usadas para
entrenamiento)
Contin´ua en la p´agina siguiente
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
194
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Tabla 2 – Continuaci´on de la p´agina anterior
Referencia Enfoque de de-
tecci´on
Algoritmo de
ML utilizado
M´etrica de des-
empe˜no
Limitaciones
Kabuye et
al., 2025
Detecci´on de ran-
somware basado
en inteligencia ar-
tificial explicable
y consciente de la
incertidumbre
Random Forest
(RF) Support
Vector Machine
(SVM) K-Nearest
Neighbors (KNN)
Deep Neural
Networks (DNN)
El sistema incor-
pora t´ecnicas de
XAI (Explainable
AI), como SHAP
(SHapley Additi-
ve exPlanations),
para interpretar
la importancia de
las caracter´ısticas
M´etricas utiliza-
das: Accuracy,
Precision, Re-
call, F1-score y
AUC Resultados
principales: Deep
Neural Networks
(DNN) alcan-
zaron el mejor
rendimiento: Ac-
curacy: 98,6 %
Precision: 98,4 %
Recall: 98,7 %
F1-score: 98,5 %
Aunque se logr´o
explicar las de-
cisiones, el costo
computacional de
las t´ecnicas de in-
terpretabilidad es
alto para desplie-
gues en tiempo
real
Al-
Hawawreh
et al., 2021
Modelo federa-
do asincr´onico
de detecci´on
de ransomware
orientado a entor-
nos de Internet
Industrial de las
Cosas (IIoT)
Random Forest
(RF) Support
Vector Machine
(SVM) Deci-
sion Tree (DT)
K-Nearest Neigh-
bors (KNN)
Naive Bayes (NB)
M´etricas utiliza-
das: Accuracy,
Precision, Recall
y F1-score Resul-
tados destacados:
Random Forest
obtuvo el mejor
desempe˜no: Ac-
curacy: 98,2 %
Precision: 97,9 %
Recall: 98,1 %
F1-score: 98,0 %
El modelo se va-
lid´o en entornos
simulados, no en
implementaciones
reales de IIoT
Contin´ua en la p´agina siguiente
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
195
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Tabla 2 – Continuaci´on de la p´agina anterior
Referencia Enfoque de de-
tecci´on
Algoritmo de
ML utilizado
M´etrica de des-
empe˜no
Limitaciones
Hill et al.,
2024
Clasificaci´on
de ransomwa-
re mediante el
monitoreo de
contadores de
rendimiento de
hardware (HPCs)
en un sistema f´ısi-
co no virtualizado
´
Arboles de de-
cisi´on Random
Forest K-Nearest
Neighbors (KNN)
Support Vector
Machine (SVM)
Naive Bayes
M´etricas repor-
tadas: Accuracy,
Recall, Precision,
y F1-score Ran-
dom Forest fue
el mejor modelo:
Accuracy: 97,3 %
Precision: 97,6 %
Recall: 97,3 %
F1-score: 97,4 %
Evaluaci´on reali-
zada en un ´unico
sistema no virtua-
lizado, lo que li-
mita la generali-
zaci´on
La Tabla 3 expone un an´alisis comparativo de los enfoques m´as recientes que emplean t´ecnicas de aprendizaje
autom´atico para la detecci´on de ransomware en dispositivos Android. En dicho an´alisis se subrayan elementos
centrales como las principales contribuciones, los m´etodos de clasificaci´on aplicados, los tipos de ransomware
considerados, los conjuntos de datos utilizados, las metodolog´ıas implementadas, los resultados alcanzados, as´ı
como las fortalezas y limitaciones inherentes a cada propuesta. [18]
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
196
