Ransomware 2025: Estadísticas, Tendencias e Incidentes Principales | Gridinsoft
Gridinsoft Logo

Ransomware 2025: Estadísticas, Tendencias e Incidentes Principales

By Brendan Smith, Analista de Ciberseguridad en Gridinsoft (Más de 15 años en investigación de malware)
Last updated: December 03, 2025

Análisis completo del panorama de ransomware en 2025, incluyendo las últimas estadísticas (4,701 incidentes), tendencias emergentes (ataques generados por IA, triple extorsión), tácticas de ataque, cronología de incidentes importantes y estrategias de protección.

  • Saltar a:
» Ransomware
¿Qué es el Ransomware?

¿Qué es el Ransomware?

Probablemente sea la peor pesadilla descubrir que los archivos de su PC están cifrados. Estaba revisando su correo y haciendo clic en los archivos adjuntos para ver qué contenían. El archivo extraño, que no hacía más que ofrecer habilitar macros, no parecía sospechoso. Pero de repente, menos de 15 minutos después de abrir ese documento, ve que todos los archivos en su PC tienen extensiones extrañas, y al menos un archivo readme.txt está dentro de cada carpeta. ¿Cómo sucedió?

La definición corta de ransomware está oculta en su nombre, al igual que en muchos otros virus. El "software de rescate" es un programa que se inyecta en su computadora, cifra sus archivos y luego le pide que pague el rescate para recuperar sus archivos. Algunos ejemplos de ransomware pueden amenazar a sus víctimas con eliminar sus archivos o publicar datos confidenciales si no pagan el rescate. Si bien el primer peligro es una mentira al 100%, la segunda tesis puede ser real, ya que el ransomware a menudo se propaga con spyware o ladrones de información.

Para cada víctima, el ransomware genera una clave en línea única. Esa clave se almacena en el servidor mantenido por los ciberdelincuentes. Si el virus no puede conectarse a ese servidor, cifra los archivos con la clave fuera de línea, que se almacena localmente en la máquina cifrada. La cantidad de claves fuera de línea es limitada. Por lo tanto, tiene una clave de descifrado en común con varias otras víctimas.

Desafortunadamente, no hay una garantía del 100% de recuperar sus archivos. Si tiene suerte y el ransomware utiliza la clave fuera de línea, puede descifrar sus datos mucho más rápido. No obstante, obtener las claves es bastante largo y es posible que deba esperar varias semanas. La aplicación de descifrado, que se supone que se utilizará para el descifrado de archivos, recibirá la actualización con la clave que le corresponde tan pronto como los analistas la encuentren.

Las claves en línea son mucho más difíciles de resolver. Dado que cada clave es única, es posible que espere meses. Es probable que los distribuidores de ransomware sean atrapados y obligados a descubrir todas las claves que tienen en los servidores. Otro caso en el que todas las claves se liberan al público es cuando los creadores de ransomware deciden cerrar su actividad maliciosa. Tal situación ocurrió solo una vez: en 2018, cuando los desarrolladores de GandCrab afirmaron que ganaron 2 mil millones de dólares y suspendieron su actividad.

Ransomware en 2025: Estadísticas y Resumen

El panorama de amenazas de ransomware en 2025 ha alcanzado niveles sin precedentes de sofisticación e impacto. Basado en un análisis exhaustivo de incidentes de enero a septiembre de 2025, la comunidad de ciberseguridad está presenciando una escalada dramática tanto en la frecuencia como en la gravedad de los ataques de ransomware.

Estadísticas Clave (Enero–Septiembre 2025)

  • 4,701 incidentes reportados globalmente (+46% en comparación con el mismo período en 2024)
  • 2,332 ataques (50%) dirigidos a infraestructura crítica (+34% interanual)
  • Estados Unidos representa el 21% de todos los casos globales, seguido por Canadá (8%) y el Reino Unido (6%)
  • $2 millones demanda promedio de rescate (aumentó de $400,000 en 2023)
  • $1.53 millones costo promedio de recuperación excluyendo el pago del rescate (–44% desde 2024)
  • Solo el 40% de las víctimas involucraron a las fuerzas del orden (bajó del 52% en 2024)
  • 49% de las víctimas con datos cifrados pagaron el rescate (bajó del 70% en 2024)
Vectores de Entrada de Ataques de Ransomware - 2025 Exploits de Vulnerabilidad (32%) Credenciales Robadas (23%) Correos de Phishing (18%) Otros Vectores (27%) Fuente: Estadísticas de Ransomware de Bright Defense 2025

El ecosistema de ransomware ha evolucionado significativamente en 2025, con actores de amenazas adoptando tácticas cada vez más agresivas y tecnológicamente avanzadas. Aquí están las tendencias más significativas que dan forma al panorama actual de amenazas:

