El último Ransomware Threat Intelligence Report de Check Point Software muestra que este tipo de ataques sigue evolucionando, con un ecosistema cada vez más fragmentado, sofisticado y difícil de rastrear. La tendencia apunta hacia nuevas formas de extorsión, donde los delincuentes ya no dependen solo del cifrado de datos.
Principales hallazgos
La IA se incorpora a las campañas. La Inteligencia Artificial ya se utiliza en operaciones reales de ransomware. Según Check Point Research, se emplea para crear correos de phishing más creíbles, ocultar código malicioso y simular comunicaciones de la víctima. Incluso hay grupos que ofrecen servicios de negociación con víctimas asistidos por IA, capaces de adaptar mensajes, generar textos más persuasivos y perfilar psicológicamente a los responsables de tomar decisiones.
Un modelo más profesionalizado. Algunos grupos, como DragonForce, han transformado el modelo de Ransomware-as-a-Service en un sistema similar a una franquicia. Los afiliados actúan con autonomía para elegir objetivos y tácticas, pero utilizan las herramientas y la infraestructura del grupo principal. Los ataques se publican bajo una misma marca, aumentando su notoriedad y reforzando su posición en el cibercrimen.
Menos pagos, nuevas tácticas. Por primera vez, la tasa global de pagos ha caído entre un 25% y un 27%. Esto se atribuye a mejores defensas, mayor desconfianza hacia los atacantes y políticas que desaconsejan el pago. Aun así, los ciberdelincuentes responden con estrategias de triple extorsión, subastas de datos robados y ataques a la reputación.
Más actores, más difícil de detectar. Aunque grupos históricos como LockBit o RansomHub han perdido fuerza o desaparecido, están surgiendo nuevos atacantes que operan de forma más discreta y reutilizan herramientas filtradas. Esto complica la atribución y obliga a los equipos de seguridad a enfrentarse a múltiples amenazas pequeñas en lugar de a unos pocos actores dominantes.
Recomendaciones para las empresas
Check Point recomienda a las empresas adoptar un enfoque integral de la ciberseguridad que incluya la protección coordinada de endpoints, redes e identidades —especialmente en entornos híbridos y multicloud—, reforzar la defensa contra el phishing mediante la combinación de formación a los usuarios, análisis del correo y detección de comportamientos anómalos, aplicar técnicas de engaño y threat hunting para identificar amenazas en fases tempranas y garantizar copias de seguridad segmentadas que se prueben periódicamente para asegurar su eficacia.
“El ransomware no desaparece, sólo cambia de forma”, recuerda Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “La profesionalización, el uso de IA y la fragmentación del panorama exigen tecnologías inteligentes, detección temprana y planes de respuesta adaptados al nuevo contexto”.