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Tabla 3. Evaluaci´on de t´ecnicas de aprendizaje autom´atico de vanguardia para la detecci´on de ransomware de Android
Referencia Contribuci´on
importante
Tipos de
ransom-
ware
Conjunto
de datos
M´etodo Resultados Fortalezas
Farhan y
Salman,
2024
Aprendizaje
profundo para
la detecci´on de
ransomware en
Android con
un enfoque en
redes neurona-
les de avance
(FNN)
Simplocker,
LockerPin,
Double-
Locker,
ransomware
de tem´atica
policial,
Fusob
AndroZoo
(benigno),
Ransom-
Prober
(malicioso)
FNN usan-
do Keras
Sequential
con 3 capas
densamente
conectadas
Precisi´on
98,9 %,
F1 0,662,
Precisi´on
0,5, Recall
1,0
Alta precisi´on
y recall; apren-
dizaje a par-
tir de datos sin
procesar
Ahmed et
al., 2023
Uso de ML
y DL para
crear mode-
los eficientes,
precisos y
robustos para
clasificaci´on
binaria de
ransomware
10 tipos
diferentes
de ransom-
ware para
Android
Ransomware
de Android
DT, SVM,
KNN,
Conjun-
to, FNN,
TabNet
DT: Pre-
cisi´on
97,24 %,
Exactitud
98,50 %, F1
98,45 %
An´alisis
exhaustivo;
uso de data-
sets recientes
Sharma et
al., 2021
ML supervisa-
do con conjun-
tos, reducci´on
de dimensiona-
lidad y an´alisis
en GPU/CPU
Locker y
Crypto
Ransomwa-
re
RansomProber
(2721 mues-
tras) y
Andro-
Zoo (2000
benignas)
PCA +
Random
Forest
Precisi´on
99,67 %
Extracci´on
integral,
PCA, an´alisis
GPU/CPU
Contin´ua en la p´agina siguiente
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
197
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Tabla 3 – Continuaci´on de la p´agina anterior
Referencia Contribuci´on
importante
Tipos de
ransom-
ware
Conjunto
de datos
M´etodo Resultados Fortalezas
Oneil Vic-
toriano,
2018
ML con varios
clasificadores
HelDroid
(varios
tipos)
HelDroid DT, RF,
Gradient
Boost,
AdaBoost
Precisi´on
98,05 %;
DT 99,08 %
en dataset
transforma-
do
M´ultiples cla-
sificadores; al-
ta precisi´on
Faris et al.,
2020
M´aquina de
aprendizaje
extremo op-
timizada con
Salp Swarm
CryptoLocker,
WannaCry,
Petya, etc.
1000 apps
Android
Salp Swarm
+ Kernel
Extreme
Learning
Machine
Precisi´on,
exactitud y
recall 98 %
Alta precisi´on,
baja tasa FP
Hiba
Zuhair
Rasgos de
cl´uster h´ıbri-
do para la
seguridad de
smartphones
Genric.17.1762,
LockDroid,
Koler,
Pletor,
Simplocker
Hel-Droid,
Virus To-
tal, Google
Play Store,
Herramien-
ta APK
An´alisis
h´ıbrido
est´atico +
din´amico
con ML y
DL
Precisi´on
96,50 %
(DNN)
Evaluaci´on
hol´ıstica; clus-
tering h´ıbrido
Bagui y
Woods,
2021
Detecci´on
usando datos
de tr´afico de
red
Cargador,
Jisut, Ko-
ler, Locker-
pin, Pletor,
PornDroid,
RansomBo,
SVPeng,
Simplocker,
WannaLoc-
ker
CICAnMal2017DT, NB,
OneR +
selecci´on de
caracter´ısti-
cas
DT: Pre-
cisi´on
99,67 %,
Exactitud
99,68 %,
Recall
99,67 %, F1
99,67 %
Selecci´on de
caracter´ısticas
eficaz; alto
rendimiento
Contin´ua en la p´agina siguiente
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
198
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Tabla 3 – Continuaci´on de la p´agina anterior
Referencia Contribuci´on
importante
Tipos de
ransom-
ware
Conjunto
de datos
M´etodo Resultados Fortalezas
Samah e
Iman, 2019
Sistema est´ati-