Tendencia Detalles
Ataques a Infraestructura Crítica El sector manufacturero vio un aumento del +61% en ataques, con salud, energía, transporte y finanzas también experimentando un crecimiento significativo. Estos sectores son objetivos preferidos debido a la urgencia operativa y la mayor disposición a pagar.
Cifrado Acelerado El tiempo medio desde la brecha inicial hasta el despliegue del ransomware ha bajado a solo 5 días (anteriormente 11 días). Algunos grupos pueden cifrar sistemas a las pocas horas de obtener acceso.
Triple Extorsión El 87% de los ataques ahora combinan el cifrado de datos con amenazas de exfiltración, ataques DDoS y acoso directo a empleados y sus familias a través de llamadas telefónicas y mensajes SMS.
Ataques Mejorados por IA Grupos como Black Basta y FunkSec están aprovechando Modelos de Lenguaje Grande (LLMs) para generar correos electrónicos de phishing sofisticados y automatizar el desarrollo de exploits, haciendo que los ataques sean más convincentes y difíciles de detectar.
Explotación de la Cadena de Suministro El grupo de ransomware Clop explotó vulnerabilidades de día cero en Oracle E-Business Suite, afectando a grandes organizaciones, incluidas Cox Enterprises y Dartmouth College, a través del compromiso de la cadena de suministro.
Armamento de Herramientas Legítimas Las herramientas de Gestión y Monitoreo Remoto (RMM) como TeamViewer y AnyDesk están siendo abusadas para el robo físico simultáneo de carga y el despliegue de ransomware, eludiendo los controles de seguridad tradicionales.
Disminución de Pagos de Rescate Solo el 49% de las víctimas con datos cifrados optaron por pagar rescates en 2025, frente al 70% en 2024, ya que las organizaciones adoptan mejores estrategias de respaldo y se niegan a financiar empresas criminales.
Tiempo Medio de Permanencia 5 Días Tiempo desde la brecha inicial hasta el cifrado.
Doble Extorsión 87% Ataques que involucran robo de datos y cifrado.
Triple Extorsión 29% Añade ataques DDoS o acoso a clientes.
Demanda Promedio $2.73M Aumento significativo desde $2M a principios de 2025.
Ventana de Respuesta 4 Mins Retraso entre el cifrado y la nota de rescate.
Exfiltración de Datos 1.2 TB Datos sensibles robados en menos de 3 horas.

Tácticas de Ataque y Vectores de Entrada

Comprender cómo los operadores de ransomware obtienen acceso inicial y ejecutan sus ataques es crucial para desarrollar defensas efectivas. En 2025, los atacantes están empleando una mezcla sofisticada de exploits técnicos e ingeniería social.

Vectores de Entrada Primarios

  • 32% — Explotación de vulnerabilidades (dispositivos VPN sin parches, sistemas de gestión de contenido obsoletos)
  • 23% — Credenciales robadas (obtenidas a través de ladrones de información y campañas de phishing)
  • 18% — Correos de phishing (aumentó del 11% en 2024, reflejando contenido mejorado generado por IA)
  • Técnicas Living-off-the-Land (LotL) — Abuso de utilidades integradas de Windows y BYOVD (Traiga su Propio Controlador Vulnerable) para deshabilitar soluciones de detección y respuesta de punto final (EDR)
  • Ataques con herramientas legítimas — Explotación de soluciones RMM y servicios de almacenamiento en la nube (OneDrive, Dropbox) para el despliegue de ransomware sin binarios de malware tradicionales

Tácticas Avanzadas Empleadas en 2025

Táctica Descripción Grupos de Amenaza
Explotación de Día Cero en ERP Empresarial Apuntando a vulnerabilidades en Oracle E-Business Suite y otros sistemas de planificación de recursos empresariales para comprometer redes corporativas enteras y exfiltrar datos sensibles. Clop
Phishing de Voz con Clonación de Voz por IA Llamadas telefónicas que suplantan al personal de soporte de TI utilizando generación de voz sintética para convencer a los empleados de proporcionar códigos de autenticación multifactor (MFA) y credenciales. Scattered Spider
Campañas de Phishing Mejoradas por IA Generación de correos electrónicos de phishing y archivos adjuntos maliciosos altamente personalizados y contextualmente relevantes utilizando servicios similares a ChatGPT, mejorando drásticamente las tasas de éxito. Black Basta, FunkSec
Extorsión DDoS Ataques distribuidos de denegación de servicio simultáneos dirigidos a la infraestructura de la víctima para aumentar la presión y acelerar el pago del rescate durante eventos de cifrado. LockBit 4.0
Acoso a Empleados Amenazas directas a través de SMS y llamadas telefónicas a empleados y sus familias, publicación de direcciones particulares y otra información personal para coaccionar a las organizaciones a pagar. Múltiples grupos

Incidentes Principales de Ransomware en 2025

2025 ha visto varios ataques de ransomware de alto perfil que afectan a infraestructura crítica, sistemas de salud, instituciones educativas y grandes corporaciones en todo el mundo. La siguiente cronología destaca los incidentes más significativos:

