Hoy 12 de mayo es el día internacional de lucha contra el ransomware, una de las epidemias de códigos malignos más persistentes y costosas para organizaciones y personas naturales. Un informe presentado por Kaspersky en el sitio Secure List en este día que fue firmado por Fabio Assolini, Maher Yamout, Marc Rivero y Dimitri Galov bajo el título que da nombre a esta entrada al Blog, se hace un análisis de las tendencias hacia las que se mueve el ransomware a nivel mundial que vale la pena revisar para conocer peculiaridades interesante.
Fuente: Secure List. En el encontrarán otros enlaces interesantes.
A partir de aquí el contenido del artículo.
Tendencias y cifras globales del ransomware.
Con motivo del Día internacional de lucha contra el ransomware, que se celebra el 12 de mayo, Kaspersky analiza la evolución del panorama de amenazas relacionadas con el ransomware y sus repercusiones en la ciberseguridad. Según datos de Kaspersky Security Network, las detecciones de ransomware cayeron un 18 % entre 2023 y 2024, pasando de 5 715 892 a 4 668 229 casos. Al mismo tiempo, la proporción de usuarios que fueron afectados por ataques de ransomware aumentó en 0,02 p.p. y alcanzó el 0,44 %. Este porcentaje, inferior al de otras ciberamenazas, se debe a que los atacantes rara vez hacen distribuciones masivas de este tipo de malware. En su lugar, prefieren centrarse en objetivos de alto valor, lo que reduce el número total de incidentes.
Dicho esto, al analizar los incidentes en organizaciones que necesitaron respuesta inmediata y fueron atendidos por el Equipo de Respuesta de Emergencia Global de Kaspersky (GERT), vemos que en 2024 el 41,6 % de ellos estuvieron relacionados con ransomware, frente al 33,3 % en 2023. Parece que en un futuro el ransomware selectivo seguirá siendo la principal amenaza para las organizaciones de todo el mundo.
A continuación, presentamos las principales tendencias globales sobre ransomware en 2024, según Kaspersky.
Predominio del Ransomware como Servicio (RaaS)
El modelo RaaS sigue siendo el marco predominante para los ataques de ransomware, ya que favorece su expansión al reducir las barreras técnicas para los ciberdelincuentes. En 2024, plataformas RaaS como RansomHub se expandieron, ofreciendo malware, asistencia técnica y programas de afiliados que repartían las ganancias de los rescates (por ejemplo, 90/10 entre los afiliados y el grupo central). Este modelo permite a actores con menos habilidades ejecutar ataques sofisticados, lo que contribuyó a la aparición de varios grupos de ransomware en 2024. A pesar de la persistencia del ransomware tradicional, la escalabilidad y rentabilidad del RaaS lo posicionan como el principal impulsor de este fenómeno, con plataformas que avanzan al incorporar servicios como la intermediación de acceso inicial y la exfiltración de datos, lo que garantiza su dominio hasta 2025.
Algunos grupos siguen expandiéndose a múltiples plataformas, pero Windows sigue siendo el objetivo principal.
Muchos ataques de ransomware siguen teniendo como objetivo los sistemas Windows, debido a su uso generalizado en entornos empresariales. La arquitectura de Windows, sumada a las vulnerabilidades en software como el Protocolo de Escritorio Remoto (RDP) y los sistemas sin parches, lo convierte en uno de los principales objetivos para los ataques de ransomware. Sin embargo, en los últimos años algunos atacantes se han diversificado, y grupos como RansomHub y Akira están desarrollando variantes para sistemas Linux y VMware, particularmente los que se ejecutan en la nube y en entornos virtualizados. Aunque Windows sigue siendo el principal objetivo, el creciente enfoque en el ransomware multiplataforma refleja un interés hacia la explotación de infraestructuras diversas, especialmente a medida que las organizaciones adoptan configuraciones híbridas y de nube. Esta tendencia no es nueva, y pronosticamos que persistirá en los próximos años.