co basado en
API para de-
tectar ransom-
ware en An-
droid
No especifi-
cado
Dataset
propio:
2959 ran-
somware,
500 benig-
nos
An´alisis
est´atico con
API
Precisi´on
97 %, re-
ducci´on
compleji-
dad 26 %
Reducci´on
de funcio-
nes mejora
rendimiento
Masum et
al., 2021
Marco basado
en selecci´on de
caracter´ısticas
con m´ultiples
clasificadores
ML
Casillero,
Cripto
Dataset
propio con
138.047
muestras
DT, RF,
NB, LR,
NN
RF: Preci-
si´on 99 ±
0,01, Recall
0,97 ± 0,03,
Precisi´on
0,99 ± 0,00
Selecci´on de
caracter´ısticas
integral; alta
precisi´on
Arabo et
al., 2020
Mecanismo
de detecci´on
basado en
an´alisis de
comporta-
miento de
procesos
ViraLock,
WannaCry,
Cerber,
WinLocker
Dataset
propio con
7 ransom-
wares
An´alisis de
procesos +
ML
Precisi´on
98,9 %,
FPR 1,5 %,
FNR 2,6 %
Alta precisi´on;
distingue entre
benigno y ran-
somware
Los modelos Extra Trees y Random Forest se caracterizan por ofrecer un desempe˜no consistente y equilibrado
en la mayor´ıa de las m´etricas evaluadas. De manera similar, Gradient Boosting y CatBoost muestran resultados
altamente competitivos. A su vez, K-Neighbors y Decision Tree mantienen un nivel de eficacia aceptable. Sin
embargo, al analizar el rendimiento global en clasificaci´on y la capacidad discriminativa, como se detalla en la
Tabla 4, los primeros modelos evidencian una superioridad m´as marcada [20].
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
199
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Tabla 4. Comparaci´on de rendimiento de la estrategia propuesta en diferentes algoritmos de aprendizaje autom´atico
Exactitud Precisi´on Recordar Puntuaci´on de F1 ROC-AUC
Bosque aleatorio 0,955 0,951 0,967 0,959 0,993
Impulso de gra-
diente
0,956 0,954 0,967 0,960 0,990
´
Arboles adiciona-
les
0,961 0,961 0,967 0,964 0,993
KVecinos 0,946 0,958 0,942 0,950 0,970
´
Arbol de decisio-
nes
0,925 0,926 0,936 0,931 0,924
CatBoost 0,956 0,954 0,967 0,960 0,993
Discusi´on
Enfoques
La investigaci´on evidencia una notable diversidad de enfoques, que van desde la monitorizaci´on del comporta-
miento en equipos individuales hasta el despliegue de arquitecturas distribuidas en entornos industriales. En
t´erminos generales, estos aportes pueden agruparse en tres l´ıneas: (1) soluciones basadas en host y red, (2)
modelos h´ıbridos y de ensembles, y (3) propuestas emergentes que explotan t´ecnicas no convencionales.
En la pr´ımera l´ınea, los sistemas basados en host se centran en identificar aplicaciones maliciosas a partir de
m´etricas de uso de recursos y llamadas a API en tiempo real [21]. Su principal fortaleza es la capacidad de
detector variantes zero-day, aunque su aplicaci´on pr´actica sigue limitada por la falta de m´etricas estandarizadas
que respalden los resultados. En paralelo, los enfocados en red han cobrado relevancia frente a amenazas como
los ransomworms, ya que permiten analizar distintas vistas del tr´afico y combinar clasificadores de manera
cooperativa. Un ejemplo es el modelo MFMCNS [22], capaz de identificar fases tempranas de propogaci´on
antes de la ejecuci´on del payload.
