Ciberseguridad
El renacimiento del ransomware: demandas de 120 millones de dólares, triple extorsión y las nuevas reglas de la extorsión digital
Los ataques de ransomware en 2025 y 2026 han superado todo lo anterior. Las demandas han alcanzado los 120 millones de dólares. Las bandas criminales se han convertido en empresas especializadas. Atacan hospitales, redes eléctricas y cadenas de suministro de software con precisión quirúrgica. Esto no es un aumento. Es una transformación estructural.

El panorama del ransomware de 2025 y 2026 no se parece en nada a lo que las organizaciones enfrentaron hace dos años. Las viejas operaciones de "rociar y rezar" dirigidas por actores de baja habilidad han dado paso a una industria criminal multimillonaria. Piensa en estructuras corporativas, innovación implacable y demandas financieras asombrosas. first-fully-ai-run-ransomware-attack-discovered-by-sysdig-researchers
Los datos agregados de empresas de respuesta a incidentes, plataformas de inteligencia de amenazas y foros filtrados de la dark web pintan un panorama crudo: el ransomware no solo está sobreviviendo, está evolucionando más rápido de lo que muchas defensas pueden seguir. the-rising-tide-of-ai-powered-phishing-why-traditional-defenses-are-failing
Demandas y pagos récord
La tendencia más llamativa es el enorme tamaño de las demandas de rescate. A principios de 2025, un conglomerado multinacional de atención médica recibió una demanda de 120 millones de dólares, la más grande registrada públicamente en la historia. La víctima se negó a pagar. Pero otras organizaciones han transferido silenciosamente sumas de ocho cifras para volver a conectarse. Según datos de Coveware y Chainalysis, el pago promedio de rescate aumentó un 38% interanual en el primer trimestre de 2025, alcanzando los 1,2 millones de dólares. Para el tercer trimestre de 2025, esa cifra subió a 1,6 millones de dólares, impulsada por un puñado de megapagos en el rango de 10 a 50 millones de dólares. cisa-adds-microsoft-sharepoint-server-vulnerability-to-exploited-list-as-parallel-ransomware-attacks-emerge
Los grupos criminales actuales utilizan datos para fijar sus precios. Examinan documentos de seguros filtrados y divulgaciones financieras para calibrar las demandas con precisión según la capacidad y disposición de la víctima para pagar. La estrategia de "caza mayor", que selecciona grandes empresas con bolsillos profundos, es ahora el manual estándar.
El auge de los grupos especializados de ransomware
La era de una variante única de ransomware dominante ha terminado. En su lugar, han surgido docenas de grupos especializados, cada uno centrado en sectores, geografías o tecnologías particulares. Entre los nuevos notables se incluyen:
- VoidCrypt v3, un grupo que ataca exclusivamente redes eléctricas y servicios públicos, utilizando exploits personalizados para sistemas SCADA.
- PhantomLace, centrado en entornos nativos de la nube, que aprovecha clústeres de Kubernetes mal configurados y funciones sin servidor para el acceso inicial.
- RansackAI, el primer grupo de ransomware en integrar modelos de lenguaje grandes para negociación automatizada, perfilado de víctimas e incluso ofuscación de código. first-fully-ai-run-ransomware-attack-discovered-by-sysdig-researchers
Los grupos establecidos también se han adaptado. LockBit 4.0, lanzado a finales de 2024, introdujo una arquitectura modular que permite a los afiliados seleccionar complementos adaptados a industrias específicas, desde la atención médica hasta la fabricación, aumentando las tasas de éxito de infección en un 25% estimado.
Cambios sectoriales: infraestructura crítica en el punto de mira
Uno de los desarrollos más alarmantes es la orientación deliberada hacia la infraestructura crítica. En 2025, los ataques a la atención médica, la energía, el tratamiento de agua y el transporte representaron el 41% de todos los incidentes de ransomware, frente al 28% en 2023. Los informes muestran que los actores de amenazas ya no evitan sectores donde la pérdida de vidas es una posible consecuencia, sino que los buscan activamente, sabiendo que la urgencia operativa se traduce en pagos más rápidos. from-zero-days-to-autonomous-defense-how-ai-agents-are-rewriting-cybersecurity
La atención médica sufrió el mayor impacto: más de 180 hospitales y redes de clínicas fueron atacados en 2025, lo que provocó cirugías canceladas, ambulancias desviadas y al menos tres muertes documentadas de pacientes relacionadas con la atención retrasada. Los ataques a la infraestructura energética en Europa y América del Norte causaron apagones localizados y obligaron a las instalaciones industriales a detener la producción durante días.
