Menos pagos, más ataques, el ransomware evoluciona y aumenta su impacto global en 2025, el panorama del cibercrimen continúa transformándose rápidamente, y el ransomware se mantiene como una de las amenazas más persistentes y disruptivas para gobiernos, empresas y organizaciones en todo el mundo. De acuerdo con el Reporte de Criptocrimen 2026, elaborado por la empresa de análisis blockchain Chainalysis, el año 2025 dejó una paradoja clara: aunque los ingresos obtenidos por los atacantes disminuyeron ligeramente, el número de ataques y el impacto causado por este tipo de delitos digitales creció de forma significativa.
El capítulo dedicado al ransomware dentro del informe revela que las estrategias de los grupos criminales están cambiando. En lugar de concentrarse únicamente en obtener pagos elevados de unas pocas víctimas, los atacantes han diversificado sus tácticas y multiplicado la frecuencia de sus operaciones. Esto ha generado un escenario donde el daño global es mayor, incluso cuando menos víctimas están dispuestas a pagar rescates.
Vea también: Brasil domina ranking, MercadoLibre deja de ser la empresa más valiosa de América Latina
En términos financieros, los actores de ransomware recaudaron aproximadamente 820 millones de dólares en pagos registrados en blockchain durante 2025, lo que representa una caída del 8% en comparación con el año anterior. Sin embargo, esta reducción en los ingresos no significa que la amenaza esté disminuyendo. Por el contrario, el informe indica que los ataques reportados aumentaron alrededor de un 50%, lo que evidencia una expansión significativa de la actividad criminal.
Esta tendencia refleja un cambio estructural en el ecosistema del ransomware. Cada vez más organizaciones están adoptando políticas de resistencia al pago de rescates, apoyadas por estrategias de ciberseguridad, seguros especializados y recomendaciones gubernamentales. Como resultado, la tasa de víctimas que aceptan pagar a los atacantes cayó a un mínimo histórico del 28%, marcando un cambio importante frente a años anteriores, cuando el pago era considerado por muchas empresas como la única forma de recuperar sus sistemas.
A pesar de esta menor disposición a pagar, los grupos criminales han respondido elevando las exigencias económicas cuando logran comprometer a una organización. El reporte señala que el pago mediano por rescate aumentó un 368% interanual, pasando de 12.738 dólares a casi 60.000 dólares. Esto significa que, aunque menos víctimas pagan, quienes lo hacen enfrentan demandas económicas mucho más altas.
Este fenómeno demuestra que los ciberdelincuentes están apostando por ataques más selectivos y estratégicos, apuntando a organizaciones con mayor capacidad financiera o con operaciones críticas que no pueden detenerse por largos periodos.
Un aumento sostenido de los ataques
El incremento en el número de incidentes es uno de los aspectos más preocupantes del informe. Los ataques de ransomware ya no se limitan a grandes corporaciones tecnológicas o financieras. Hoy en día afectan a hospitales, sistemas de transporte, cadenas logísticas, gobiernos locales y empresas medianas que, en muchos casos, cuentan con menos recursos para defenderse.
Según el análisis de Chainalysis, el crecimiento del 50% en los ataques reportados se debe en parte a la proliferación de herramientas de hacking disponibles en la llamada economía del cibercrimen. Plataformas clandestinas permiten que delincuentes con poca experiencia accedan a software malicioso, servicios de acceso inicial a redes vulneradas e incluso infraestructura completa para lanzar campañas de ransomware.
Este modelo de negocio, conocido como Ransomware-as-a-Service (RaaS), ha facilitado la expansión del fenómeno. Bajo este esquema, los desarrolladores del malware crean las herramientas y las alquilan a otros criminales, quienes ejecutan los ataques y luego comparten las ganancias.
La consecuencia es un ecosistema criminal cada vez más fragmentado, pero también más activo y diverso.
Estados Unidos sigue siendo el principal objetivo
El informe también revela que Estados Unidos continúa siendo el país más atacado por ransomware a nivel global. Las publicaciones en sitios de filtración donde los grupos criminales exponen públicamente a sus víctimas para presionarlas a pagar aumentaron cerca de 50% en comparación con el año anterior.
Estos portales se han convertido en una herramienta clave dentro de la estrategia de extorsión. Cuando una organización se niega a pagar, los atacantes amenazan con divulgar información confidencial, lo que puede incluir datos de clientes, documentos internos o propiedad intelectual.
La presión reputacional y legal que puede generar una filtración masiva suele ser tan grande que algunas empresas terminan negociando con los criminales para evitar la publicación de la información robada.
En el caso de Estados Unidos, varios sectores estratégicos han experimentado un incremento notable en el número de incidentes. Entre ellos destacan:
-
Infraestructura crítica
-
Cadenas de suministro
-
Empresas de logística
-
Entidades gubernamentales
En estos sectores, el número de víctimas reportadas creció entre 45% y 56% interanual, lo que evidencia la creciente sofisticación de los atacantes y su interés por objetivos con alto impacto económico y social.