La segunda categor´ıa corresponde a estrategias h´ıbridas y de ensembles, dise˜nadas para supercar las limitacio-
nes de los modelos individuales. Singh et al. [23], por ejemplo, demuestran que la combinaci´on de perceptrones
multicapa con distintas funciones de activaci´on puede mejorar entre 2 y 3 % la precici´on y el F1-score, lo que
refuerza la robustez de estos esquemas. En la misma direcci´on, Kok et al. [24] plantean un enfoque pr´actico que
une firmas criptogr´aficas (SHA-256) con clasificaci´on de llamadas a API en la fase de pre-cifrado, alcanzando
un balance entre rapidez y capacidad de adaptaci´on frente a variantes desconocidas.
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
200
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
La tercera l´ınea re´une propuestas emergentes con un marcado car´acter interdisciplinario y orientado a dominios
cr´ıticos. Destacan, por ejemplo, DNAact-Ran [25], que incorpora conceptos de bioinform´atica y aprendizaje ac-
tivo; el uso de fingerprints tipo Nilsimsa en entornos m´edicos sensibles [26]; o el aprendizaje federado asincr´onico
aplicado a sistemas IIoT, con m´odulos de diagn´ostico basados en deep learning que resguardan la privacidad
de los datos [27]. M´as recientemente, se han explorado combinaciones de modelos generativos y explicables.
Entre ellas, volGPT [28], que integra an´alisis forense de memoria con LLMs para apoyar la clasificaci´on de
procesos sospechosos, y el marco propuesto por Kabuye et al. [29], que combina generaci´on sint´etica de datos,
estimaci´on de incertidumbre e interpretabilidad en un mismo pipeline. En paralelo, la detecci´on basada en
contadores de rendimiento de hardware (HPCs) ha surgido como una alternativa prometedora, al aprovechar
se˜nales de bajo nivel del procesador para reconocer patrones an´omalos incluso en variantes in´editas [30].
Adem´as la propuesta de un enfoque innovador que emplea algoritmos de aprendizaje autom´atico (como De-
cision Tree, Markov Test, K-nearest Neighbors (KNN), Kernel Trick y t´ecnicas de Deep Learning) para el
an´alisis de la entrop´ıa de archivos, entendida como la medida de aleatoriedad presente en ellos, con el fin de
identificar ransomware en sistemas de respaldo de manera eficiente. Este planteamiento ofrece una perspectiva
prometedora para la detecci´on temprana de ransomware, lo que podr´ıa contribuir a reducir significativamente
el impacto generado por este tipo de ataques [31].
T´ecnicas
Tras el an´alisis de los art´ıculos revisados, se identific´o que las t´ecnicas de aprendizaje autom´atico aplicadas
a la detecci´on de ransomware han evolucionado hacia una notable diversidad de estrategias. Entre las m´as
utilizadas se encuentran los clasificadores tradicionales, tales como Random Forest, Support Vector Machines
y k-Nearest Neighbors, que contin´uan emple´andose debido a su simplicidad y eficiencia en escenarios con
recursos limitados. Sin embargo, varios estudios coinciden en que estos m´etodos presentan dificultades para
enfrentar variantes polim´orficas u ofuscadas, lo que ha impulsado la transici´on hacia t´ecnicas m´as sofisticadas.
Un hallazgo importante es la creciente presencia de redes neuronales profundas, en particular los perceptrones
multicapa y las arquitecturas de deep learning, que han mostrado mejoras en m´etricas como la precisi´on y el
F1-score. Singh et al. [23], por ejemplo, demostraron que la combinaci´on de distintas funciones de activaci´on
dentro de un esquema ensemble logr´o un rendimiento superior respecto a modelos individuales. Este tipo de
resultados refuerza la idea de que las t´ecnicas basadas en aprendizaje profundo tienen un mayor potencial para
capturar patrones complejos en los datos, sobre todo en fases tempranas de los ataques.
