El ecosistema ransomware se fragmenta: 85 grupos activos y 1.590 víctimas en el tercer trimestre de 2025

Introducción

El panorama global de amenazas de ransomware ha experimentado en el tercer trimestre de 2025 una transformación significativa y preocupante: la fragmentación del ecosistema y la proliferación de nuevos actores han elevado la actividad a niveles récord. A pesar de las recientes operaciones internacionales de las fuerzas de seguridad, el número de grupos dedicados a la extorsión con ransomware ha alcanzado cotas sin precedentes, reflejando la resiliencia y adaptabilidad del cibercrimen organizado. Este artículo analiza en profundidad los datos, tendencias y riesgos asociados a este fenómeno, así como las implicaciones para los profesionales de la ciberseguridad y las organizaciones.

Contexto del Incidente o Vulnerabilidad

Entre julio y septiembre de 2025, se han identificado 85 grupos activos de ransomware y extorsión, la cifra más alta registrada hasta la fecha. Este auge se traduce en un ecosistema altamente descentralizado, donde la aparición y desaparición de marcas es constante. Durante este periodo, se han divulgado públicamente 1.590 víctimas a través de 85 sitios de filtraciones (leak sites) de la dark web, cifra que representa un aumento sostenido respecto a trimestres anteriores. El contexto está marcado por una presión policial intensificada, con operaciones coordinadas como las que afectaron a LockBit y ALPHV/BlackCat, que sin embargo han tenido un efecto limitado en la actividad general delictiva.

Detalles Técnicos

La operativa de los grupos de ransomware detectados se basa fundamentalmente en el modelo de Ransomware-as-a-Service (RaaS), en el que los desarrolladores proporcionan el malware y la infraestructura, mientras que los afiliados ejecutan los ataques. En el trimestre analizado, se han identificado 14 nuevas marcas de ransomware, muchas de ellas surgidas tras la disolución o el desmantelamiento parcial de grupos previos, lo que evidencia la facilidad con la que los actores migran y reconstituyen sus operaciones.

Las variantes más activas del trimestre incluyen nuevas iteraciones de LockBit, que ha reaparecido tras su desmantelamiento, así como emergentes como MedusaLocker, Akira, BlackSuit, y nuevas familias aún en fase de análisis. Los vectores de ataque predominantes siguen siendo la explotación de vulnerabilidades de día cero y día uno (principalmente en VPNs y appliances de acceso remoto), phishing altamente dirigido, y movimientos laterales mediante credenciales comprometidas.

En cuanto a TTPs (Tactics, Techniques and Procedures) identificadas, la mayoría de los ataques han seguido patrones alineados con MITRE ATT&CK tales como:

– TA0001: Initial Access (spear-phishing, exploit de RDP/VPN)
– TA0002: Execution (payloads de DLL, scripts de PowerShell)
– TA0005: Defense Evasion (desactivación de EDR, uso de LOLBins)
– TA0011: Command and Control (C2 sobre HTTPS, DNS tunneling)
– TA0040: Impact (encriptación de datos, destrucción de backups)

Se han detectado indicadores de compromiso (IoC) asociados a infraestructuras de Cobalt Strike, Metasploit, y variantes personalizadas de herramientas como Mimikatz para la exfiltración de credenciales.

Impacto y Riesgos

El impacto económico estimado de los ataques de ransomware en este trimestre supera los 1.200 millones de dólares a nivel global, incluyendo rescates pagados, costes de recuperación y pérdidas por interrupciones operativas. Destaca el hecho de que, a pesar de la presión legal, los grupos han diversificado sus objetivos, afectando tanto a grandes corporaciones como a pymes y entidades del sector público, en línea con una tendencia de “ataque indiscriminado”.

El riesgo para la privacidad de los datos es especialmente elevado, dado que la doble extorsión (encriptación y publicación de datos robados) sigue siendo la táctica dominante. Ello expone a las organizaciones a sanciones bajo normativas como el GDPR o la inminente NIS2, que incrementarán las obligaciones de notificación y las multas en caso de brechas.

Medidas de Mitigación y Recomendaciones

Ante este escenario, los expertos recomiendan reforzar las estrategias de defensa en profundidad, priorizando:

– Actualización inmediata de sistemas y aplicación de parches críticos (especialmente en appliances de acceso remoto).
– Segmentación de redes y restricción de privilegios.
– Implementación de MFA (autenticación multifactor) en todos los accesos críticos.
– Monitorización continua de endpoints y red con soluciones EDR/XDR integradas.
– Simulacros de respuesta ante incidentes y planes de contingencia actualizados.
– Copias de seguridad offline y revisiones periódicas de la integridad de los backups.

Opinión de Expertos

Según Javier Tena, CISO de una consultora multinacional: “La descentralización del ransomware implica que la inteligencia de amenazas debe ser más proactiva y granular. Los IOCs y TTPs evolucionan a diario, y solo una monitorización continua permitirá anticipar los movimientos de los grupos emergentes”. Por su parte, Marta García, analista SOC, destaca: “El resurgimiento de LockBit y la aparición de nuevas marcas demuestran que la presión policial, aunque necesaria, debe ir acompañada de una cooperación internacional más sólida y de una inversión sostenida en ciberhigiene empresarial”.

Implicaciones para Empresas y Usuarios

Las organizaciones deben asumir que el riesgo de ransomware persiste y que el cumplimiento normativo (GDPR, NIS2) exige una actitud proactiva en materia de prevención y respuesta. La fragmentación del ecosistema incrementa la dificultad de atribución y aumenta la superficie de exposición, por lo que la formación de los empleados y la vigilancia de la cadena de suministro resultan esenciales. Para los usuarios finales, la concienciación frente a técnicas de ingeniería social y el uso de contraseñas robustas siguen siendo barreras críticas frente a la primera fase de los ataques.

Conclusiones

El tercer trimestre de 2025 confirma que el ransomware no solo se mantiene como una de las amenazas más lucrativas y dañinas, sino que ha alcanzado un nivel de descentralización sin precedentes, dificultando la labor de defensa y atribución. Solo la combinación de tecnología avanzada, inteligencia colaborativa y cumplimiento estricto de las normativas permitirá mitigar el impacto de este fenómeno en constante evolución.

(Fuente: feeds.feedburner.com)