Una disminución en los pagos totales de los rescates exigidos por el ransomware, un aumento en el pago promedio del rescate
En 2024, según Chainalysis, los pagos por ransomware fueron de unos $813,35 millones, lo que representa una caída notable del 35 % respecto al récord de $1,25 mil millones que tuvo lugar en 2023. Por otro lado, Sophos informa que el pago promedio de rescate se disparó, aumentando de $1 542 333 en 2023 a $3 960 917 en 2024, lo que refleja la tendencia de atacar a organizaciones más grandes con demandas más altas. Este informe también destaca que más organizaciones pagaron un rescate para recuperar sus datos, y se contrapone a otros informes que afirman que en 2024 menos organizaciones pagaron rescates que en 2023. Por ejemplo, según la empresa Coveware, que se especializa en combatir el ransomware, la tasa de pagos alcanzó un mínimo histórico del 25 % en el cuarto trimestre de 2024, inferior al 29 % observado en el cuarto trimestre de 2023, gracias a las medidas enérgicas de las fuerzas del orden, la mejora de la ciberseguridad y las presiones regulatorias que desincentivan los pagos.
Aunque el cifrado sigue siendo un componente central de muchos ataques de ransomware, el objetivo principal de algunos grupos ha cambiado o se ha expandido más allá de bloquear datos.
En 2024, los ciberdelincuentes priorizaron cada vez más la exfiltración de datos junto con el cifrado (o a veces, en su lugar) enfocándose en robar información sensible para maximizar su poder de negociación y ganancias, o incluso extendiendo amenazas a terceros, como clientes, socios, proveedores, etc. El cifrado se sigue usando mucho, pero el aumento de las tácticas de doble y triple extorsión muestra un cambio estratégico. RansomHub y la gran mayoría de los grupos modernos de ransomware a menudo combinan el cifrado con el robo de datos, amenazando con filtrar o vender datos robados si no se pagan los rescates, haciendo de la exfiltración una táctica de importancia crítica.
Actores de ransomware desmantelados o neutralizados en 2024
Aunque en 2024 se desarticularon varios grupos de ransomware importantes, el ecosistema delictivo logró reorganizarse, lo que limitó el efecto de estas operaciones a largo plazo. LockBit, responsable del 27,78 % de los ataques en 2023, recibió un duro golpe de la Operación Cronos en febrero de 2024, cuando las fuerzas del orden incautaron su infraestructura, arrestaron a sus miembros y desenmascararon a su líder, Dmitry Khoroshev. Sin embargo, a pesar de todos estos esfuerzos, LockBit reanudó sus operaciones y se mantuvo activo durante todo 2024.
ALPHV/BlackCat, otro grupo prolífico, fue desmantelado después de una operación del FBI en diciembre de 2023, pero los afiliados migraron a otros grupos como RansomHub. En agosto de 2024, el FBI logró desarticular la operación Radar/Dispossessor, mientras que las autoridades alemanas incautaron 47 plataformas de criptomonedas vinculadas al lavado de dinero procedente de ransomware. A pesar de estos golpes contra el ransomware, grupos como RansomHub y Play no tardaron en ocupar su lugar, lo que demuestra lo difícil que es acabar con estas redes. No obstante, conviene señalar que, según las investigaciones más recientes, el grupo RansomHub habría detenido sus actividades a partir del 1 de abril de 2025.
Cuando unos grupos desaparecen, otros toman el relevo
A menudo, cuando los grupos de ransomware se disuelven o desaparecen, sus herramientas, tácticas e infraestructura permanecen accesibles en el ecosistema cibercriminal, lo que permite que otros grupos las adopten y mejoren. Por ejemplo, grupos como BlackMatter o REvil, tras enfrentarse a la presión de las fuerzas del orden, vieron cómo su código y métodos fueron reutilizados por sucesores como BlackCat, al que posteriormente siguió Cicada3301. Los grupos que desaparecen también pueden vender su código fuente, kits de explotación o modelos de afiliación en foros de la dark web, lo que permite a pandillas emergentes o existentes reutilizar estos recursos. Además, a veces las herramientas maliciosas terminan filtrándose en internet, como sucedió con LockBit 3 0. Como resultado, muchos grupos más pequeños o actores individuales que no tienen nada que ver con los desarrolladores de ransomware, incluidos hacktivistas y ciberdelincuentes de baja habilidad, obtienen estas herramientas y las utilizan para sus propios fines. Este ciclo de transferencia de conocimiento acelera la evolución del ransomware, ya que nuevos actores se basan en estrategias consolidadas, se adaptan a las contramedidas y explotan vulnerabilidades más rápido de lo que los defensores pueden responder. La telemetría de estos nuevos grupos que utilizan herramientas antiguas hace que se los identifique como grupos antiguos (por ejemplo, LockBit).