De manera complementaria, algunos autores han optado por combinar t´ecnicas de diferente naturaleza. Un
ejemplo claro es el trabajo de Kok et al. [24], quienes integraron firmas criptogr´aficas con modelos de clasifica-
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
201
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
ci´on sobre llamadas a APIs, logrando un equilibrio entre detecci´on r´apida y capacidad de adaptaci´on. Este tipo
de aproximaciones h´ıbridas evidencian que no existe una t´ecnica ´unica capaz de resolver todos los escenarios,
sino que la combinaci´on de m´etodos puede resultar m´as efectiva frente a la diversidad de amenazas actuales.
Otro aspecto relevante es el inter´es por metodolog´ıas innovadoras que ampl´ıan los l´ımites de las t´ecnicas
tradicionales. En este sentido, se han explorado propuestas que incluyen desde el uso de fingerprints como
Nilsimsa hasta la aplicaci´on de modelos generativos para la creaci´on de datos sint´eticos que permitan entrenar
de forma m´as balanceada los clasificadores. Asimismo, el empleo de m´etodos para cuantificar la incertidumbre
y mejorar la interpretabilidad, como Monte Carlo Dropout o SHAP, refleja una preocupaci´on creciente por
dotar de mayor transparencia y confiabilidad a los modelos.
Se evidencia que las t´ecnicas de aprendizaje autom´atico aplicadas a la detecci´on de ransomware no se limitan
ya a los algoritmos cl´asicos, sino que tienden hacia arquitecturas profundas, h´ıbridas e interpretables, en un
esfuerzo por responder a los retos que plantean las variantes emergentes y los entornos cr´ıticos en los que estas
amenazas se manifiestan.
Tendencias
Los estudios revisados muestran que la investigaci´on sobre detecci´on de ransomware est´a avanzando hacia
soluciones m´as r´apidas, autom´aticas y confiables. Una de las principales tendencias es lograr que los sistemas
detecten la amenaza en apenas unos segundos y que, adem´as, puedan activar respuestas inmediatas dentro
de esquemas de seguridad m´as estrictos, como el modelo zero-trust [21]. Esto refleja un inter´es por no solo
identificar el ataque, sino tambi´en contenerlo antes de que cause da˜nos graves.
Otra l´ınea clara es la apuesta por enfoques h´ıbridos, que combinan distintas fuentes de informaci´on (como
datos del equipo y del tr´afico de red) con m´etodos de aprendizaje autom´atico y profundo. Estos enfoques
buscan ser m´as resistentes frente a variantes nuevas del ransomware, incluso aquellas que nunca han sido vistas
antes. Tambi´en se exploran esquemas de aprendizaje distribuido o federado, que permiten entrenar modelos
sin necesidad de centralizar todos los datos, reduciendo riesgos de privacidad y mejorando la adaptaci´on en
entornos como la nube o el internet industrial de las cosas [27].
De igual forma, existe un creciente inter´es en hacer que los modelos sean explicables y transparentes, de modo
que los analistas de seguridad puedan entender por qu´e un sistema tom´o cierta decisi´on. Esto es clave para
generar confianza y facilitar la adopci´on de estas soluciones en escenarios reales [29]. Asimismo, comienzan a
aparecer propuestas que aprovechan nuevas se˜nales de detecci´on, como el uso de contadores de hardware o
t´ecnicas que analizan patrones en secuencias de tiempo, con el fin de anticiparse mejor a intentos de evasion
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
202
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
[24], [30].
Finalmente, varios autores coinciden en la necesidad de estandarizar las evaluaciones con bases de datos
p´ublicas y escenarios m´as realistas, como el an´alisis en tiempo real o en ambientes de producci´on [22]. Esto
permitir´a comparar enfoques de manera justa y avanzar hacia soluciones que sean realmente ´utiles y aplicables
en la pr´actica cotidiana. En conjunto, las tendencias apuntan a un futuro en el que la detecci´on de ransomware
ser´a m´as r´apida, confiable y f´acil de integrar en los sistemas de ciberseguridad existentes.