Fecha Organización / País Grupo de Amenaza Impacto y Demanda de Rescate
24 de enero Big Cheese Studio (Polonia) 0mid16B Fuga de código fuente con demanda de rescate de $25,000
27 de enero – 6 de febrero Episource LLC (EE. UU.) No revelado 5.4 millones de registros médicos expuestos; violación de Información de Salud Protegida (PHI)
Enero Sunflower Medical Group (EE. UU.) Rhysida 220,968 archivos médicos de pacientes comprometidos; rescate de $800,000
Enero Registro de la Propiedad (Eslovaquia) No revelado Transacciones inmobiliarias paralizadas durante 2 semanas
Enero DEphoto (Reino Unido) 0mid16B 555,000 clientes + 16,000 tarjetas de pago comprometidas; fotos de niños expuestas
23 de marzo Aeropuerto Int. de Kuala Lumpur (Malasia) Qilin Sistemas de equipaje y embarque fuera de línea por más de 10 horas; demanda de rescate de $10 millones
Abril NASCAR (EE. UU.) Medusa Números de Seguridad Social de fanáticos filtrados; rescate de $4 millones
Abril DaVita Healthcare (EE. UU.) Interlock 20 TB de datos robados afectando a 2.7 millones de pacientes; $13.5 millones en pérdidas
Julio Ingram Micro (Global) SafePay Fuga de datos de clientes de 3.5 TB; pérdida de ingresos de $136 millones por día de inactividad
Agosto Administración de Tránsito de Maryland (EE. UU.) Rhysida Información personal de empleados expuesta; 30 BTC ($3.4 millones) demandados
26 de noviembre OnSolve / CodeRED (EE. UU.) Inc Sistema de alerta de emergencia para más de 12 estados comprometido; información de contacto filtrada
28 de noviembre Asahi (Japón) Qilin 1.5 millones de clientes afectados; operaciones de la cervecería detenidas
28 de noviembre Upbit (Corea del Sur) Lazarus $30.4 millones en criptomonedas robados
Diciembre PowerSchool (EE. UU.) No revelado 62 millones de registros de estudiantes comprometidos; intentos de extorsión repetidos dirigidos a distritos escolares

Distribución Geográfica e Industrial

Los ataques de ransomware en 2025 continúan mostrando patrones geográficos y sectoriales distintos, con ciertas regiones e industrias soportando un riesgo desproporcionado.

Distribución Geográfica (Enero–Septiembre 2025)

Región Cuota de Incidentes Globales Industrias Más Atacadas
América del Norte 46% Manufactura, Salud, Educación
Europa 24% Servicios Profesionales, Comercio Minorista, Gobierno
Asia-Pacífico 10% Finanzas, Logística
Oriente Medio y África 4% Energía, Gobierno
Distribución Global de Ransomware por Región - 2025 América del Norte 46% Europa 24% Otras Regiones 16% Asia-Pacífico 10% Oriente Medio y África 4% 0% 50% Fuente: Estadísticas de Ransomware de Bright Defense 2025

Industrias Más Atacadas

  • Manufactura — 660 ataques
  • Bienes Raíces — 553 ataques
  • Servicios Profesionales — 487 ataques
  • Salud — Aumento significativo debido a la naturaleza crítica de las operaciones
  • Energía y Transporte — Objetivos de infraestructura crítica

Etapas del Ataque de Ransomware Moderno – 2025

El ciclo de vida del ataque de ransomware ha evolucionado significativamente. Los actores de amenazas modernos operan con precisión militar, siguiendo una línea de tiempo estructurada que los equipos de seguridad pueden cazar e interrumpir. Comprender estas fases es crítico para implementar medidas defensivas efectivas.

Fase 0 – Adquisición de Objetivos

Antes de que comience cualquier ataque técnico, los actores de amenazas realizan un reconocimiento exhaustivo y una selección de objetivos:

  • Reconocimiento Impulsado por IA: Herramientas de escaneo automatizadas clasifican a los objetivos potenciales por "puntuación de pago", analizando los ingresos de la empresa, la cobertura de seguro cibernético, las operaciones críticas y la probabilidad de pago basada en datos financieros públicos e historial de brechas.
  • Adquisición de Acceso: Compra de credenciales VPN comprometidas, cuentas de Outlook Web Access (OWA), puertas de enlace Citrix o exploits de día cero de Corredores de Acceso Inicial (IABs) en mercados de la darknet.

Fase 1 – Punto de Apoyo Inicial

Establecimiento de presencia persistente en el entorno objetivo:

  • Vectores de Entrega: Campañas de phishing, actualizaciones de software falsas envenenadas por SEO, unidades USB entregadas por correo o explotación directa de vulnerabilidades orientadas a Internet.
  • Técnicas de Ejecución: Binarios living-off-the-land (LOLBAS), ofuscación de PowerShell, herramientas legítimas del sistema abusadas con fines maliciosos. Los implantes son cargadores ligeros para evadir la detección.
  • Mecanismos de Persistencia: Tareas programadas, Objetos de Política de Grupo (GPO), runbooks de automatización en la nube o suscripciones a eventos WMI para sobrevivir a reinicios y mantener el acceso.

Fase 2 – Expansión Interna

El tiempo medio de permanencia en 2025 es de solo 5 días desde el acceso inicial hasta el despliegue del cifrado:

  • Comando y Control (C2): Tráfico HTTPS con frente CDN, domain fronting a través de servicios legítimos en la nube (Azure, CloudFlare) o recursos de computación perimetral para mezclarse con el tráfico normal.
  • Operaciones de Descubrimiento: Mapeo de Active Directory, inventario de sistemas de respaldo (crítico para el sabotaje), reconocimiento de IAM en la nube e identificación de repositorios de datos de gran valor.
  • Escalada de Privilegios: Ataques de Kerberoasting, explotación de Servicios de Certificados de Active Directory (ADCS), ataques de repetición de tokens o exploits de escalada de privilegios de día cero.
  • Movimiento Lateral: Conexiones RDP, PowerShell remoting (PS-Remoting) o herramientas de Gestión y Monitoreo Remoto (RMM) armadas como TeamViewer, AnyDesk y ScreenConnect.