Los grupos de ransomware desarrollan cada vez más sus propios conjuntos de instrumentos personalizados
Esto se hace para mejorar la efectividad de sus ataques y evadir la detección. Estos conjuntos de instrumentos a menudo incluyen herramientas de explotación, de movimiento lateral, herramientas de ataque de contraseñas, etc., adaptadas a objetivos o industrias específicas. Al crear herramientas propietarias, estos grupos evitan depender de exploits disponibles a un amplio público y fáciles de detectar, y mantienen el control sobre sus operaciones. El desarrollo interno también facilita las actualizaciones frecuentes para contrarrestar defensas y explotar nuevas vulnerabilidades, haciendo que sus ataques sean más resistentes y difíciles de mitigar por las medidas de ciberseguridad.
Comparación entre ransomware general y selectivo
Los ataques de ransomware selectivo, dirigidos a organizaciones específicas para causar el mayor daño posible y obtener el mayor rescate, se centran en objetivos de alto valor como hospitales, instituciones financieras y agencias gubernamentales, aprovechando el reconocimiento y los exploits de día cero para lograr precisión. El ransomware general, que se propaga indiscriminadamente a través de phishing o dispositivos externos, a menudo afecta a pequeñas empresas o individuos con niveles de protección más bajos. El enfoque en los ataques selectivos refleja la preferencia de los ciberdelincuentes por rescates más grandes, aunque el ransomware general sigue presente debido a que necesita poco esfuerzo para alcanzar a un gran número de víctimas.
Según un estudio llevado a cabo por Kaspersky, RansomHub fue el grupo que más ataques selectivos lanzó en 2024, seguido por Play.
Porcentaje de víctimas de cada grupo según su sitio de filtración de datos (DLS) en relación con el total de víctimas publicadas por los grupos durante el período analizado
Instrumentos de IA utilizados en el desarrollo de ransomware (FunkSec)
FunkSec surgió como un grupo de ransomware a finales de 2024, y pronto ganó notoriedad al reclamar múltiples víctimas en diciembre, superando a grupos establecidos como Cl0p y RansomHub. Operando bajo un modelo de Ransomware como Servicio (RaaS), FunkSec emplea tácticas de doble extorsión, que combinan el cifrado de datos con la exfiltración. El grupo apunta a sectores como el gobierno, la tecnología, las finanzas y la educación en países como India, España y Mongolia.
FunkSec se destaca por su fuerte dependencia de instrumentos asistidos por IA, en particular durante el desarrollo de malware. Sus características de ransomware incluyen código generado por IA con comentarios que son perfectos desde la perspectiva del lenguaje, lo que sugiere el uso de Modelos de Lenguaje de Gran Escala (LLMs) para agilizar el desarrollo y evadir la detección. A diferencia de los grupos típicos de ransomware que exigen sumas millonarias, FunkSec impone rescates muy bajos y sigue una estrategia de gran volumen a precios reducidos.
Continúan los ataques Bring Your Own Vulnerable Driver (BYOVD)
El uso de la técnica “Trae tu propio driver vulnerable” (BYOVD, por sus siglas en inglés) es cada vez más común en los ataques de ransomware para eludir las defensas de seguridad y obtener acceso a nivel de kernel en sistemas Windows.
Los ataques BYOVD implican que los atacantes despliegan un controlador legítimo pero vulnerable, que a menudo tiene una firma digital de un proveedor de confianza o Microsoft, en un sistema objetivo. Estos controladores, que operan a nivel del kernel (ring 0) con altos privilegios, contienen fallas explotables que permiten a los atacantes desactivar herramientas de seguridad, escalar privilegios o ejecutar código malicioso sin ser detectados. Con los controladores firmados, los atacantes evaden las verificaciones de seguridad predeterminadas de Windows.
Aunque BYOVD es una técnica avanzada, existe una variedad de herramientas de código abierto como EDRSandblast y Backstab, que reducen las barreras técnicas y simplifican tales ataques. Según el proyecto Living Off The Land Drivers (LOLDrivers), se conocen cientos de controladores explotables, lo que resalta la magnitud del problema. Los atacantes descubren nuevos controladores vulnerables con frecuencia, y herramientas como KDMapper permiten cargar controladores no firmados en la memoria mediante BYOVD, lo que complica las tareas de defensa.
Tendencias y cifras regionales de ransomware
En las regiones de Medio Oriente y Asia-Pacífico, el ransomware afectó a una mayor proporción de usuarios debido a la rápida transformación digital, la expansión de las superficies de ataque y los niveles variables de madurez de la ciberseguridad. En la región Asia-Pacífico, muchas empresas fueron blanco de ataques, sobre todo contra infraestructuras y tecnología operativa, en países con economías en crecimiento y nuevas leyes de protección de datos.
