El ransomware es un tipo de malware que aprovecha el cifrado para llevar a cabo sus ataques. Su evolución continua subraya su naturaleza dinámica y siempre cambiante. Las variantes en evolución utilizan diferentes líneas de tiempo para lanzar ataques y los asocian con patrones de ataque variables. Detectar variantes en evolución temprana también conduce a patrones de ataque incompletos. Para desarrollar un modelo de detección temprana para ataques de ransomware con desplazamiento de comportamiento, un modelo de detección debe ser capaz de detectar variantes de ransomware en evolución. Para considerar el problema del desplazamiento de comportamiento de los ataques de ransomware, un modelo debe ser capaz de generalizar exhaustivamente el comportamiento de características significativas. Las soluciones existentes se desarrollaron utilizando ya sea un patrón de ataque completo o una fracción de un patrón de ataque. Asimismo, también fueron diseñadas utilizando datos históricos, lo que puede hacer que estas soluciones estén desactualizadas o sufran de baja precisión para los ataques de ransomware con desplazamiento de comportamiento. Los modelos de detección creados utilizando una fracción de los datos previos al cifrado tampoco pueden generalizar el comportamiento de ataque de las variantes de ransomware en evolución. Existe la necesidad de desarrollar un modelo de detección temprana que pueda detectar variantes de ransomware en evolución con diferentes fases previas al cifrado. El modelo propuesto puede detectar las variantes de ransomware en evolución al generalizar exhaustivamente patrones de ataque significativos.