El 12 de mayo se conmemora el Día Mundial contra el Ransomware, una iniciativa global de concienciación creada por INTERPOL y Kaspersky para conmemorar uno de los ciberataques más disruptivos de la historia: el brote de WannaCry de 2017.

En cuestión de horas, la campaña de ransomware se extendió por todo el mundo, paralizando hospitales, deteniendo líneas de producción e interrumpiendo servicios críticos en casi todos los continentes.

WannaCry marcó un punto de inflexión. Expuso la falta de preparación incluso de los sistemas más avanzados para el ransomware. Pero, por muy dañino que fuera ese ataque, fue solo un prólogo.

En 2025, el panorama de amenazas es exponencialmente más complejo. Los grupos de ransomware actuales operan más como cárteles digitales que como hackers aislados. Sus herramientas son más precisas, sus objetivos más estratégicos y sus tácticas están basadas en inteligencia artificial. Al conmemorar este año el Día Mundial contra el Ransomware, no solo reflexionamos sobre el pasado, sino que también damos la voz de alarma para el futuro.

Del vandalismo digital a las empresas criminales

La evolución del ransomware se caracteriza por una reinvención constante. Lo que comenzó como un malware rudimentario de bloqueo y demanda ha madurado hasta convertirse en operaciones de extorsión en varias etapas. Los atacantes actuales no solo cifran datos, sino que los roban, los filtran y los utilizan como arma.

Solo en el primer trimestre de 2025, 2289 víctimas de ransomware figuraban en sitios web de filtración de datos, según Check Point Research, lo que representa un aumento interanual del 126 por ciento.

Nuevas estrategias de actores conocidos

El grupo Cl0p, una de las bandas de ransomware más activas, ha pasado en gran medida del cifrado de archivos a la extorsión pura de datos. Su campaña de principios de 2025, dirigida a la plataforma de transferencia de archivos Cleo, comprometió a más de 300 organizaciones, con el 83 por ciento de las víctimas en Norteamérica, especialmente en los sectores de fabricación y logística.

Estas nuevas estrategias permiten a los actores de amenazas evitar la detección, eludir las defensas y aumentar la presión psicológica sobre las víctimas. En los próximos meses, esperamos ver surgir modelos de triple extorsión aún más agresivos: combinando ataques DDoS, exposición de datos robados e intimidación directa de las víctimas mediante llamadas o correos electrónicos a clientes y socios comerciales.

Ransomware como servicio

La barrera de entrada para el ransomware ha desaparecido. Los modelos de ransomware como servicio (RaaS) han industrializado la amenaza, convirtiendo el cibercrimen en un negocio escalable.

En 2024, 46 nuevos grupos de ransomware entraron en la contienda, un aumento del 48 por ciento con respecto al año anterior, impulsados ​​por kits listos para usar, programas de afiliados e incluso portales de atención al cliente.

El auge de RansomHub

Encabezando las listas se encontraba RansomHub, responsable de 531 ataques conocidos, superando incluso al infame LockBit. Estos grupos imitan a las startups SaaS: ágiles, centrados en el cliente y de una eficacia alarmante.

Sus herramientas ahora incluyen paneles de control, análisis de telemetría y funciones de localización. Esto no es solo ciberdelito. Es cibercomercio.

Un punto de inflexión para los atacantes

• 2025 fue el año en que la IA entró con fuerza en el arsenal del ransomware.
• Señuelos de phishing generados por IA que imitan estilos y lenguajes de escritura.
• Malware personalizado creado en segundos mediante herramientas de IA generativa.
• Suplantaciones de identidad de ejecutivos mediante deepfakes utilizadas en ataques de compromiso de correo electrónico empresarial (BEC).
• Uso de herramientas informáticas legítimas para desactivar silenciosamente los controles de seguridad durante las brechas.

Grupos como FunkSec ya están aprovechando estas capacidades para optimizar los ciclos de desarrollo y escalar los ataques. En una campaña, los atacantes utilizaron código generado por IA para evadir la detección de EDR mediante la encadenación de scripts legítimos que eludían los motores de análisis de comportamiento.