El ransomware en África es menos prevalente debido a los menores niveles de digitalización y las restricciones económicas, lo que reduce el número de objetivos de alto valor. Sin embargo, a medida que países como Sudáfrica y Nigeria expanden sus economías digitales, los ataques de ransomware aumentan, sobre todo en los sectores financiero y gubernamental. La limitada conciencia sobre ciberseguridad y los pocos recursos dejan a muchas organizaciones vulnerables, aunque la menor superficie de ataque mantiene a la región detrás de los puntos críticos globales.
América Latina también experimenta ataques de ransomware, ante todo en países como Brasil, Argentina, Chile y México. Los sectores de manufactura, administración pública y agricultura, así como sectores críticos como la energía y el comercio minorista, también son blanco de ataques. Sin embargo, las limitaciones económicas y los rescates de menor cuantía disuaden a algunos atacantes.La creciente adopción digital de la región está aumentando la exposición. Por ejemplo, el ransomware NightSpire afectó a la empresa chilena EmoTrans, una empresa de logística que atiende a industrias clave como la minería, la agricultura y el comercio internacional en Chile. La primera aparición del grupo tuvo lugar en marzo de 2025 y atacó instituciones gubernamentales, fabricantes y otras empresas en diferentes partes del mundo. Al igual que muchos otros grupos, NightSpire sigue la estrategia de doble extorsión y tiene su propio sitio de filtración de datos (DLS).
En la Comunidad de Estados Independientes (CEI), se observa una menor proporción de usuarios afectados por ransomware. Sin embargo, grupos de hacktivistas como Head Mare, Twelve y otros, activos en la región, a menudo utilizan ransomware, como LockBit 3 0, para causar daño a las organizaciones objetivo. Los sectores de manufactura, gobierno y comercio minorista son los más atacados, y los diferentes niveles de madurez en ciberseguridad en la región afectan la seguridad de estos sectores.
Europa también enfrenta el ransomware, pero se beneficia de sólidos marcos y regulaciones de ciberseguridad, lo que disuade a algunos atacantes. Los ataques apuntan a sectores como el de las manufacturas, agricultura y educación, pero la sólida respuesta a incidentes y la concientización limitan la escala de los ataques. Las economías diversificadas de la región y sus sólidas defensas hacen que sea un objetivo menor para los grupos de ransomware en comparación con regiones con un crecimiento digital rápido y menos seguro.
Por ejemplo, RansomHub se atribuyó la responsabilidad de un ataque en 2024 a las oficinas europeas de Kawasaki, que interrumpió las operaciones en varios países. La brecha comprometió datos de clientes y operativos, afectando las cadenas de suministro de productos industriales y de motocicletas de Kawasaki en Europa. El impacto regional fue notable en países como Alemania y los Países Bajos, donde Kawasaki tiene una fuerte presencia en el mercado, destacando vulnerabilidades en el sector productivo de Europa.
Amenazas emergentes y perspectivas futuras
De cara a 2025, se espera que el ransomware evolucione explotando vulnerabilidades no convencionales, como lo demostró el uso de una cámara web por parte de la banda Akira para eludir los sistemas de detección y respuesta en los endpoints e infiltrar redes internas. Es probable que los atacantes apunten cada vez más a puntos de entrada que se suelen pasar por alto, como dispositivos IoT, electrodomésticos inteligentes o hardware mal configurado en oficinas, aprovechando así la superficie de ataque en expansión que generan los sistemas interconectados. A medida que las organizaciones refuercen las defensas tradicionales, los ciberdelincuentes irán refinando sus tácticas, enfocándose en el reconocimiento sigiloso y el movimiento lateral dentro de las redes para desplegar ransomware con mayor precisión, para dificultar que los defensores lo detecten y respondan a tiempo.
