X-twitter

Informe sobre ransomware 2025: Resiliencia en un panorama de amenazas impulsado por la IA

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

El ransomware se ha consolidado como la mayor amenaza cibernética de esta década. El Informe sobre ransomware 2025 de Akamai revela un escenario cada vez más complejo, donde la convergencia entre ciberdelincuencia, hacktivismo e inteligencia artificial está redefiniendo las tácticas de extorsión digital.

En 2024, los ataques de ransomware crecieron un 37 % y representaron el 44 % de las brechas de datos globales, con picos especialmente altos en Asia-Pacífico (51 % de las incidencias) y un impacto notable en Europa (27 %) y Latinoamérica (29 %).

El papel de la IA y los LLM en el nuevo ransomware

Grupos como FunkSec y Black Basta han incorporado inteligencia artificial generativa (GenAI) y modelos de lenguaje (LLM) para perfeccionar sus campañas:

  • Creación automática de código malicioso y variantes de ransomware.
  • Chatbots de negociación que interactúan directamente con las víctimas.
  • Phishing hiperrealista y vishing que suplantan identidades corporativas.
  • Uso de herramientas emergentes como WormGPT o FraudGPT, que democratizan la capacidad de lanzar ataques avanzados sin necesidad de grandes conocimientos técnicos.

La consecuencia es clara: un aumento de la escala, la sofisticación y la frecuencia de los ataques.

De la doble a la cuádruple extorsión

El informe detalla cómo las tácticas de los atacantes han evolucionado:

  1. Extorsión simple: cifrado de datos y exigencia de rescate.
  2. Doble extorsión: amenaza adicional de filtrar la información robada.
  3. Triple extorsión: presión a terceros (empleados, socios, clientes) o ataques DDoS para forzar el pago.
  4. Cuádruple extorsión: utilización de normativas regulatorias contra la víctima, denunciando supuestas violaciones ante organismos oficiales.

Un ejemplo paradigmático es CL0P, que en febrero de 2025 reivindicó 385 ataques en pocas semanas, estableciendo un récord histórico. Por su parte, Black Basta alcanzó más de 120.000 intentos de ataque en una sola semana, mientras que LockBit, pese a operaciones policiales en su contra, mantiene actividad con reapariciones y rebrandings continuos.

El ecosistema RaaS: ransomware como servicio

El modelo de negocio RaaS (Ransomware-as-a-Service) ha transformado el panorama. Hoy cualquier actor con conocimientos limitados puede lanzar campañas sofisticadas gracias a kits listos para usar.

El ecosistema incluye:

  • Desarrolladores, que crean y actualizan el malware.
  • Afiliados, responsables de ejecutar los ataques y negociar rescates (se llevan hasta el 90 % de las ganancias).
  • Corredores de acceso inicial (IABs), que venden accesos a redes corporativas vulnerables.

Este modelo, comparable a una industria de software legítima, ha democratizado el ransomware y multiplicado su alcance.

Hacktivismo y ransomware: una frontera difusa

Un fenómeno emergente es la convergencia entre ciberdelincuencia financiera y hacktivismo ideológico. Grupos como DragonForce, KillSec o CyberVolk utilizan ransomware no solo para obtener beneficios económicos, sino también para financiar campañas políticas o desestabilizar gobiernos.

En paralelo, colectivos como Head Mare, Twelve y NullBulge han adoptado el ransomware como herramienta de disrupción política y social, aprovechando incluso versiones filtradas de LockBit para atacar comunidades online, desarrolladores de IA y plataformas de videojuegos.

TrickBot: un viejo conocido que sigue dando guerra

El informe dedica un apartado al malware TrickBot, vinculado al grupo Wizard Spider y activo desde 2016.

  • Originalmente diseñado como troyano bancario, hoy es una plataforma modular usada como vector inicial en campañas de ransomware.
  • Se estima que TrickBot ha facilitado la extorsión de más de 724 millones de dólares en criptomonedas.
  • Pese a operaciones internacionales de Europol y Eurojust en 2025 (Endgame 2.0), sigue mostrando capacidad de regeneración.