Fase 3 – Preparación Previa al Impacto

Fase de sabotaje crítico diseñada para asegurar el máximo daño y prevenir la recuperación:

  • Exfiltración de Datos: Usando Rclone, Mega.nz, IPFS o herramientas personalizadas, los atacantes promedian 1.2 TB de datos sensibles exfiltrados en menos de 3 horas. Estos datos se convierten en palanca para la doble extorsión.
  • Sabotaje Defensivo: Los atacantes desmantelan sistemáticamente las opciones de recuperación eliminando Copias de Sombra de Volumen (VSS), borrando instantáneas de VMware ESXi y destruyendo catálogos de respaldo. También deshabilitan activamente los agentes de Detección y Respuesta de Punto Final (EDR) utilizando técnicas de "Traiga su Propio Controlador Vulnerable" (BYOVD) para cegar a los equipos de seguridad antes del golpe final.

Fase 4 – Extorsión

La fase de impacto final donde se emiten las demandas de rescate:

  • Cifrado Rápido: Claves de cifrado pre-preparadas utilizando algoritmos ChaCha20 + RSA desplegadas en toda la red en menos de 60 segundos. El ransomware moderno puede cifrar 220,000 archivos en 4.5 minutos.
  • Modelo de Triple Extorsión (29% de los ataques en 2025): Más allá del rescate tradicional por claves de descifrado, los atacantes ahora añaden presión adicional amenazando con publicar datos robados en sitios de filtración (doble extorsión) y lanzando ataques de Denegación de Servicio Distribuido (DDoS) contra la infraestructura pública de la víctima (triple extorsión) para forzar el pago.
  • Tácticas de Presión Agresivas: Temporizadores de cuenta regresiva en vivo, spam a clientes y socios, amenazas de voz a ejecutivos utilizando voces clonadas por IA, contacto directo con clientes de las víctimas amenazando con la exposición de datos.
  • Retraso de Cifrado a Nota: Promedio de 4 minutos entre la finalización del cifrado y la entrega de la nota de rescate, dejando una ventana de respuesta mínima.

Disparadores de Caza Críticos para Equipos SOC

Los Centros de Operaciones de Seguridad deben monitorear estos indicadores de alta fidelidad de actividad de ransomware:

  • Anomalías de Huella Digital JA3 TLS: Conexiones SSL/TLS a dominios recién registrados (menos de 24 horas de antigüedad), especialmente con conjuntos de cifrado poco comunes.
  • Consultas LDAP Sospechosas: Consultas LDAP para adminCount=1 (cuentas privilegiadas) originadas en estaciones de trabajo no administrativas — indica reconocimiento para objetivos de escalada de privilegios.
  • Ejecución de Rclone.exe: La herramienta legítima de sincronización en la nube Rclone generada por SYSTEM o ejecutándose con argumentos de línea de comandos sospechosos — herramienta común de exfiltración de datos.
  • Operaciones de Archivos de Alta Entropía: Operaciones de escritura de archivos con entropía superior a 0.96 (indicando cifrado) que afectan a más de 100 recursos compartidos de red en 5 minutos — actividad definitiva de cifrado de ransomware.
  • Comandos de Eliminación de VSS: Ejecución de vssadmin delete shadows, wmic shadowcopy delete o bcdedit /set {default} recoveryenabled no.
  • Abuso de Herramientas RMM: Instalación o ejecución inesperada de AnyDesk, TeamViewer, ScreenConnect desde cuentas del Sistema o durante horas no laborales.

Tipos de ransomware

El ransomware ha evolucionado en varias categorías distintas, cada una con comportamientos y métodos de extorsión únicos. Comprender estos tipos es crucial para identificar la amenaza:

1. Cifrado de Ransomware (Encryptors)

Encryptors son la variante más frecuente y dañina en el panorama de amenazas moderno. Este tipo se infiltra en un sistema y cifra archivos valiosos (documentos, fotos, bases de datos) utilizando algoritmos de cifrado de grado militar (como AES-256 o RSA-2048). El contenido se vuelve completamente inaccesible sin la clave de descifrado única en poder de los atacantes. Ejemplos incluyen LockBit, Ryuk y WannaCry.

2. Lockers

Lockers no cifran archivos específicos, sino que lo bloquean completamente fuera de su sistema operativo o interfaz de usuario. Se muestra una nota de rescate a pantalla completa, a menudo con un temporizador de cuenta regresiva para crear urgencia. Si bien sus archivos permanecen técnicamente intactos, son inaccesibles hasta que se desbloquea el sistema. Este tipo era más común en las primeras oleadas de ransomware, pero aún aparece en malware móvil.

3. Scareware

Scareware es software engañoso que se hace pasar por una herramienta de seguridad legítima. Afirma haber detectado virus inexistentes o problemas críticos en su computadora y lo bombardea agresivamente con alertas emergentes. Exige el pago de una "versión completa" para solucionar estos problemas falsos. Algunos scareware agresivos pueden bloquear la computadora, mientras que otros simplemente molestan al usuario para que pague.

4. Doxware o Leakware

Leakware (también conocido como Doxware) aprovecha la amenaza de exposición de datos en lugar de la pérdida de datos. Los atacantes exfiltran información personal o corporativa sensible y amenazan con publicarla o venderla en la dark web a menos que se pague un rescate. Esta táctica es particularmente efectiva contra empresas con estrictos requisitos de cumplimiento (GDPR, HIPAA) o individuos con datos privados sensibles. Una variación es el ransomware con temática policial, que se hace pasar por la policía para acusar a la víctima de actividad ilegal y exige una "multa" para evitar el arresto.

