En 2025, estamos presenciando un cambio en cómo opera el ransomware, a quién tiene como objetivo y cuáles son las consecuencias de convertirse en víctima. Ya no se trata solo de robo de datos: ahora hablamos de confianza erosionada, operaciones paralizadas y daños de larga duración a la reputación de una marca. Este blog analiza el panorama de amenazas del ransomware que evoluciona rápidamente en 2025.

Un repaso a 2024

2024 fue uno de los años más prolíficos en cuanto a actividad de ransomware. Según datos de Sophos, el 59 % de las organizaciones informó haber sufrido ataques de ransomware, y el 70 % de esos incidentes resultaron en cifrado de datos. Esto representa un aumento notable en la tasa de éxito de los atacantes y demuestra que muchas organizaciones aún no están lo suficientemente preparadas para responder a este tipo de amenaza. Las demandas de rescate aumentaron en promedio cinco veces con respecto al año anterior, lo que indica una creciente confianza y agresividad por parte de los actores de amenazas.

Una de las estadísticas más preocupantes fue que el 32 % de los incidentes de ransomware se originaron en vulnerabilidades sin corregir. Esto pone de manifiesto un fallo continuo en la higiene cibernética, ya que muchas organizaciones siguen teniendo dificultades para gestionar el parcheo en entornos digitales complejos.

Ransomware en 2025: ¿qué ha cambiado?

Nuevas bandas, nuevas tácticas

Aunque muchos de los principales grupos de ransomware de 2024 siguen siendo muy activos, en 2025 han aparecido nuevos actores que están remodelando el panorama. Grupos como Meow, KillSec, DragonForce y Cicada3301 han irrumpido con tácticas novedosas y un enfoque agresivo hacia la disrupción. Estas bandas son más descentralizadas, difíciles de rastrear y, a menudo, combinan ataques motivados por ganancias económicas con objetivos ideológicos. Algunas actúan bajo la apariencia de hacktivismo, atacando gobiernos y corporaciones no solo para exigir rescates, sino también para lanzar mensajes políticos.

Estos grupos emergentes también traen consigo innovación. Están adoptando métodos de entrada multivectoriales, incluyendo el uso de exploits de día cero, explotación de errores de configuración en la nube y técnicas de ingeniería social potenciadas por inteligencia artificial. Sus modelos de extorsión van más allá del cifrado y la filtración de datos, incorporando amenazas reputacionales, riesgos legales e incluso campañas coordinadas de desinformación. Con un ecosistema de ransomware cada vez más comercializado, ahora es más fácil que nunca para actores con poca experiencia lanzar ataques devastadores usando kits de malware prefabricados y herramientas de entrega automatizadas.

Los grupos más activos en 2024 incluyeron RansomHub, LockBit 3.0, Play, Akira y Hunters International, cada uno aprovechando técnicas de extorsión avanzadas como la doble y triple extorsión. Sus operaciones se vieron reforzadas por afiliados y modelos de Ransomware como Servicio (RaaS), lo que permitió una proliferación rápida.

 TrendsPredictions 2025_webheader_landing-1

Las tecnologías operativas bajo ataque

En 2025 se espera un aumento en los ataques ransomware dirigidos a entornos de Tecnología Operativa (OT). Estos sistemas controlan procesos físicos en sectores como la manufactura, la energía, los servicios públicos y la sanidad. A menudo se basan en tecnologías heredadas, carecen de controles de seguridad sólidos y no pueden ser fácilmente parcheados o desconectados para mantenimiento, lo que los convierte en objetivos ideales.

Los operadores de ransomware han comprendido que al interrumpir líneas de producción, dispositivos médicos críticos o infraestructuras nacionales, pueden ejercer una enorme presión para que las víctimas paguen rápidamente. En muchos casos, incluso interrupciones breves generan pérdidas millonarias o riesgos para la seguridad de las personas. Esta tendencia ha provocado un aumento drástico de ataques en los sectores de manufactura y sanidad, que ahora son las dos industrias más atacadas a nivel global.

Aumento del ransomware hacktivista

En 2025, el ransomware ha cruzado plenamente al ámbito geopolítico. Grupos alineados con Estados nación, especialmente vinculados a Rusia e Irán, han utilizado el ransomware como herramienta para causar disrupción, difundir desinformación y generar inestabilidad.

Estos grupos "hacktivistas" a menudo reivindican los ataques bajo colectivos pseudónimos. Sus objetivos incluyen agencias gubernamentales, contratistas de defensa, medios de comunicación e instituciones educativas.

Lo que hace que estas amenazas sean especialmente peligrosas es que combinan tácticas tradicionales del crimen cibernético con capacidades a nivel estatal. Pueden explotar vulnerabilidades de día cero, utilizar campañas de desinformación para amplificar el impacto del ataque o coordinar ofensivas múltiples de forma simultánea. La planificación de la ciberresiliencia debe tener en cuenta la posibilidad de ransomware con motivaciones políticas y reforzar la recopilación de inteligencia sobre amenazas.

 

ctem-1

 

Amenazas potenciadas por la inteligencia artificial

La inteligencia artificial está transformando el ransomware. En 2025, vemos cómo la IA se integra en todas las fases del ciclo de ataque: desde la fase de reconocimiento y la creación de cargas útiles, hasta el engaño social y los movimientos laterales dentro de las redes. Los actores de amenazas están utilizando IA para redactar correos electrónicos de phishing hiperpersonalizados, imitar el estilo de escritura de directivos e incluso generar mensajes de audio y vídeo deepfake para engañar a los empleados.

El auge de la IA exige que las organizaciones superen los métodos de detección basados en firmas y apuesten por análisis de comportamiento, detección de anomalías y defensas impulsadas por IA para mantenerse por delante de las amenazas.

Datos manipulados: una nueva forma de extorsión

En 2025, el ransomware no solo busca cifrar archivos o robar información: ahora también la manipula. Esta táctica implica alterar, corromper o modificar datos sensibles antes de exigir un rescate. En algunos casos, los atacantes han amenazado con modificar sutilmente registros financieros, datos médicos o propiedad intelectual, sembrando la desconfianza en los sistemas internos de la organización.

Esto añade un nuevo nivel de urgencia. Ya no basta con restaurar los datos desde una copia de seguridad: ahora es esencial verificar su integridad. Para industrias donde la precisión de los datos es crítica—como la financiera, la sanitaria o la legal—esta amenaza resulta especialmente grave.

Los actores de amenazas ya no se conforman con extorsionar dinero: buscan causar disrupción, destruir la confianza y desestabilizar servicios clave.

La resiliencia es clave

Las estrategias de ciberseguridad deben contemplar ahora la detección temprana, la respuesta rápida, la recuperación y la continuidad operativa. La integración de filtrado avanzado de correos electrónicos, análisis de comportamiento, inteligencia de amenazas y monitorización en tiempo real es esencial. Al mismo tiempo, las organizaciones deben reforzar los fundamentos de la higiene digital: parchear sistemas, revisar controles de acceso y formar a los usuarios siguen siendo defensas muy efectivas.

Las organizaciones más exitosas en 2025 serán aquellas que superen los enfoques de seguridad reactivos. Serán las que traten la ciberseguridad como un facilitador del negocio: integrándola en las conversaciones del consejo, asignándole presupuesto y formando alianzas con expertos que les ayuden a adaptarse a lo que viene. Porque en el mundo del ransomware, quedarse quieto es lo mismo que quedarse atrás.

CTA-Incident-Response

 

¿Quieres saber cómo proteger tus datos del ransomware? Ponte en contacto con nuestros expertos. 

 

Contact Us