El papel de los intermediarios del cibercrimen
Otro hallazgo relevante del informe es el papel que juegan los intermediarios que venden acceso a redes comprometidas. Estos actores, conocidos como Initial Access Brokers, se especializan en infiltrarse en sistemas informáticos y luego vender ese acceso a grupos de ransomware.
Según el análisis del reporte, los pagos realizados a estos intermediarios suelen anticipar aumentos en los ataques de ransomware aproximadamente 30 días después. Es decir, cuando se detecta actividad financiera asociada a estos servicios clandestinos, es probable que en las semanas siguientes aumenten las campañas de extorsión digital.
Este patrón se ha observado especialmente en Estados Unidos, donde los picos de pagos a estos intermediarios coinciden con incrementos posteriores en las publicaciones de víctimas en los sitios de filtración.
El hallazgo es relevante porque ofrece una posible señal temprana de futuras campañas de ransomware, lo que podría permitir a las autoridades y a las empresas fortalecer sus defensas antes de que los ataques se materialicen.
Infraestructura compartida entre criminales y actores estatales
Uno de los aspectos más complejos del ecosistema del ransomware es la creciente convergencia entre distintos tipos de actores maliciosos. El informe indica que las bandas criminales y los hackers vinculados a Estados están utilizando cada vez más los mismos proveedores de servicios digitales, como plataformas de hosting, redes proxy y servidores anónimos.
Esta infraestructura compartida dificulta la atribución de los ataques y complica las tareas de investigación. En muchos casos, los mismos recursos técnicos pueden ser utilizados tanto por grupos criminales independientes como por equipos de espionaje cibernético patrocinados por gobiernos.
Como respuesta, varios países han comenzado a dirigir sus esfuerzos hacia la interrupción de estos servicios compartidos, en lugar de enfocarse exclusivamente en los grupos individuales de ransomware.
El objetivo es debilitar el ecosistema completo que permite la operación de estas organizaciones criminales.
La evolución del modelo de ransomware
El ransomware ha evolucionado significativamente desde sus primeras apariciones hace más de una década. Inicialmente, los ataques consistían principalmente en cifrar archivos y exigir un pago para recuperar el acceso.
Hoy en día, el modelo es mucho más complejo. Los atacantes combinan múltiples técnicas de presión, incluyendo:
-
Robo de datos antes del cifrado
-
Amenazas de filtración pública
-
Ataques a proveedores y socios comerciales
-
Extorsión múltiple a diferentes partes afectadas
Este enfoque, conocido como “doble” o incluso “triple extorsión”, amplifica el impacto de los incidentes y aumenta la presión sobre las víctimas.
Además, muchos grupos criminales operan como verdaderas empresas clandestinas, con estructuras organizativas que incluyen programadores, negociadores, expertos en marketing criminal y operadores técnicos.
Mayor conciencia, pero riesgo persistente
El descenso en la tasa de pagos sugiere que las organizaciones están adoptando mejores prácticas de ciberseguridad. Entre ellas destacan:
-
Copias de seguridad más frecuentes
-
Planes de respuesta a incidentes
-
Capacitación en seguridad digital
-
Uso de herramientas de detección avanzada
Sin embargo, el aumento en el número de ataques demuestra que el problema está lejos de desaparecer. Los delincuentes continúan adaptándose rápidamente a las nuevas medidas de defensa y buscan constantemente nuevas vulnerabilidades que explotar.
Para las empresas y los gobiernos, esto significa que la ciberseguridad ya no puede considerarse solo un aspecto técnico, sino un componente esencial de la gestión de riesgos y de la continuidad operativa.
Vea también: Karsten aterriza en Paraguay, la histórica textil brasileña inicia su expansión regional
Un desafío global en expansión
El ransomware se ha consolidado como uno de los delitos más rentables y persistentes del entorno digital. Aunque los ingresos totales hayan disminuido ligeramente en 2025, el crecimiento en el número de ataques y en el impacto potencial de cada incidente indica que la amenaza sigue evolucionando.
El análisis presentado por Chainalysis en su Reporte de Criptocrimen 2026 muestra que el cibercrimen está adoptando modelos cada vez más sofisticados, apoyados en redes de colaboración clandestinas, infraestructura digital compartida y mercados criminales especializados.
Frente a este escenario, la cooperación internacional, la inversión en tecnología de defensa y la concienciación de usuarios y organizaciones serán factores clave para reducir el impacto de este fenómeno en los próximos años.
La lucha contra el ransomware no solo depende de herramientas tecnológicas, sino también de estrategias coordinadas entre gobiernos, empresas y expertos en seguridad digital. Mientras los atacantes continúen innovando y adaptándose, la defensa del ecosistema digital global seguirá siendo un desafío constante.