5. RaaS (Ransomware como Servicio)

Ransomware como Servicio (RaaS) no es un tipo de malware, sino un modelo de negocio que impulsa la economía moderna del ransomware. Los desarrolladores principales profesionales crean la cepa de ransomware y la infraestructura de pago, luego la alquilan a "afiliados" (hackers menos calificados) que realizan los ataques reales. Las ganancias se dividen, con los afiliados generalmente quedándose con el 70-80% y los desarrolladores tomando el resto. Este modelo ha llevado a la explosión de ataques de ransomware al reducir la barrera de entrada para los ciberdelincuentes.

Últimos ataques de ransomware

Familias de Ransomware Activas en 2025

Los siguientes grupos de ransomware permanecen altamente activos en 2025, responsables de la mayoría de los ataques contra organizaciones en todo el mundo:

  • LockBit 4.0 — A pesar de las interrupciones de las fuerzas del orden en 2024, LockBit resurgió con la versión 4.0, incorporando tácticas de extorsión DDoS y velocidades de cifrado más rápidas. Sigue siendo una de las operaciones de ransomware como servicio (RaaS) más prolíficas, responsable de numerosos ataques a infraestructura crítica en 2025.
  • Qilin (Agenda) — Grupo altamente sofisticado dirigido a infraestructura crítica, incluidos aeropuertos y atención médica. Responsable del ataque al Aeropuerto de Kuala Lumpur (marzo de 2025, demanda de $10M) y la interrupción de Asahi Brewery (noviembre de 2025). Utiliza cifrado basado en Rust y se centra en objetivos empresariales de alto valor.
  • Rhysida — Operación RaaS activa dirigida a los sectores de salud, educación y gobierno. Ataques notables en 2025 incluyen Sunflower Medical Group (220,968 registros de pacientes) y la Administración de Tránsito de Maryland (30 BTC/$3.4M rescate). Conocido por la triple extorsión y operaciones de sitios de filtración de datos.
  • Black Basta — Surgió de la disolución de Conti, empleando campañas de phishing mejoradas por IA utilizando Modelos de Lenguaje Grande (LLMs) para crear ataques de ingeniería social convincentes. Se centra en objetivos empresariales con tiempos de despliegue rápidos y métodos de infiltración sofisticados.
  • Akira — Uno de los grupos más activos en 2025, explotando vulnerabilidades de VPN y apuntando a sectores de manufactura, salud y finanzas. Utiliza tácticas de doble extorsión y mantiene un sitio de filtración activo. Conocido por apuntar a vulnerabilidades de Cisco VPN y Citrix.
  • Medusa — Responsable de ataques importantes en 2025, incluido NASCAR (fuga de datos de SSN, rescate de $4M). Opera un modelo RaaS con asociaciones de afiliados. Notable por la extorsión agresiva en múltiples etapas, incluido el contacto directo con clientes y socios de las víctimas.
  • Play — Apunta a infraestructura crítica y grandes empresas utilizando técnicas de cifrado intermitente para evadir la detección. Activo durante todo 2025 con ataques a agencias gubernamentales e instituciones educativas. Utiliza doble extorsión con sitio de filtración dedicado.
  • Cl0p (Clop) — Especialista en explotación de cadena de suministro y día cero, particularmente dirigido a aplicaciones de transferencia de archivos y sistemas ERP empresariales. Responsable de la campaña de Oracle E-Business Suite que afectó a Cox Enterprises y Dartmouth College. Pionero en tácticas de explotación masiva para el máximo recuento de víctimas.
  • ALPHV/BlackCat — Ransomware basado en Rust conocido por su flexibilidad y capacidades multiplataforma (Windows, Linux, ESXi). Continúa las operaciones a pesar de los intentos de interrupción del FBI. Utiliza triple extorsión, incluidas llamadas a clientes y socios de las víctimas. Notable por su sofisticado programa de afiliados.
  • Interlock — Responsable del ataque a DaVita Healthcare (abril de 2025, 2.7M pacientes, $13.5M pérdidas). Apunta a la salud y servicios críticos con cifrado rápido y exfiltración de datos integral antes del despliegue del cifrado.
  • RansomHub — Operación RaaS de rápido crecimiento que atrajo a afiliados de operaciones cerradas. Conocido por cifrado rápido y soporte multiplataforma. Apunta a organizaciones en todos los sectores con énfasis en la exfiltración de datos antes del cifrado.
  • Fog (Variante de Akira) — Utiliza VPNs SonicWall explotadas para el acceso inicial. Apunta a los sectores de educación y salud. Emplea doble extorsión con infraestructura de filtración dedicada. Relacionado con las operaciones de Akira pero opera de forma independiente.
  • Scattered Spider (0ktapus) — Grupo sofisticado que utiliza phishing de voz con voces deepfake generadas por IA para eludir MFA. Apunta a proveedores de identidad, telecomunicaciones y empresas de subcontratación. Conocido por su experiencia en ingeniería social y campañas de "vishing".
  • 8Base — Extremadamente activo durante todo 2025 apuntando a pequeñas y medianas empresas. Utiliza doble extorsión con sitio de filtración dedicado. Se cree que tiene conexiones con la infraestructura de REvil. Se centra en ataques rápidos contra organizaciones menos protegidas.
  • Cactus — Utiliza credenciales VPN robadas y explota vulnerabilidades de Fortinet para el acceso inicial. Apunta a los sectores de manufactura, servicios financieros y tecnología. Emplea cifrado sofisticado con métodos únicos de exfiltración de datos a través de túneles SSH.

