Boom del ransomware no muestra señales de desaceleración en el mundo

El año 2025 confirmó los peores temores de los expertos en seguridad digital: la epidemia de ransomware continúa expandiéndose, sin señales de desaceleración. En los primeros meses de 2025, el volumen global de ataques de ransomware experimentó un aumento asombroso, con un incremento de 1261 TP3T en comparación con el año anterior, según datos de SonicWall. Entre enero y junio, se expusieron 4198 ataques en foros de la dark web, casi 501 TP3T más que en el mismo período de 2024.

Los delincuentes se benefician de estos ataques digitales y los reinvierten, haciéndolos cada vez más frecuentes y sofisticados. Si bien estos ataques afectan a organizaciones de todos los tamaños, algunos sectores y perfiles empresariales se han visto más afectados. El impacto se ha visto agravado por la dificultad de proteger operaciones geográficamente distribuidas y la persistencia de sistemas heredados sin parches de seguridad.

Además, las pequeñas y medianas empresas no son inmunes: las organizaciones con entre 50 y 200 empleados lideraron las estadísticas a nivel mundial. Los estudios indican que esta vulnerabilidad de las medianas empresas se debe, en parte, a su dependencia de proveedores externos de TI y a la falta de medidas integrales de ciberseguridad.

Escalada global y grupos más activos de 2025

En medio de esta ola global de ataques, algunos grupos de ransomware destacan por su agresividad y el volumen de incidentes que causan. En el segundo trimestre de 2025, por ejemplo, tres bandas lideraron la clasificación de actividad delictiva: el grupo Qilin fue responsable de 214 ataques en ese período, seguido de cerca por SafePay (con 201 incidentes) y Akira (200 ataques). Estos nombres relativamente nuevos se unen a las filas de conglomerados de ciberdelincuencia ya conocidos.

Grupos veteranos como LockBit 3.0, BlackCat (ALPHV) y Cl0p siguen estando entre los más temidos y activos del mundo. Para que se hagan una idea, solo a LockBit se le atribuyeron más de 1400 ataques en el primer trimestre de 2025. Esta operación a gran escala convierte a LockBit y a grupos similares en una amenaza omnipresente en varios continentes. Estados Unidos sigue liderando el número de víctimas, representando aproximadamente la mitad de los casos reportados a nivel mundial a principios de 2025.

Pero las operaciones de estos grupos son verdaderamente globales: empresas en Europa, Asia y otras regiones también son blanco de ataques, incluyendo mercados emergentes menos preparados. En la práctica, los delincuentes atacan donde hay dinero y vulnerabilidades. Sectores críticos como la manufactura, los servicios financieros, la salud e incluso la educación ya se han visto afectados por diferentes variantes de ransomware. En Brasil y Latinoamérica, la situación no es diferente, con ataques que paralizan todo, desde fábricas hasta agencias gubernamentales. Para las organizaciones víctimas, el daño va mucho más allá del rescate financiero: se interrumpen operaciones esenciales, se pierden datos confidenciales y se produce un daño reputacional potencialmente devastador. Es importante destacar que los delincuentes de ransomware han profesionalizado sus operaciones.

América Latina en la mira: sectores críticos y respuestas estratégicas

Si alguien aún considera a Latinoamérica como un actor secundario en el panorama de las ciberamenazas, cifras recientes disipan esa idea errónea. La región se ha convertido en un objetivo estratégico tanto para bandas financieras como para otros actores maliciosos. Según un informe de CrowdStrike, los ataques de ransomware aumentaron un 151% en Latinoamérica el año pasado, con especial incidencia en Brasil, México y Argentina. Brasil, en particular, es el país más atacado por los ciberdelincuentes en la región, liderando no solo el número de incidentes, sino también el volumen de datos robados expuestos en filtraciones de la dark web.

Una encuesta de SonicWall refuerza este panorama: Latinoamérica experimentó el mayor aumento proporcional de ataques de ransomware en 2025, con Brasil registrando más de 4000 ataques solo en el primer trimestre del año. En febrero de 2025, el país alcanzó un máximo histórico, con más de 960 ataques de ransomware en un solo mes.

Estas estadísticas destacan que la región se ha convertido en el blanco de los grupos globales de ransomware. Varios factores explican esta tendencia. Los expertos afirman que la heterogeneidad de la infraestructura digital, la falta de desarrollo de la gobernanza de la seguridad e incluso la evolución de las leyes convierten a muchos países latinoamericanos en blancos vulnerables.

Para los delincuentes, mercados como Brasil ofrecen una excelente relación calidad-precio: las probabilidades de éxito son altas, y los rescates pagados localmente suelen ser similares a los cobrados en países más ricos. Esto ha provocado un cambio en el enfoque de los ataques: bandas que antes se centraban en Europa o Estados Unidos ahora han expandido sus campañas a Latinoamérica.

Como resultado, los sectores críticos no se salvan. Los informes indican que la industria, el gobierno, la agricultura, la energía y el comercio minorista se encuentran entre los principales objetivos de los ataques en la región. En otras palabras, la infraestructura esencial, los servicios públicos y las empresas estratégicas han sufrido interrupciones y filtraciones de datos.

Ante este escenario, la realidad es clara: ya no hay margen para la improvisación ni la negligencia. Las empresas latinoamericanas deben abandonar su postura reactiva y adoptar una estrategia proactiva e integrada que combine tecnología robusta, procesos rigurosos y la constante atención del equipo. Los ataques de ransomware no desaparecerán pronto, y quienes reaccionen con lentitud probablemente se enfrentarán a crisis más grandes y frecuentes.

Ahora les toca a los líderes empresariales reconocer que la ciberseguridad ya no es solo un desafío tecnológico, sino una cuestión de supervivencia estratégica. Invertir en medidas preventivas sólidas, fortalecer los planes de respuesta y priorizar la seguridad digital como pilar fundamental es la única manera viable de proteger la continuidad del negocio.

La pregunta ya no es si una organización será atacada, sino cuándo. Por lo tanto, anticiparse a los delincuentes, con una postura firme y defensiva, marcará la diferencia entre las empresas que sucumben a los ataques y las que prosperan, incluso ante la amenaza constante del ransomware.