Cadena de suministro y ransomware como servicio 2.0
El ransomware como servicio (RaaS) ha madurado hasta convertirse en un ecosistema completo. La contratación de afiliados ahora refleja las asociaciones legítimas de software, con estructuras de comisiones escalonadas, materiales de marketing e incluso programas de capacitación. Los datos revelan que el afiliado promedio puede ganar entre 300.000 y 900.000 dólares al año, atrayendo talento tanto de círculos criminales como de trabajos tecnológicos legítimos.
Los compromisos de la cadena de suministro se han convertido en el vector de ataque preferido. Al atacar a proveedores de servicios gestionados (MSP), proveedores de software y plataformas en la nube, los atacantes pueden comprometer a cientos de víctimas en una sola operación. El ataque al estilo Kaseya ya no es una anomalía, es una plantilla. En 2025, diez grandes eventos de ransomware en la cadena de suministro afectaron cada uno a más de 1.000 organizaciones río abajo.
Las tácticas de extorsión evolucionan: la triple extorsión se convierte en estándar
La triple extorsión, cifrar datos, exfiltrarlos para subastas de filtraciones y realizar ataques DDoS, es ahora una práctica estándar. Algunos grupos han agregado una cuarta capa: notificar directamente a los clientes, socios o reguladores de una víctima por correo electrónico o redes sociales, aumentando la presión legal y de reputación. La dimensión psicológica de la extorsión se está armando sistemáticamente.
Los sitios de filtración de datos se han convertido en mercados profesionalizados, con bases de datos buscables, vistas previas de muestras y guerras de ofertas por acceso exclusivo a conjuntos de datos robados. En 2025, el tiempo promedio desde el acceso inicial hasta la publicación de datos se redujo de 12 días a 7, impulsado por canalizaciones de exfiltración automatizadas.
Respuestas defensivas y el papel de la IA
Los defensores no se han quedado de brazos cruzados. Los informes destacan un aumento en la adopción de herramientas de detección y respuesta impulsadas por IA. El análisis de comportamiento, la detección de anomalías y la contención automatizada han reducido el tiempo medio de permanencia de 10 días en 2023 a solo 3 días en 2025 para organizaciones con operaciones de seguridad maduras. Pero los atacantes también están usando IA: para crear señuelos de phishing más convincentes, evadir sistemas de detección de puntos finales y aplicar ingeniería inversa a parches en cuestión de horas. the-rising-tide-of-ai-powered-phishing-why-traditional-defenses-are-failing
El juego del gato y el ratón se ha intensificado. Lo que sigue siendo claro es que el ransomware no se puede resolver solo con tecnología. La resiliencia organizacional, las reformas de los seguros cibernéticos y la cooperación internacional en el cumplimiento de la ley son ahora igualmente críticas. teen-accused-in-scattered-spider-hacking-crew-extradited-to-the-us
Perspectivas para 2026 y más allá
Si las tendencias actuales se mantienen, 2026 traerá aún más especialización, demandas más altas y una integración más profunda de la IA tanto en el ataque como en la defensa. La inteligencia de amenazas apunta a la aparición de grupos de ransomware que operarán bajo un modelo de franquicia, ofreciendo operaciones llave en mano a delincuentes no técnicos. La democratización del ransomware, paradójicamente, coexistirá con una concentración de los ataques de mayor impacto entre un pequeño número de grupos de élite.
Las organizaciones que traten el ransomware como un riesgo a nivel de junta directiva, inviertan en la caza proactiva de amenazas y ensayen planes de respuesta a incidentes, les irá mejor. Pero los impulsores subyacentes (recompensa financiera, bajo riesgo de enjuiciamiento y una oferta aparentemente interminable de vulnerabilidades explotables) no muestran signos de disminuir.
El renacimiento del ransomware de 2025-2026 no es una tormenta pasajera. Es el nuevo clima.