Conclusiones
El an´alisis realizado permiti´o establecer que el aprendizaje autom´atico constituye una de las herramientas m´as
prometedoras para la detecci´on de ransomware, al superar las limitaciones de los m´etodos tradicionales basados
en firmas y ofrecer mayor capacidad de adaptaci´on frente a variantes emergentes. Los resultados evidencian que
algoritmos como Random Forest, Gradient Boosting y redes neuronales profundas destacan por su precisi´on
y robustez, especialmente cuando se aplican en esquemas h´ıbridos o combinados con t´ecnicas de inteligencia
artificial explicable.
Asimismo, se identific´o que la tendencia de la investigaci´on se orienta hacia soluciones que integren rapidez,
confiabilidad y transparencia, con aplicaciones en entornos cr´ıticos como la nube, IoT industrial y sistemas
m´edicos. Este panorama confirma que no existe un ´unico m´etodo capaz de abordar la complejidad del ran-
somware, sino que la combinaci´on de modelos y el desarrollo de enfoques innovadores representan el camino
m´as viable para fortalecer la ciberseguridad.
Finalmente, el trabajo contribuye a consolidar una visi´on integrada del estado actual de la detecci´on de
ransomware basada en aprendizaje autom´atico, lo que abre la posibilidad de dise˜nar estrategias m´as efectivas
y adaptativas. Futuras investigaciones deber´ıan centrarse en la validaci´on de estos enfoques en escenarios reales,
con bases de datos estandarizadas y sistemas en tiempo real, a fin de garantizar su aplicabilidad pr´actica y su
impacto positivo en la protecci´on de infraestructuras digitales.
Contribuci´on de Autor´ıa
Avila Reyes Luis Fernando: Conceptualizaci´on, Investigaci´on, Metodolog´ıa, An´alisis formal, Validaci´on, Vi-
sualizaci´on, Redacci´on - borrador original.
Galvez Carrillo Kevin Eduardo: Conceptualizaci´on, Investigaci´on, Metodolog´ıa, An´alisis formal, Validaci´on,
Visualizaci´on, Redacci´on - borrador original.
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
203
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
Mendoza De Los Santos Alberto Carlos: Supervisi´on, Administraci´on de proyectos, Escritura, revisi´on y edici´on.
Referencias
[1] K. Basu, P. Krishnamurthy, F. Khorrami, and R. Karri, “A theoretical study of hardware performance
counters-based malware detection,” IEEE Transactions on Information Forensics and Security, vol. 15,
pp. 512–525, 2019.
[2] B. A. S. Al-rimy, M. A. Maarof, and S. Z. M. Shaid, “Ransomware threat success factors, taxonomy, and
countermeasures: A survey and research directions,” Computers & Security, vol. 74, pp. 144–166, 2018.
[3] D. M. Nicol, “The ransomware threat to energy-delivery systems,” IEEE Security & Privacy, vol. 19,
no. 3, pp. 24–32, 2021.
[4] C. Mingcan, F. Jiang, and R. Doss, “Ransoguard: un marco basado en rnn que aprovecha las api sensibles
previas al ataque para la detecci´on temprana de ransomware,” Computadoras y seguridad, vol. 150, p.
104293, 2025.
[5] M. Rele, J. Samuel, D. Patil, and U. Krishnan, “Explorando la detecci´on de ransomware basada en
inteligencia artificial y aprendizaje autom´atico,” Procedia Ciencias de la Computaci´on, vol. 252, pp. 548–
556, 2025.
[6] P. O’Kane, S. Sezer, and D. Carlin, “Evolution of ransomware,” IET Networks, vol. 7, no. 5, pp. 321–327,
2018.
