El ransomware se consolida en España como una industria criminal profesionalizada

ESET advierte de que el ransomware sigue siendo una de las principales amenazas para las empresas españolas, y que lejos de disminuir, evoluciona hacia un modelo criminal cada vez más profesionalizado, escalable y difícil de anticipar. El análisis de la actividad registrada en España durante los primeros meses de 2026 sitúa a Qilin como el grupo más activo, seguido de The Gentlemen y Nightspire.

Qilin, surgido en 2022, se ha consolidado como uno de los principales exponentes del modelo Ransomware-as-a-Service (RaaS) tanto a nivel nacional como internacional. The Gentlemen, pese a operar también bajo esquemas RaaS, destaca por ataques más dirigidos y menos masivos, con un repunte notable en marzo. Nightspire, más reciente, ha ganado protagonismo desde su aparición en 2025.

El análisis sectorial muestra que la industria es el sector más afectado, seguida de marketing y comunicación, construcción e inmobiliaria, logística y transporte y tecnologías de la información.

ESET identifica dos dinámicas paralelas en España. Por un lado, campañas masivas que afectan sobre todo a pymes y micropymes con defensas limitadas, y por otro, ataques dirigidos contra compañías de mayor tamaño o sectores críticos, donde los delincuentes dedican más tiempo a estudiar el entorno y maximizar la presión. En ambos casos, la estrategia de extorsión se basa en la doble amenaza: cifrado de archivos y robo de información sensible para presionar con su publicación.

Los datos muestran que enero fue uno de los meses con mayor número de casos detectados. ESET destaca que los periodos con más festivos o menor actividad laboral pueden convertirse en ventanas de oportunidad, debido a equipos reducidos, menor supervisión y retrasos en la respuesta permiten que los atacantes permanezcan más tiempo sin ser detectados.

 

El ransomware funciona como un negocio

ESET subraya que el ransomware actual opera bajo una lógica industrial. En este ecosistema participan desarrolladores de malware, operadores de plataformas RaaS, afiliados que ejecutan los ataques, brokers de acceso inicial que venden credenciales robadas y proveedores de herramientas para evadir o desactivar soluciones de seguridad.

Este modelo reduce la barrera de entrada, ya que cada actor se especializa en una parte de la cadena, lo que crea un mercado flexible, competitivo y capaz de adaptarse rápidamente.

Como resume Josep Albors, director de investigación de ESET España, “el ransomware ya no puede entenderse como un ataque aislado. Detrás hay una industria criminal con proveedores, afiliados, herramientas, mercados de credenciales y servicios especializados”.

Los datos globales de ESET confirman la tendencia. Las detecciones de ransomware crecieron un 13% en la segunda mitad de 2025, y ya habían aumentado un 30% en la primera mitad del año. El pago mediano de rescates bajó de 150.000 a 115.000 dólares. ESET interpreta esta caída no como una mejora, sino como un cambio de estrategia con más objetivos, ataques más escalables y rescates más ajustados, orientados a organizaciones pequeñas o con menor madurez en ciberseguridad.

Uno de los aspectos más preocupantes es el auge de herramientas diseñadas para desactivar soluciones de seguridad, los llamados EDR killers, que buscan inutilizar tecnologías clave para detectar comportamientos sospechosos.

ESET insiste en que la protección frente al ransomware debe combinar prevención, inteligencia de amenazas, detección de comportamientos anómalos, respuesta rápida, y planes sólidos de recuperación. Entre las medidas clave destacan copias de seguridad actualizadas y desconectadas, parches de seguridad continuos, protección de accesos remotos, autenticación multifactor, monitorización de credenciales expuestas, formación en ingeniería social, y soluciones capaces de detectar movimiento lateral, escalada de privilegios o desactivación de herramientas de seguridad.