La evolución del ransomware dejó de ser un fenómeno técnico para transformarse en una amenaza estructural para gobiernos, empresas y ciudadanos. Lejos quedó la época del “virus que pedía rescate” para recuperar archivos. En 2025, los ataques son quirúrgicos, combinan múltiples frentes, manipulan a las víctimas y explotan tecnologías como la inteligencia artificial con una facilidad alarmante.
La escalada se nota en los números. Solo en los primeros tres meses del año, 2289 víctimas aparecieron en sitios de filtración de datos. Se trata de un aumento del 126% respecto al mismo período de 2024. Pero más que las cifras, lo que inquieta es el modo. La lógica del ataque mutó. Hoy no hay un solo ransomware, hay decenas de métodos y grupos que se organizan como cárteles digitales.
Índice de temas
La evolución del ransomware y el salto del crimen aislado al crimen organizado
La evolución del ransomware puede leerse como una historia de adaptación. Lo que antes era vandalismo digital, se convirtió en un negocio. Al principio los hackers pedían dinero para devolver acceso a los archivos. Ahora roban datos, los filtran y presionan a las víctimas con múltiples formas de extorsión.
Un ejemplo es Cl0p, uno de los grupos más activos. En lugar de cifrar archivos, ahora directamente roba información sensible. Su campaña más reciente comprometió a más de 300 organizaciones a través de Cleo, una plataforma de transferencia de datos. El 83% de los afectados está en Norteamérica, con especial foco en sectores como logística y manufactura.
La nueva táctica busca evitar los sistemas de detección y aumentar la presión psicológica. Muchos ataques incluyen amenazas directas a empleados, clientes y socios. Correos electrónicos intimidantes, llamados telefónicos y publicaciones falsas en redes sociales ya forman parte del menú de hostigamiento.
En este contexto, algunos grupos trabajan con esquemas de triple extorsión, que combinan ataques DDoS, exposición pública de datos y chantaje directo. El ransomware dejó de ser un software; ahora es una estrategia completa.
La evolución del ransomware al alcance de cualquiera
La evolución del ransomware no se explica solamente por la creatividad de los cibercriminales. También creció porque ahora cualquiera puede ser atacante. No hace falta saber programar ni conocer de redes. Alcanza con pagar por un paquete ya armado. Así funciona el modelo de Ransomware-as-a-Service (RaaS).
En 2024 se identificaron 46 nuevos grupos de ransomware, lo que representa un salto del 48% respecto al año anterior. El motivo es claro: hay kits listos para usar, programas de afiliados, paneles de control y hasta soporte técnico.
Uno de los grupos más agresivos del último tiempo es RansomHub, responsable de al menos 531 ataques en lo que va del año. Superó incluso a LockBit, un viejo conocido en este terreno. Lo más inquietante es la profesionalización. Operan como si fueran una startup tecnológica. Tienen herramientas para segmentar objetivos, medir resultados y hasta gestionar “clientes”.
Hoy, el ransomware se parece más a un negocio que a un delito aislado. Hay manuales, sistemas de pago, paneles estadísticos y canales de comunicación. Es el cibercomercio en su forma más perversa.
La inteligencia artificial y su impacto en la evolución del ransomware
Si hasta ahora la evolución del ransomware venía marcada por mejores técnicas y organización, en 2025 hubo un quiebre total. La inteligencia artificial ingresó de lleno en el arsenal de los atacantes.
Los señuelos de phishing son ahora redactados por IA, imitan el tono de los correos internos de una empresa y resultan casi imposibles de detectar. Hay malware generado en segundos, código personalizado para cada víctima y deepfakes que simulan la voz y la imagen de directivos.
Un caso puntual lo protagonizó el grupo FunkSec, que usó herramientas de IA para generar scripts capaces de evitar la detección de los sistemas EDR. Lo hicieron encadenando comandos legítimos, lo que confundió a los analizadores de comportamiento.
Sergey Shykevich, líder del Grupo de Inteligencia de Amenazas en Check Point Software Technologies, lo explicó sin vueltas: “Estamos presenciando la revolución industrial del ransomware. La IA facilita más que nunca la personalización, la implementación y la escalabilidad de los ataques, y el impacto ya no es solo técnico. También es operativo, financiero y reputacional”.
La evolución del ransomware como fenómeno psicológico y económico
Hay un nuevo frente de ataque: la manipulación emocional. Parte de la evolución del ransomware consiste en la creación de noticias falsas, extorsiones con datos inexistentes y la publicación de filtraciones recicladas para generar confusión.
Grupos como Babuk-Bjorka se dedican a inventar filtraciones con el objetivo de asustar a empresas que ni siquiera fueron atacadas. La idea es simple: ensuciar el nombre de una compañía para que pague por miedo, aunque el robo nunca haya existido.
Esta técnica enturbia los reportes de incidentes y erosiona la confianza. En una era donde la imagen lo es todo, la percepción de una filtración puede causar más daño que la filtración misma.
Según el Informe Anual sobre Ransomware 2024 de Check Point:
- Estados Unidos concentró el 50,2 % de los ataques globales.
- En India, el ransomware creció 38 % en un año.
- Los sectores más golpeados fueron servicios empresariales, comercio minorista y manufactura, por su alta dependencia digital y sus escasas barreras defensivas.
Frente a este escenario, las soluciones de siempre ya no alcanzan. No basta con tener respaldos ni aplicar parches de seguridad.
Las principales recomendaciones para los equipos de seguridad incluyen:
- Implementar una arquitectura de confianza cero, donde todo se valida antes de confiar.
- Reforzar el monitoreo de la cadena de suministro.
- Incorporar IA en las defensas, para anticiparse a los movimientos.
- Cifrar todo, sin excepción, asumiendo que lo sensible será robado.
- Adaptarse a los nuevos estándares de cumplimiento normativo, en especial en seguros y regulación internacional.