[7] E. Berrueta, D. Morato, E. Maga˜na, and M. Izal, “A survey on detection techniques for cryptographic
ransomware,” IEEE Access, vol. 7, pp. 144 925–144 944, 2019.
[8] B. Cui, Y. Hu, T. Qub, Y. He, and L. Sun, “Un nuevo enfoque de detecci´on de ransomware de d´ıa cero
basado en cvae y 1d-cnn,” Computaci´on de alta confianza, vol. 5, no. 4, p. 100338, 2025.
[9] C. Mingcan, X. Deng, F. Jiang, and R. Doss, “Zero-ran sniff: un m´etodo de detecci´on temprana de
ransomware de d´ıa cero basado en el aprendizaje de disparo cero,” Computadoras y seguridad, vol. 142,
p. 103849, 2024.
[10] J. Von, C. Feng, A. Huertas, R. Oles, G. Bovet, and B. Stiller, “Guardfs : un sistema de archivos para la
detecci´on y mitigaci´on integradas de ransomware basado en linux,” Revista de Seguridad de la Informaci´on
y Aplicaciones, vol. 93, p. 104078, 2025.
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
204
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
[11] C. Beaman, A. Barkworth, T. D. Akande, S. Hakak, and M. K. Khan, “Ransomware: Recent advances,
analysis, challenges and future research directions,” Computers & Security, vol. 111, p. 102490, 2021.
[12] S. Razaulla, C. Fachkha, C. Markarian, A. Gawanmeh, W. Mansoor, B. Fung, and C. Assi, “The age of
ransomware: A survey on the evolution, taxonomy, and research directions,” IEEE Access, vol. 11, pp.
40 698–40 723, 2023.
[13] J. Ispahany, R. Islam, Z. Islam, and A. Khan, “Detecci´on de ransomware mediante aprendizaje autom´atico:
una revisi´on, limitaciones de la investigaci´on y futuras direcciones,” IEEE Xplore, vol. 12, pp. 68 785–
68 813, 2024.
[14] I. Almomani, R. Qaddoura, M. Habib, S. Alsoghyer, A. A. Khayer, I. Aljarah, and H. Faris, “Detecci´on
de ransomware en android basada en un enfoque evolutivo h´ıbrido en el contexto de datos altamente
desequilibrados,” IEEE Access, vol. 9, pp. 57 674–57 691, 2021.
[15] A. Gajjar, P. Kashyap, A. Aysu, P. Franzon, Y. Choi, C. Cheng, G. Pedretti, and J. Ignowski, “Rd-
faxid: Detecci´on de ransomware con xgboost acelerado por fpga,” ACM Digital Library, vol. 17, no. 4, pp.
1936–7406, 2024.
[16] A. Alvi and Z. Jalil, “Xrguard: Un enfoque independiente del modelo para la detecci´on de ransomware
mediante an´alisis din´amico e ia explicable,” IEEE Access, vol. 13, pp. 53 159–53 170, 2025.
[17] M. J. Page, J. E. McKenzie, P. M. Bossuyt, I. Boutron, T. C. Hoffmann, C. D. Mulrow, L. Shamseer,
J. M. Tetzlaff, E. A. Akl, S. E. Brennan, R. Chou, J. Glanville, J. M. Grimshaw, and A. Hr´objartsson,
“Declaraci´on prisma 2020: una gu´ıa actualizada para la publicaci´on de revisiones sistem´aticasthe prisma
2020 statement: an updated guideline for reporting systematic reviews,” Revista Espa˜nola de Cardiolog´ıa,
vol. 74, no. 11, pp. 790–799, 2021.
[18] A. Hossain, T. Hasan, F. Ahmed, S. Hasib, M. Hasan, and A. Haque, “Hacia una detecci´on superior de
ransomware en android: una perspectiva de aprendizaje autom´atico conjunto,” Ciberseguridad y aplica-
ciones, vol. 1, p. 100076, 2025.
