Los ataques de ransomware han surgido como una amenaza significativa para los datos y sistemas críticos, extendiéndose más allá de las computadoras tradicionales a dispositivos móviles y sistemas ciberfísicos/IoT. Este estudio aborda la necesidad de detectar de manera temprana el comportamiento del ransomware cuando solo se dispone de datos limitados. Un paso importante para entrenar un modelo de detección de este tipo es elegir un conjunto de características relevantes y no redundantes, lo cual es un desafío cuando los datos son escasos. Por lo tanto, este documento propone una técnica de selección de información mutua incremental como un método para seleccionar las características relevantes en las primeras etapas de los ataques de ransomware. Introduce una técnica de selección de características adaptativa que procesa los datos en lotes más pequeños y manejables. Este enfoque reduce la carga computacional y mejora la capacidad del sistema para adaptarse rápidamente a la llegada de nuevos datos, lo que lo hace particularmente adecuado para ataques en curso durante las fases iniciales del ataque. Los resultados experimentales enfatizan la importancia de la técnica propuesta en la estimación de la significancia de las características en escenarios de datos limitados. Tales resultados subrayan la importancia del enfoque incremental como una medida proactiva para abordar los desafíos crecientes planteados por el ransomware.