La extorsión sin cifrado aumenta a medida que los grupos de ransomware cambian de táctica – Campus Technology

por

La extorsión sin cifrado aumenta a medida que los grupos de ransomware cambian de táctica

Los ataques de ransomware continuaron aumentando en 2025 a medida que los atacantes programaban cada vez más las operaciones en torno a las brechas de personal de fin de año y se alejaban del cifrado de archivos tradicional, según una nueva investigación de NordStellar.

El informe muestra que los incidentes de ransomware aumentaron un 45% respecto al año anterior, pasando de 6.395 casos en 2024 a 9.251 en 2025. La actividad se recuperó a finales de año, y en diciembre se registraron 1.004 incidentes, el total mensual más alto registrado en los últimos dos años. Las organizaciones manufactureras más pequeñas se encontraban entre las más atacadas.

«En el último trimestre de 2025, los grupos de ransomware explotaron las brechas de ciberseguridad de fin de año causadas por la reducción de personal y monitoreo», dijo Vakaris Noreika, experto en ciberseguridad de NordStellar. «Sin embargo, la tendencia ha sido ascendente durante todo el año».





Un análisis separado de Symantec y el Threat Hunter Team de Carbon Black informó que los actores de ransomware reclamaron públicamente 4.737 ataques en 2025, ligeramente más que los 4.701 registrados en 2024. Cuando se incluyeron los incidentes de extorsión sin cifrado, la actividad total de extorsión aumentó a 6.182 ataques, un aumento del 23% año tras año.

La industria manufacturera sufre la mayor presión

Las organizaciones manufactureras experimentaron más actividad de ransomware que cualquier otro sector en 2025. Los datos de NordStellar muestran que la fabricación representó el 19,3% de todos los incidentes de ransomware, con 1.156 ataques registrados durante el año, un aumento del 32% con respecto a 2024. Por el contrario, el sector educativo representó el 3,6% de los ataques en 2025.

Las empresas más pequeñas fueron las más afectadas por esa actividad. Las empresas con hasta 200 empleados y unos ingresos anuales de 25 millones de dólares o menos fueron el objetivo con mayor frecuencia que las empresas más grandes.

Estados Unidos siguió representando la mayor parte de la actividad de ransomware, representando el 64% de los casos reportados en todo el mundo. NordStellar rastreó 3255 ataques contra organizaciones con sede en EE. UU., un 28% más que el año anterior. Canadá y Alemania también experimentaron fuertes aumentos.

«Las PYMES son objetivos atractivos para los ataques de ransomware porque a menudo carecen de personal y herramientas de seguridad y operan con presupuestos limitados de ciberseguridad», dijo Noreika. «Las organizaciones más pequeñas también tienen más probabilidades de depender de software obsoleto, tener un monitoreo de seguridad limitado y depender de proveedores externos para soporte de TI».

Reorganización de los grupos de ransomware

Los cambios en la orientación coincidieron con cambios más amplios en el ecosistema de ransomware como servicio. Varios grupos establecidos cerraron durante 2025, mientras que las operaciones más nuevas se expandieron absorbiendo afiliados desplazados.

Qilin surgió como la operación de ransomware más activa, con 1.066 casos, un aumento del 408 % desde 2024. Akira le siguió con 947 casos, un aumento del 125 % año tras año.

RansomHub, que lideró la actividad de ransomware a principios de año, dejó de funcionar en abril después de desacuerdos internos. LockBit ya había dejado de operar luego de importantes interrupciones a fines de 2024.

Symantec identificó 134 grupos de ransomware activos en 2025, en comparación con 103 en 2024, un aumento del 30%.

Extorsión sin cifrado

Las técnicas de ataque continuaron evolucionando a medida que más grupos abandonaron el cifrado de archivos en favor de la extorsión de datos pura.

El grupo Snakefly, que opera el ransomware Cl0p, desempeñó un papel destacado tras explotar vulnerabilidades de día cero en software empresarial. En octubre, el grupo atacó a los usuarios de Oracle E-Business Suite a través de una vulnerabilidad crítica, CVE-2025-61882. Según Symantec, la vulnerabilidad había sido explotada desde agosto.

Los investigadores también rastrearon la aparición del ransomware Warlock, que parece originarse en China y no en los bastiones tradicionales del ransomware. Warlock se observó por primera vez en junio de 2025 y llamó la atención el mes siguiente después de explotar una vulnerabilidad de día cero en Microsoft SharePoint, rastreada como CVE-2025-53770.

«La participación de actores de espionaje chinos en ransomware es un fenómeno creciente», dice el informe de Symantec. «Los atacantes detrás de Warlock parecen ser una clase diferente de cibercriminales, donde el cibercrimen es una de las actividades principales del grupo y no una actividad secundaria».

Preparándose para 2026

Los investigadores de seguridad dicen que las organizaciones deberían asumir que la presión del ransomware seguirá aumentando.

«Dado el aumento en 2025, es probable que los incidentes de ransomware en 2026 superen los 12.000», dijo Noreika. «Las empresas, especialmente las PYMES y aquellas que operan en industrias donde el tiempo de inactividad operativa es inaceptable, deberían estar en alerta máxima y reevaluar su preparación para combatir el ransomware».

Las empresas de seguridad siguen recomendando controles básicos, como parches periódicos, autenticación multifactor y copias de seguridad fuera de línea para limitar las interrupciones cuando los ataques tienen éxito.

Para obtener el informe completo, visite el sitio de NordStellar aquí.

We use cookies in order to give you the best possible experience on our website. By continuing to use this site, you agree to our use of cookies.
Accept