Sectores más afectados en 2025

El ransomware no discrimina, pero hay industrias especialmente castigadas:

  • Fabricación: más de 400 compañías afectadas en el primer trimestre de 2025, con costes medios de recuperación de 1,7 millones de dólares.
  • Sanidad: el rescate medio asciende a 860.000 dólares, con pérdidas por inactividad de 1,9 millones diarios.
  • Administraciones públicas: ataques en EE. UU., Brasil e Indonesia provocaron parálisis de servicios esenciales y demandas millonarias.
  • Educación: colegios y universidades con sistemas obsoletos son objetivos fáciles; se han registrado rescates de hasta 1,5 millones de dólares.

Costes y continuidad operativa

El daño va mucho más allá del pago del rescate:

  • 21 días de inactividad media tras un ataque.
  • Recuperación media en 2024: 2,73 millones de dólares, sin contar rescates.
  • Impactos en reputación, confianza de clientes y cumplimiento regulatorio (ej. GDPR, HIPAA).
  • Riesgo de cierre definitivo en empresas sin planes sólidos de continuidad.

Cómo aumentar la resiliencia

El informe plantea un marco de mitigación basado en varias capas:

  • Arquitectura Zero Trust con microsegmentación para frenar movimientos laterales.
  • Copias de seguridad seguras y probadas regularmente, aisladas de la red principal.
  • Detección en tiempo real con IA defensiva, capaz de contrarrestar la velocidad de los atacantes.
  • Protección del perímetro y las APIs, frente a vulnerabilidades de día cero.
  • Planes de continuidad y seguros cibernéticos, cada vez más comunes: se prevé que las primas globales alcancen los 23.000 millones de dólares en 2026.

El mensaje central: adoptar una mentalidad de “asumir compromiso”, es decir, dar por hecho que el ataque llegará y preparar la organización para resistir y recuperarse rápidamente.

Conclusión

El ransomware de 2025 es más sofisticado, industrializado y diversificado que nunca. La irrupción de la inteligencia artificial ha reducido las barreras de entrada y ha multiplicado la efectividad de los ataques. La única respuesta viable para empresas, gobiernos y organizaciones es reforzar su resiliencia, combinar prevención con detección temprana y asumir que la defensa absoluta ya no existe.

El reto no es solo evitar un ataque, sino sobrevivir a él sin que suponga el fin de la organización.

Preguntas frecuentes (FAQ)

¿Qué es la cuádruple extorsión en ransomware?
Es una táctica en la que, además de cifrar datos, robar información y amenazar con DDoS, los atacantes presionan a la víctima denunciando supuestas violaciones regulatorias (como GDPR o HIPAA) para multiplicar el daño.

¿Qué grupos son más activos en 2025?
CL0P, LockBit, Black Basta, FunkSec y RansomHub encabezan la lista, aunque también destacan híbridos hacktivistas como DragonForce o KillSec.

¿Por qué se habla de ransomware como servicio (RaaS)?
Porque muchos grupos venden o alquilan sus kits de ransomware en la dark web, permitiendo que afiliados sin grandes conocimientos técnicos ejecuten campañas a cambio de un reparto de beneficios.

¿Qué medidas ayudan a resistir un ataque de ransomware?
Adoptar Zero Trust, aplicar microsegmentación, mantener copias de seguridad aisladas, contar con planes de continuidad de negocio y usar soluciones de detección basadas en IA son algunas de las más recomendadas en el informe de Akamai 2025.

Más información en Akamai.

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Silvia A. Feliz

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

El sur de Taiwán se consolida como un polo global de semiconductores e inteligencia artificial con 300 startups internacionales

Informe sobre ransomware 2025: Resiliencia en un panorama de amenazas impulsado por la IA

NVIDIA presenta el GB10 Superchip: la revolución de los AI PCs con arquitectura Blackwell

Samsung sopesa una alianza estratégica con Intel para ganar el favor de Trump y reforzar el “Made in USA”

×