[19] M. Azeem, D. Khan, S. Iftikhar, S. Bawazeer, and M. Alzahrani, “An´alisis y comparaci´on de la eficacia
de la detecci´on de malware: un estudio de enfoques de aprendizaje autom´atico,” Heliyon, vol. 10, no. 1,
p. 23574, 2024.
[20] M. Sibtain, M. Hussain, Q. Riaz, S. Qadir, N. Riaz, and K.-H. Jung, “Detecci´on de ransomware para
android robusta y ligera mediante an´alisis de comportamiento y reducci´on de caracter´ısticas,” Compu-
tadoras, materiales y continua, vol. 84, no. 3, pp. 5177–5199, 2025.
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
205
Revista Innovaci´on y Software
Vol. 7, No. 1, Mes Marzo - Agosto, 2026
ISSN: 2708-0935
P´ag. 183-206
https://revistas.ulasalle.edu.pe/innosoft
[21] A. Arabo, R. Dijoux, T. Poulain, and G. Chevalier, “Detecting ransomware using process behavior analy-
sis,” Procedia Computer Science, vol. 168, pp. 289–296, 2020.
[22] A. Almashhadani, D. Carlin, M. Kaiiali, and S. Sezer, “Mfmcns: a multi-feature and multi-classifier
network-based system for ransomworm detection,” Computers & Security, vol. 121, p. 102860, 2022.
[23] A. Singh, H. A. Abosaq, S. Arif, Z. Mushtaq, M. Irfan, G. Abbas, A. Ali, and A. A. Mazroa, “Securing
cloud-encrypted data: Detecting ransomware-as-a-service (raas) attacks through deep learning ensemble,”
Computers, Materials & Continua, vol. 79, no. 1, pp. 857–873, 2024.
[24] S. H. Kok, A. Abdullah, and N. Z. Jhanjhi, “Early detection of crypto-ransomware using pre-encryption
detection algorithm,” Journal of King Saud University - Computer and Information Sciences, vol. 34,
no. 5, pp. 1984–1999, 2022.
[25] F. Khan, C. Ncube, L. K. Ramasamy, S. Kadry, and Y. Nam, “A digital dna sequencing engine for
ransomware detection using machine learning,” IEEE Access, vol. 8, pp. 119 710–119 719, 2020.
[26] M. L. Hernandez-Jaimes, A. Mart´ınez-Cruz, K. A. Ram´ırez-Guti´errez, and E. Guevara-Mart´ınez, “En-
hancing machine learning approach based on nilsimsa fingerprinting for ransomware detection in iomt,”
IEEE Access, vol. 12, pp. 153 886–153 897, 2024.
[27] M. Al-Hawawreh, E. Sitnikova, and N. Aboutorab, “Asynchronous peer-to-peer federated capability-based
targeted ransomware detection model for industrial iot,” IEEE Access, vol. 9, pp. 148 738–148 755, 2021.
[28] D. B. Oh, D. Kim, D. Kim, and K. H. Kim, “volgpt: Evaluation on triaging ransomware process in memory
forensics with large language model,” Forensic Science International Digital Investigation, vol. 49, p.
301756, 2024.
[29] H. Kabuye, B. Issac, R. Yumlembam, and J. Neera, “Explainable and uncertainty aware ai-based ran-
somware detection,” IEEE Access, vol. 13, pp. 106 573–106 589, 2025.
[30] J. E. Hill, T. O. Walker, J. A. Blanco, R. W. Ives, R. Rakvic, and B. Jacob, “Ransomware classification
using hardware performance counters on a non-virtualized system,” IEEE Access, vol. 12, pp. 63 865–
63 884, 2024.
[31] U. Tariq, “Combatir el ransomware en entornos de iot industriales activados por zephyros,” Heliyon,
vol. 10, no. 9, p. e29917, 2024.
Universidad La Salle, Arequipa, Per´u
facin.innosoft@ulasalle.edu.pe
206