Operaciones Difuntas: Conti (disuelto a mediados de 2022), Avaddon (cierre en mayo de 2021), Egregor (interrumpido en 2021) y Hive (incautado por el FBI en 2023) ya no están activos, aunque sus técnicas y miembros han migrado a operaciones más nuevas enumeradas anteriormente.

Read also: PE32 Ransomware

¿Es una solución pagar el rescate?

La mayoría de los ingresos que reciben los desarrolladores de ransomware se utilizan para financiar diversas actividades ilegales, como el terrorismo, otras campañas de distribución de malware, el tráfico de drogas, etc. Dado que todos los pagos de rescate se realizan en criptomonedas, no hay forma de descubrir la identidad de los delincuentes. Sin embargo, las direcciones de correo electrónico a veces pueden señalar a distribuidores de ransomware en el Medio Oriente.

Como ya puede concluir, pagar el rescate equivale a participar en actividades ilegales. Por supuesto, nadie lo culpará por financiar el terrorismo. Pero no es nada agradable entender que el dinero que obtiene por un trabajo honesto se gasta en terrorismo o drogas. A menudo, incluso las grandes corporaciones que son chantajeadas con amenazas de publicar algunos datos internos no pagan ni un centavo a esos delincuentes.

¿Cómo protegerse del ransomware en 2025?

El panorama de amenazas de ransomware en evolución exige una estrategia de defensa de múltiples capas. Basado en el análisis de ataques de 2025, las organizaciones e individuos deben implementar las siguientes medidas de protección integrales:

Controles de Seguridad Esenciales

  • Arquitectura de Confianza Cero y Segmentación de Red: Implemente modelos de seguridad de confianza cero que verifiquen cada solicitud de acceso independientemente de la fuente. Segmente los sistemas y datos críticos para limitar el movimiento lateral si los atacantes violan el perímetro.
  • Autenticación Multifactor (MFA) en Todo Acceso Remoto: Requiera MFA para todas las conexiones VPN, Protocolo de Escritorio Remoto (RDP) y herramientas de Gestión y Monitoreo Remoto (RMM). Esto previene ataques basados en credenciales que representan el 23% de los incidentes de ransomware.
  • Gestión de Parches Oportuna: Priorice el parcheo de sistemas orientados a Internet, incluidos dispositivos VPN, sistemas ERP empresariales (Oracle E-Business Suite, SAP) y plataformas de gestión de contenido. El 32% de los ataques explotan vulnerabilidades sin parches.
  • Pruebas Trimestrales de Respaldo: Realice pruebas regulares de procedimientos de restauración de respaldo en entornos aislados. Asegúrese de que las copias de seguridad se almacenen fuera de línea o en almacenamiento inmutable para evitar que el ransomware las cifre. Verifique que los objetivos de tiempo de recuperación (RTO) cumplan con los requisitos comerciales.
  • Detección y Respuesta de Punto Final (EDR): Despliegue soluciones EDR avanzadas capaces de detectar técnicas Living-off-the-Land (LotL) y ataques BYOVD (Traiga su Propio Controlador Vulnerable) que intentan deshabilitar los controles de seguridad.

Capacitación en Concientización para Amenazas de 2025

  • Reconocimiento de Phishing Generado por IA: Capacite a los empleados para identificar intentos de phishing sofisticados creados por Modelos de Lenguaje Grande (LLMs). Enfatice la verificación de solicitudes inesperadas, incluso cuando los correos electrónicos parezcan escritos profesionalmente y sean contextualmente relevantes.
  • Protocolos de Verificación de Llamadas de Voz: Establezca procedimientos que requieran que los empleados verifiquen las llamadas de voz que afirman ser de soporte de TI a través de canales independientes. La clonación de voz por IA hace que la ingeniería social basada en el teléfono sea cada vez más convincente.
  • Precaución con Macros y Archivos Adjuntos: Continúe reforzando la concientización sobre los archivos adjuntos de correo electrónico, particularmente los archivos de Microsoft Office que solicitan la habilitación de macros. A pesar de ser un vector tradicional, el correo electrónico sigue siendo un punto de entrada de ataque principal (18% de los incidentes).

Medidas de Protección Avanzadas

  • Deshabilitar la Exposición RDP Innecesaria: Cierre los puertos RDP externos y requiera acceso VPN antes de permitir conexiones de escritorio remoto. Monitoree y limite el uso de RDP solo al personal esencial.
  • Listas Blancas de Aplicaciones: Implemente políticas de control de aplicaciones que solo permitan que se ejecute software aprobado, evitando que se ejecuten binarios de ransomware no autorizados.
  • Puertas de Enlace de Seguridad de Correo Electrónico: Despliegue filtrado de correo electrónico avanzado que pueda detectar contenido de phishing generado por IA y aislar archivos adjuntos sospechosos antes de la entrega a las bandejas de entrada de los usuarios.
  • Planificación de Respuesta a Incidentes: Desarrolle y pruebe regularmente planes de respuesta a incidentes específicamente para escenarios de ransomware. Incluya procedimientos para aislar sistemas infectados, activar copias de seguridad e involucrar a las fuerzas del orden y expertos en ciberseguridad.