Es probable que los grupos de ransomware intensifiquen sus estrategias de extorsión, pasando de la doble extorsión hacia enfoques más agresivos, como amenazar con filtrar datos sensibles a reguladores, competidores o al público. El modelo de ransomware como servicio seguirá prosperando, permitiendo que actores con menos habilidades lancen ataques sofisticados después de comprar acceso a instrumentos y kits de explotación listos para usar. Las tensiones geopolíticas podrían fomentar aún más el hacktivismo y las campañas de ransomware patrocinadas por estados, dirigidas a infraestructuras críticas, como las redes energéticas o los sistemas de salud, como parte de la guerra híbrida. Las organizaciones más pequeñas con presupuestos limitados para ciberseguridad enfrentarán riesgos mayores a medida que los atacantes exploten sus defensas más débiles. Para adaptarse, las empresas deben adoptar modelos de seguridad de confianza cero, proteger los ecosistemas de IoT y priorizar la capacitación de los empleados para mitigar las amenazas de phishing e ingeniería social.
La proliferación de modelos extensos de lenguaje (LLM) diseñados para el cibercrimen amplificará aún más el alcance e impacto del ransomware. Los modelos de lenguaje (LLMs) disponibles en la dark web facilitan la creación de código malicioso, campañas de phishing y ataques de ingeniería social, lo que permitirá a actores con menos habilidades generar señuelos más persuasivos o automatizar el lanzamiento de ransomware. A medida que los desarrolladores adoptan con rapidez conceptos innovadores como la automatización robótica de procesos (RPA) y las plataformas low-code, que permiten crear software con interfaces visuales, intuitivas y asistidas por IA mediante acciones de arrastrar y soltar, es probable que los autores de ransomware también empiecen a usarlas para automatizar sus ataques y generar nuevo código, lo que haría que esta amenaza se vuelva aún más común.
Recomendaciones.
Para contrarrestar con eficacia el ransomware en 2025, las organizaciones e individuos deben adoptar una estrategia de defensa de múltiples capas que aborde las tácticas en evolución de grupos como FunkSec, RansomHub y otros que aprovechan la inteligencia artificial, el uso de controladores vulnerables propios (BYOVD) y la doble extorsión.
Priorice la prevención proactiva mediante la aplicación de parches y la gestión de vulnerabilidades. Debido a que muchos ataques de ransomware explotan sistemas sin parches, las organizaciones deben implementar herramientas de administración de parches automatizadas para garantizar la actualización oportuna de sistemas operativos, software y controladores. Para entornos de Windows, habilitar la lista de bloqueo de controladores vulnerables de Microsoft es fundamental para prevenir ataques BYOVD. Realice escaneos regulares en busca de vulnerabilidades y priorice aquellas de alta gravedad, sobre todo en software muy difundido como Microsoft Exchange o VMware ESXi, que sufrieron crecientes ataques de ransomware en 2024.
Refuerce la seguridad de los endpoints y de la red con detección y segmentación avanzadas. Despliegue soluciones sólidas de detección y respuesta en los endpoints, como Kaspersky NEXT EDR, para monitorear actividades sospechosas como la carga de controladores o la terminación de procesos. La segmentación de red también es crucial: limite el movimiento lateral aislando los sistemas críticos y utilizando firewalls para restringir el tráfico. Implemente una arquitectura de confianza cero, que requiera autenticación continua para el acceso.
Invierta en copias de seguridad, capacitación y planificación de respuesta a incidentes. Mantenga copias de seguridad fuera de línea o inmutables, pruébelas a intervalos regulares, para asegurar una recuperación rápida sin pagar rescates. Las copias de seguridad deben cubrir datos y sistemas críticos, almacenados en entornos aislados para resistir el cifrado o la eliminación. La capacitación de los usuarios es esencial para combatir el phishing, que sigue siendo uno de los principales vectores de ataque. Realice ejercicios simulados de phishing y forme al personal para que pueda detectar correos generados con inteligencia artificial, como los que emplean grupos como FunkSec para pasar desapercibidos. Kaspersky GERT puede ayudar a desarrollar y ensayar un plan de respuesta a incidentes para minimizar costos y la posibilidad de inactividad.
La recomendación de no pagar el rescate sigue vigente, sobre todo por el riesgo de no recibir las claves, ya sea por infraestructuras desmanteladas, conflictos entre afiliados o intención maliciosa, como ocurrió en las campañas neutralizadas en 2024. Al invertir en copias de seguridad, planes de respuesta a incidentes y medidas preventivas como la administración de parches y la capacitación continua, la organización puede impedir la financiación de actores maliciosos y minimizar el impacto operativo de un ataque. Kaspersky también ofrece descifradores gratuitos para algunas familias de ransomware. Si sufre un ataque de ransomware, verifique si hay un descifrador disponible para la familia de ransomware utilizada en su caso. Tenga en cuenta que, incluso si todavía no está disponible, lo podríamos agregar más adelante.