El ransomware ha dejado de ser un fenómeno aislado para convertirse en una de las mayores amenazas digitales globales de 2025. El último State of the Internet Report on Ransomware advierte que este año los ataques han impactado a sectores estratégicos: minoristas en el Reino Unido, instituciones de salud en Asia-Pacífico, un gobierno en Latinoamérica y sistemas educativos en Norteamérica.
Las cifras reflejan la magnitud del problema: grupos de ransomware han extorsionado a organizaciones por más de 724 millones de dólares en criptomonedas solo con cepas vinculadas a TrickBot. "El ransomware sigue siendo un modelo de negocio lucrativo para grupos criminales, hacktivistas y ciberdelincuentes", indica el reporte.
Uno de los cambios más alarmantes es la incorporación de inteligencia artificial y modelos de lenguaje en los ataques. Herramientas emergentes como WormGPT, DarkGPT y FraudGPT permiten a actores sin experiencia generar código malicioso, correos de phishing y hasta ataques de vishing mediante chatbots que suplantan al personal de empresas. Grupos como FunkSec, Forest Blizzard y Emerald Sleet ya emplean estas técnicas para ampliar la escala y sofisticación de sus campañas.
El informe también documenta la diversificación de tácticas de extorsión: desde el doble cifrado hasta métodos "triples y cuádruples", donde los delincuentes no solo amenazan con no liberar datos, sino con filtrar información de clientes, lanzar ataques DDoS e incluso contactar a socios y medios de comunicación para presionar a las víctimas. En algunos casos, los grupos convierten el cumplimiento normativo en un arma, amenazando con denunciar vulneraciones que derivarían en multas mayores que el rescate exigido.
Otro fenómeno creciente es el Ransomware-as-a-Service (RaaS), modelo que democratizó los ataques al permitir que usuarios sin conocimientos técnicos puedan operar con plataformas listas para desplegar. Además, algunos colectivos difuminan la frontera entre el hacktivismo y el lucro, como Stormous, DragonForce, KillSec, CyberVolk y Dragon RaaS, que combinan agendas ideológicas con fines económicos.
Las consecuencias para las víctimas son graves: el tiempo promedio de inactividad tras un ataque es de 21 días, con pérdidas económicas y reputacionales severas. En sectores como el de la salud, ese periodo puede implicar riesgos directos para la vida de los pacientes.
Frente a este panorama, el concepto clave que destaca el informe es resiliencia. Asumir que la vulneración es posible y preparar mecanismos de identificación, corrección y recuperación rápida se considera la única respuesta racional. Entre las medidas recomendadas están el fortalecimiento de planes de continuidad, el uso de ciberseguros y la adopción de marcos regulatorios que desincentiven los pagos. "El ransomware se ha convertido en una economía criminal dinámica. La defensa contra esta amenaza requiere agilidad, planificación y marcos prácticos de protección integral", concluye el informe. (NotiPress)
