El ransomware se reinventa con más robo de datos y menos beneficios
- Seguridad
Pese al récord de víctimas publicadas en sitios de filtración, la rentabilidad del ransomware está cayendo. Los atacantes están desplazando su foco hacia organizaciones más pequeñas y hacia modelos de extorsión basados únicamente en el robo de datos.
Google Threat Intelligence Group (GTIG) ha publicado un informe que radiografía la evolución del ransomware en 2025 y que apunta a un cambio profundo en el modelo económico de estas operaciones criminales. Aunque el año registró un número récord de víctimas publicadas en sitios de filtración de datos, la rentabilidad general de las operaciones de ransomware parece estar disminuyendo.
El informe sugiere que el ransomware está entrando en una nueva fase, marcada por operaciones más diversificadas, ataques más rápidos y un énfasis creciente en la monetización del dato. La caída de rentabilidad obliga a los grupos a buscar nuevas vías de presión y a ampliar su base de víctimas.
Menor rentabilidad y un giro hacia objetivos más pequeños
El informe señala que la mejora de las prácticas de ciberseguridad y la mayor capacidad de recuperación de las grandes corporaciones están reduciendo los beneficios de los grupos de ransomware. Como consecuencia, los atacantes están cambiando de estrategia y optando por un mayor volumen de ataques contra organizaciones más pequeñas, cuyos sistemas de seguridad suelen ser menos robustos y más fáciles de comprometer.
Este desplazamiento del foco también está impulsando un auge de la extorsión basada exclusivamente en el robo de datos. En 2025, el 77% de las intrusiones analizadas incluyeron exfiltración de información, frente al 57% registrado en 2024. Para muchos actores, la amenaza de publicar datos sensibles resulta más eficaz y rentable que el cifrado tradicional.
El informe también detalla cambios relevantes en las tácticas, técnicas y procedimientos utilizados por los grupos de ransomware. Estos confiaron más en la explotación de vulnerabilidades en infraestructuras expuestas, reduciendo el uso de ataques de fuerza bruta o credenciales robadas, que habían sido predominantes el año anterior.
Aunque los atacantes siguen apoyándose en utilidades nativas y herramientas públicas, se observa una disminución en categorías como herramientas de gestión remota y marcos de post-explotación como CobaltStrike.
La familia de ransomware REDBIKE fue la más prevalente, presente en casi un 30% de los casos analizados.
