La evolución del ransomware dejó de ser un fenómeno técnico para transformarse en una amenaza estructural para gobiernos, empresas y ciudadanos. Lejos quedó la época del “virus que pedía rescate” para recuperar archivos. En 2025, los ataques son quirúrgicos, combinan múltiples frentes, manipulan a las víctimas y explotan tecnologías como la inteligencia artificial con una facilidad alarmante.
La escalada queda en evidencia en los datos. Solo en el primer trimestre de 2025 se registraron 2,289 víctimas en sitios de filtración pública, un aumento del 126 % respecto al mismo periodo de 2024, según Check Point Research. Pero más que la magnitud, lo que inquieta es la transformación del fenómeno: ya no existe un solo ransomware, sino decenas de métodos y grupos que operan como verdaderos cárteles digitales.
| Trimestre | Víctimas Q1 2024 | Víctimas Q1 2025 |
|---|---|---|
| Q1 | 1,086 | 2,063 |
Resumen: En el primer trimestre de 2025 se registraron 2,063 víctimas de ransomware, lo que representa un aumento del 102 % respecto a las 1,086 víctimas reportadas en el mismo período de 2024. Este incremento refleja una escalada alarmante en frecuencia y sofisticación de los ataques.
Índice de temas
¿Cómo pasó el ransomware de ataques individuales a estructuras criminales organizadas?
La evolución del ransomware puede leerse como una historia de adaptación. Lo que antes era vandalismo digital, se convirtió en un negocio. Al principio los hackers pedían dinero para devolver acceso a los archivos. Ahora roban datos, los filtran y presionan a las víctimas con múltiples formas de extorsión.
Un ejemplo es Cl0p, uno de los grupos más activos. En lugar de cifrar archivos, ahora directamente roba información sensible. Su campaña más reciente comprometió a más de 300 organizaciones a través de Cleo, una plataforma de transferencia de datos. El 83% de los afectados está en Norteamérica, con especial foco en sectores como logística y manufactura.
La nueva táctica busca evitar los sistemas de detección y aumentar la presión psicológica. Muchos ataques incluyen amenazas directas a empleados, clientes y socios. Correos electrónicos intimidantes, llamados telefónicos y publicaciones falsas en redes sociales ya forman parte del menú de hostigamiento.
En este contexto, algunos grupos trabajan con esquemas de triple extorsión, que combinan ataques DDoS, exposición pública de datos y chantaje directo. El ransomware dejó de ser un software; ahora es una estrategia completa.
¿Por qué ahora cualquier persona puede lanzar un ataque de ransomware sin saber programar?
La evolución del ransomware no se explica solamente por la creatividad de los cibercriminales. También creció porque ahora cualquiera puede ser atacante. No hace falta saber programar ni conocer de redes. Alcanza con pagar por un paquete ya armado. Así funciona el modelo de Ransomware-as-a-Service (RaaS).
En 2024 se identificaron 46 nuevos grupos de ransomware, lo que representa un salto del 48% respecto al año anterior. El motivo es claro: hay kits listos para usar, programas de afiliados, paneles de control y hasta soporte técnico.
Uno de los grupos más agresivos del último tiempo es RansomHub, responsable de al menos 531 ataques en lo que va del año. Superó incluso a LockBit, un viejo conocido en este terreno. Lo más inquietante es la profesionalización. Operan como si fueran una startup tecnológica. Tienen herramientas para segmentar objetivos, medir resultados y hasta gestionar “clientes”.
Hoy, el ransomware se parece más a un negocio que a un delito aislado. Hay manuales, sistemas de pago, paneles estadísticos y canales de comunicación. Es el cibercomercio en su forma más perversa.
¿Cómo está utilizando la inteligencia artificial el ransomware para evadir defensas y escalar ataques?
Si hasta ahora la evolución del ransomware venía marcada por mejores técnicas y organización, en 2025 hubo un quiebre total. La inteligencia artificial ingresó de lleno en el arsenal de los atacantes.
Los señuelos de phishing son ahora redactados por IA, imitan el tono de los correos internos de una empresa y resultan casi imposibles de detectar. Hay malware generado en segundos, código personalizado para cada víctima y deepfakes que simulan la voz y la imagen de directivos.
Un caso puntual lo protagonizó el grupo FunkSec, que usó herramientas de IA para generar scripts capaces de evitar la detección de los sistemas EDR. Lo hicieron encadenando comandos legítimos, lo que confundió a los analizadores de comportamiento.
Sergey Shykevich, líder del Grupo de Inteligencia de Amenazas en Check Point Software Technologies, lo explicó sin vueltas: “Estamos presenciando la revolución industrial del ransomware. La IA facilita más que nunca la personalización, la implementación y la escalabilidad de los ataques, y el impacto ya no es solo técnico. También es operativo, financiero y reputacional”.
¿Qué efectos psicológicos y económicos genera el ransomware más allá del daño técnico?
Hay un nuevo frente de ataque: la manipulación emocional. Parte de la evolución del ransomware consiste en la creación de noticias falsas, extorsiones con datos inexistentes y la publicación de filtraciones recicladas para generar confusión.
Grupos como Babuk-Bjorka se dedican a inventar filtraciones con el objetivo de asustar a empresas que ni siquiera fueron atacadas. La idea es simple: ensuciar el nombre de una compañía para que pague por miedo, aunque el robo nunca haya existido.
Esta técnica enturbia los reportes de incidentes y erosiona la confianza. En una era donde la imagen lo es todo, la percepción de una filtración puede causar más daño que la filtración misma.
Según el Informe Anual sobre Ransomware 2024 de Check Point:
- Estados Unidos concentró el 50,2 % de los ataques globales.
- En India, el ransomware creció 38 % en un año.
- Los sectores más golpeados fueron servicios empresariales, comercio minorista y manufactura, por su alta dependencia digital y sus escasas barreras defensivas.
Frente a este escenario, las soluciones de siempre ya no alcanzan. No basta con tener respaldos ni aplicar parches de seguridad.
Las principales recomendaciones para los equipos de seguridad incluyen:
- Implementar una arquitectura de confianza cero, donde todo se valida antes de confiar.
- Reforzar el monitoreo de la cadena de suministro.
- Incorporar IA en las defensas, para anticiparse a los movimientos.
- Cifrar todo, sin excepción, asumiendo que lo sensible será robado.
- Adaptarse a los nuevos estándares de cumplimiento normativo, en especial en seguros y regulación internacional.