Protección Anti-Malware

Por lo general, los programas antimalware actualizan sus bases de datos de detección todos los días. GridinSoft Anti-Malware puede ofrecerle actualizaciones cada hora, lo que disminuye la posibilidad de que una muestra de ransomware completamente nueva se infiltre en su sistema. Sin embargo, hacer uso de software antimalware no es una panacea. Sería mejor si tuviera cuidado en todos los lugares riesgosos. Esos son:

  • Mensajes de correo electrónico. La mayoría de los casos de ransomware, independientemente de la familia, están relacionados con mensajes de correo electrónico maliciosos. La gente suele confiar en todos los mensajes enviados por correo electrónico y no piensa que algo malicioso pueda estar dentro del archivo adjunto. Mientras tanto, los ciberdelincuentes usan esa debilidad y atraen a las personas para habilitar macros en archivos de Microsoft Office. Las macros son una aplicación específica que permite aumentar la interacción con el documento. Puede construir cualquier cosa en Visual Basic y agregarla al documento como macros. Los delincuentes, sin pensarlo más, agregan código de ransomware.
  • Utilidades dudosas y programas no confiables. Puede ver varios consejos mientras navega por la Web. Foros en línea, redes sociales y redes de intercambio: estos lugares son conocidos como fuentes de varias herramientas específicas. Y no hay nada malo en tal software: a veces, las personas necesitan las funciones que no se demandan (o aceptan) para la producción corporativa. Tales herramientas son los llamados keygens para varias aplicaciones, activadores de claves de licencia (KMS Activator es uno de los más conocidos) y utilidades para el ajuste de elementos del sistema. La mayoría de los motores antimalware detectan esas aplicaciones como maliciosas, por lo que es probable que deshabilite el antivirus o agregue la aplicación a la lista blanca. Mientras tanto, esta utilidad puede estar limpia o infectada con troyanos o ransomware.