"Estamos presenciando la revolución industrial del ransomware", afirma Sergey Shykevich, director del Grupo de Inteligencia de Amenazas de Check Point Software Technologies. "La IA facilita más que nunca la personalización, la implementación y la escalabilidad de los ataques de ransomware, y el impacto ya no es solo técnico. También es operativo, financiero y reputacional".

Check Point prevé de dos a tres ataques de ransomware a gran escala en la cadena de suministro en 2025, donde la IA se utilizará no solo para la creación de cargas útiles, sino también para automatizar el movimiento lateral, la priorización de objetivos e incluso la negociación de rescates.

Desinformación y chantaje digital

La manipulación psicológica del ransomware se ha vuelto tan peligrosa como el propio malware.

Grupos como Babuk-Bjorka han adoptado una táctica inquietante: publicar filtraciones de datos inventadas o recicladas para aumentar su credibilidad y obligar a quienes no son víctimas a pagar. Esto enturbia la atribución, abruma a los responsables y erosiona la confianza en los informes de infracciones.

¿El resultado? Una nueva era de "trucos de hacking falsos", donde la percepción puede ser tan dañina como la realidad.

Una amenaza global con consecuencias locales

Según el Informe Anual sobre Ransomware 2024 de Gestión de Riesgos Externos (ERM) de Check Point:

• Estados Unidos siguió siendo el país más atacado, con el 50,2 por ciento de todos los casos.
• India experimentó un aumento interanual del 38 por ciento en el ransomware, impulsado por la rápida digitalización, la adopción del trabajo híbrido y las deficiencias de infraestructura.

Los sectores más afectados incluyen los servicios empresariales, la manufactura y el comercio minorista, sectores con operaciones sensibles y, a menudo, mal preparados.

Cómo desarrollar resiliencia contra el ransomware moderno

Se acabó la era de depender únicamente de copias de seguridad y ciclos de parches. Para superar a los actores actuales de ransomware, las organizaciones deben replantear su defensa:

5 acciones inmediatas para los CISO:

1. Adoptar una arquitectura de confianza cero: limita el movimiento lateral. No confíes en nada por defecto, valida todo.
2. Refuerza la cadena de suministro: examina continuamente los riesgos de terceros. Asumir que tus socios pueden ser puntos de entrada.
3. Aprovechar la IA para la ciberdefensa: utilizar la detección de amenazas mejorada por IA, la automatización del SOC y la priorización en tiempo real para anticiparse a los ataques.
4. Prepararse para la extorsión de datos: cifrar todo, en todas partes. Comprender qué es sensible y asumir que será robado.
5. Alinearse con los seguros y el cumplimiento normativo cibernético: con el endurecimiento de las regulaciones globales, garantizar que la documentación y los controles cumplan con los estándares en constante evolución.

Esto no es solo un problema tecnológico. Es un problema de supervivencia empresarial.

El ransomware en 2025 no solo es más común, sino también más estratégico. Los ataques ahora duran más, golpean con más fuerza y ​​dejan cicatrices más profundas. Y en una era de daño viral a la reputación, incluso la percepción de una brecha puede ser catastrófica.

Como lo expresa Sergey Shykevich, Gerente del Grupo de Inteligencia de Amenazas de Check Point Software Technologies: "El ransomware ya no es solo un problema tecnológico, es un problema de la junta directiva. Se trata de continuidad operativa, confianza y resiliencia. Los ejecutivos deben tratar la ciberseguridad de la misma manera que tratan el riesgo legal o la salud financiera: como un aspecto innegociable de sus negocios".

Prepárate para los ataques de ransomware.

La amenaza del ransomware ha madurado mucho más allá de sus orígenes en 2017. En este Día Mundial contra el Ransomware, hay que tomarse un momento para reflexionar no solo sobre cuán lejos ha llegado la amenaza, sino también sobre lo que puede hacer hoy para evitar convertirse en el titular de la noticia mañana.