El panorama de los ataques de ransomware en 2025: un récord de incidentes con una caída histórica en los pagos
728 x 90 px
A lo largo de mis siete años de trayectoria profesional inmerso en el sector tecnológico y evaluando la evolución de las amenazas digitales, he sido testigo de múltiples transformaciones en el cibercrimen. Sin embargo, el ecosistema del secuestro de datos experimentó una divergencia histórica y sin precedentes durante el último año.
Según los datos revelados en el reciente Informe de Crimen Cripto 2026 publicado por la reconocida firma de inteligencia blockchain Chainalysis, el ecosistema global de la ciberseguridad se enfrenta a una paradoja fascinante. Mientras que el volumen general de los ataques de ransomware en 2025 reclamados por los grupos criminales se disparó en un 50%, los ingresos totales rastreados en cadena (on-chain) cayeron aproximadamente un 8%, situándose en la cifra de 820 millones de dólares.
Esta peculiar dinámica ha empujado la tasa de pago por parte de las víctimas a un mínimo histórico del 28%. Desde una perspectiva técnica y estratégica, este descenso no es accidental; refleja una madurez significativa en la resiliencia de las organizaciones, una mejora sustancial en las políticas de copias de seguridad (backups) y una presión regulatoria internacional mucho más estricta que prohíbe o desincentiva la financiación del cibercrimen.
(Automático aquí)
La evolución financiera de la extorsión digital
A pesar de la evidente caída en los ingresos agregados a nivel global, los atacantes han modificado su comportamiento para compensar la resistencia de las víctimas, adoptando una agresividad financiera sin precedentes. Los datos del informe indican que el tamaño de la extorsión mediana experimentó un asombroso crecimiento del 368%, pasando de 12.738 dólares en 2024 a casi 60.000 dólares en 2025.
Esta escalada en las exigencias económicas sugiere que las organizaciones criminales están pivotando hacia tácticas más selectivas. En lugar de lanzar ataques masivos de bajo costo, están concentrando sus recursos en comprometer objetivos de alto valor corporativo (una táctica conocida en la industria como «Big Game Hunting»). Los delincuentes asumen que, aunque menos empresas están dispuestas a pagar, aquellas que ceden ante la presión operativa lo harán por sumas drásticamente más altas, intentando así contrarrestar el estancamiento general de la rentabilidad del sector.
Estados Unidos y las economías desarrolladas en el punto de mira
Al revisar las métricas de los sitios de filtración de datos de la web oscura (leak sites), se confirma una tendencia que los expertos en seguridad hemos advertido continuamente: las economías desarrolladas y altamente digitalizadas siguen siendo las más vulnerables y afectadas.
Estados Unidos se mantiene como la jurisdicción más atacada a nivel mundial. Durante 2025, el país norteamericano registró incrementos alarmantes de entre el 45% y el 56% en incidentes dirigidos específicamente contra la infraestructura crítica, las cadenas de suministro logísticas y diversas entidades gubernamentales.
El impacto traspasa las fronteras estadounidenses. Sectores vitales como la manufactura avanzada y los servicios financieros en el Reino Unido, Alemania y Canadá también sufrieron interrupciones operativas masivas. Un claro ejemplo de la devastación financiera que estos ataques pueden causar es el incidente que paralizó a la multinacional automotriz Jaguar Land Rover. Este ataque de alto perfil detuvo las líneas de producción en múltiples países e infligió daños económicos directos y colaterales estimados en 2.500 millones de dólares, demostrando que el impacto real del ransomware supera con creces el simple pago del rescate.
El papel crítico de los intermediarios de acceso inicial
Para comprender cómo se orquestan estas intrusiones, es fundamental observar la cadena de suministro del cibercrimen. El reporte destaca a los intermediarios de acceso inicial (Initial Access Brokers o IAB) como un indicador temprano crucial para la defensa cibernética. Los flujos de pago dirigidos a estos actores maliciosos suelen preceder los picos de ataques de ransomware en un lapso aproximado de 30 días.
No obstante, el mercado negro de accesos corporativos se ha vuelto ferozmente competitivo. El precio promedio para comprar el acceso a la red de una víctima cayó drásticamente de 1.427 a 439 dólares. Esta devaluación se debe a la automatización extrema y a la industrialización de las herramientas de intrusión. Tal como señala la firma de prevención Darkweb IQ, la industria se enfrenta actualmente a tuberías de acceso completamente industrializadas, la proliferación de credenciales robadas mediante «infostealers» y el uso de herramientas asistidas por inteligencia artificial que han reducido al mínimo la barrera de entrada para nuevos cibercriminales.
Convergencia operativa con actores patrocinados por estados
Una de las tendencias más complejas de mitigar es la convergencia de la infraestructura entre los ciberdelincuentes motivados por el lucro financiero y los actores de amenazas avanzadas (APT) vinculados a intereses estatales.
En la actualidad, grupos de espionaje cibernético provenientes de Irán, Rusia y China están utilizando los mismos proveedores de alojamiento blindado (bulletproof hosting) y redes de servidores proxy residenciales que los operadores tradicionales de ransomware. Esta táctica de recursos compartidos les permite ofuscar su rastro de manera excepcionalmente efectiva, complicando las labores de atribución forense.
Estrategias globales de mitigación y el enfoque en la resiliencia
Ante este escenario adverso, las autoridades internacionales y las fuerzas del orden han pivotado su estrategia. Han pasado de perseguir únicamente a los afiliados individuales a desmantelar directamente la capa de infraestructura y los servicios tecnológicos compartidos. Operaciones globales de alto impacto, como Operation Endgame, junto con sanciones económicas contra proveedores de servicios ilícitos como Media Land (Yalishanda) y Zservers, buscan elevar simultáneamente los costos operativos y el riesgo para todo el ecosistema criminal.
Aunque las cifras de ingresos criminales muestran una ligera contracción, el daño sistémico y el impacto estratégico del secuestro de datos continúan en expansión. Esta realidad obliga a los directores de seguridad de la información (CISO) y a las juntas directivas a implementar una postura de ciberseguridad que priorice de manera absoluta la resiliencia operativa y la continuidad del negocio, entendiendo que el simple rechazo al pago del rescate debe ir acompañado de una infraestructura tecnológica capaz de soportar y recuperarse ágilmente de las peores intrusiones.