Preguntas Frecuentes

¿Qué es el ransomware y cómo funciona en 2025?
El ransomware es un software malicioso que cifra archivos en los dispositivos de las víctimas y exige el pago de un rescate por las claves de descifrado. En 2025, el ransomware ha evolucionado para incluir tácticas de triple extorsión (cifrado + robo de datos + ataques DDoS), phishing mejorado por IA y tiempos de despliegue más rápidos (mediana de 5 días desde la brecha hasta el cifrado). El ransomware moderno utiliza cifrado AES-256 o RSA-2048, generando claves en línea únicas para cada víctima que son prácticamente imposibles de descifrar sin la clave de descifrado del atacante.
¿Puede el ransomware propagarse a través de Wi-Fi o conexiones de red?
Sí, el ransomware puede propagarse a través de conexiones de red, aunque no a través de Wi-Fi en sí. En entornos corporativos, los atacantes obtienen privilegios de administrador y despliegan ransomware en todas las computadoras conectadas a la red simultáneamente. El malware se propaga a través de directorios de red compartidos y explota técnicas de movimiento lateral. Sin embargo, los usuarios domésticos generalmente no pueden infectarse sin permitir primero a los atacantes el acceso a su dispositivo a través de phishing, descargas maliciosas o vulnerabilidades explotadas.
¿Debo pagar el rescate si mis archivos están cifrados?
Los expertos en seguridad y las fuerzas del orden aconsejan encarecidamente no pagar rescates. En 2025, solo el 49% de las víctimas pagaron rescates (frente al 70% en 2024), reconociendo que el pago no garantiza la recuperación de archivos y financia operaciones criminales, incluido el terrorismo y el tráfico de drogas. Además, pagar lo marca como un objetivo rentable para futuros ataques. En su lugar, informe el incidente a las fuerzas del orden, consulte con profesionales de ciberseguridad e intente la recuperación desde copias de seguridad. Las organizaciones con estrategias de respaldo adecuadas pueden recuperarse sin pagar, con costos de recuperación promedio de $1.53 millones frente a demandas de rescate promedio de $2 millones.
¿Cuáles son las formas más comunes en que el ransomware infecta sistemas en 2025?
En 2025, los vectores de infección principales son: (1) Explotación de vulnerabilidades (32% de los ataques) dirigidos a dispositivos VPN sin parches, CMS obsoletos y sistemas ERP como Oracle E-Business Suite; (2) Credenciales robadas (23%) obtenidas a través de ladrones de información y phishing; (3) Correos electrónicos de phishing (18%, frente al 11% en 2024) utilizando contenido generado por IA que parece altamente legítimo; (4) Ataques a la cadena de suministro explotando proveedores de software y proveedores de servicios gestionados; (5) Armamento de herramientas RMM legítimas como TeamViewer y AnyDesk. Los ataques modernos también emplean phishing de voz con clonación de voz por IA para engañar a los empleados para que proporcionen códigos MFA.
¿Cómo puedo proteger mi computadora del ransomware en 2025?
Las medidas de protección esenciales incluyen: (1) Implementar arquitectura de confianza cero con segmentación de red para limitar el movimiento lateral; (2) Habilitar la autenticación multifactor (MFA) en todos los puntos de acceso VPN, RDP y RMM; (3) Mantener una gestión de parches oportuna, especialmente para sistemas orientados a Internet y plataformas ERP; (4) Realizar pruebas trimestrales de respaldo con almacenamiento fuera de línea o inmutable; (5) Desplegar soluciones de detección y respuesta de punto final (EDR) capaces de detectar técnicas living-off-the-land; (6) Capacitar a los empleados para reconocer el phishing generado por IA y establecer protocolos de verificación de llamadas de voz para combatir los ataques deepfake; (7) Deshabilitar la exposición RDP innecesaria y usar listas blancas de aplicaciones; (8) Mantener el software antimalware actualizado con actualizaciones de firma por hora cuando sea posible.
¿Es el ransomware un delito y debo denunciarlo a las autoridades?
Sí, el ransomware es un delito cibernético grave punible por leyes federales y estatales. Crear, distribuir ransomware y cobrar pagos de rescate constituyen delitos penales. Debe informar los ataques de ransomware a las fuerzas del orden, aunque solo el 40% de las víctimas lo hicieron en 2025 (frente al 52% en 2024). En los Estados Unidos, informe al Centro de Quejas de Delitos en Internet (IC3) del FBI o a la oficina local del FBI. También puede comunicarse con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Las víctimas internacionales deben comunicarse con sus unidades nacionales de delitos cibernéticos. Informar ayuda a las fuerzas del orden a rastrear a los actores de amenazas, recuperar potencialmente claves de descifrado e interrumpir operaciones criminales.
¿Son vulnerables los sistemas Windows modernos al ransomware?
Todas las versiones de Windows siguen siendo vulnerables a los ataques de ransomware, aunque Windows 11 incluye características de seguridad mejoradas como Windows Defender reforzado, aislamiento basado en hardware y seguridad mejorada en componentes sensibles del sistema. Sin embargo, los desarrolladores de ransomware evolucionan continuamente sus tácticas. En 2025, el 47% de los usuarios de Windows encontraron adware o programas potencialmente no deseados, y los ataques de ransomware aumentaron un 46% año tras año. La vulnerabilidad generalmente proviene del comportamiento del usuario (hacer clic en enlaces de phishing, habilitar macros), sistemas sin parches (32% de los ataques explotan vulnerabilidades) y credenciales robadas (23% de los ataques) en lugar de debilidades inherentes de Windows. Ningún sistema operativo es inmune: las prácticas de seguridad adecuadas y las defensas en capas son esenciales.
¿Qué es el ransomware de triple extorsión?
El ransomware de triple extorsión, frecuente en el 87% de los ataques de 2025, combina tres tácticas de presión: (1) Cifrado de archivos tradicional exigiendo rescate para el descifrado; (2) Exfiltración de datos con amenazas de publicar información confidencial robada en sitios de filtración; (3) Ataques adicionales como inundación DDoS de la infraestructura de la empresa, acoso telefónico a empleados y sus familias, o amenazas por SMS. Algunos grupos también exigen 'compensación por interrupción del negocio' por el tiempo de inactividad operativa causado. Este enfoque múltiple aumenta la presión sobre las víctimas para que paguen y ha demostrado ser muy efectivo para los actores de amenazas, aunque no ha aumentado las tasas de pago a medida que las organizaciones mejoran las estrategias de respaldo y la resiliencia.
¿Se pueden descifrar los archivos cifrados por ransomware de forma gratuita?
A veces, pero no hay garantía. El descifrado gratuito es posible si: (1) El ransomware utilizó una clave de cifrado fuera de línea (compartida entre múltiples víctimas), que los investigadores de seguridad pueden descifrar eventualmente; (2) Las fuerzas del orden arrestan a los operadores e incautan las claves de descifrado de sus servidores; (3) La banda de ransomware libera voluntariamente las claves (raro, como GandCrab en 2018); (4) Los investigadores de seguridad descubren fallas en la implementación del cifrado. Sin embargo, el ransomware moderno que utiliza claves en línea únicas con cifrado AES-256 o RSA-2048 es prácticamente irrompible sin la clave del atacante. Consulte recursos como el Proyecto No More Ransom para ver los descifradores disponibles. El tiempo de espera para las claves de descifrado puede variar de semanas a meses o nunca, lo que hace que las estrategias de prevención y respaldo sean mucho más confiables que esperar un descifrado gratuito.
¿Cuáles fueron los mayores ataques de ransomware en 2025?
Los incidentes importantes de 2025 incluyen: PowerSchool (diciembre) afectando a 62 millones de registros de estudiantes con intentos de extorsión repetidos; Upbit (noviembre) con robo de criptomonedas de $30.4 millones por el grupo Lazarus; Asahi Brewery (noviembre) impactando a 1.5 millones de clientes y deteniendo operaciones; OnSolve/CodeRED (noviembre) comprometiendo sistemas de alerta de emergencia para más de 12 estados de EE. UU.; Administración de Tránsito de Maryland (agosto) exigiendo 30 BTC ($3.4 millones); Ingram Micro (julio) perdiendo $136 millones de ingresos por día con una violación de datos de 3.5 TB; DaVita Healthcare (abril) afectando a 2.7 millones de pacientes con pérdidas de $13.5 millones; NASCAR (abril) filtrando números de Seguro Social de fanáticos por un rescate de $4 millones; Aeropuerto de Kuala Lumpur (marzo) con una interrupción de más de 10 horas y una demanda de $10 millones. Estos incidentes demuestran la evolución del ransomware hacia infraestructura crítica y objetivos de alto valor.

References