El repunte del ransomware en 2025: nuevas tecnologías impulsan el incremento de ataques
Introducción
El panorama del ransomware ha experimentado una preocupante reactivación durante 2025. Un reciente estudio de Hornetsecurity, referente global en soluciones de protección, revela que el 24% de las empresas encuestadas ha sido víctima de un ataque de ransomware en lo que va de año. Esta cifra representa un notable aumento en comparación con el 18,6% registrado en 2024, poniendo fin a la tendencia descendente observada en los últimos ejercicios. Este repunte se atribuye a la adopción masiva de nuevas tecnologías por parte de los actores de amenazas, lo que ha dinamizado los vectores de ataque y elevado los riesgos para organizaciones de todos los sectores.
Contexto del incidente o vulnerabilidad
Durante 2024, los datos sugerían una leve contención en incidentes de ransomware, motivada por una mayor concienciación, mejoras en la higiene de ciberseguridad y la implementación de soluciones de respaldo y recuperación. Sin embargo, en 2025, los grupos de ransomware han adaptado sus tácticas, técnicas y procedimientos (TTP) integrando inteligencia artificial (IA), automatización avanzada y herramientas de doble extorsión, revirtiendo la tendencia positiva.
Según el informe de Hornetsecurity, la proliferación de modelos Ransomware-as-a-Service (RaaS) y la utilización de frameworks ofensivos como Cobalt Strike y Metasploit han democratizado el acceso a capacidades avanzadas entre cibercriminales menos experimentados. El resultado: un aumento del 29% en la tasa de infecciones exitosas respecto al año anterior, con sectores críticos como servicios financieros, sanidad y manufactura especialmente impactados.
Detalles técnicos
El estudio detalla campañas de ransomware dirigidas principalmente a sistemas Windows Server (versiones 2016, 2019 y 2022), así como a infraestructuras cloud híbridas, donde se explotan vulnerabilidades recientes en plataformas Microsoft 365 y entornos Azure. Destacan los siguientes elementos técnicos:
– CVE relevantes: Se han explotado activamente vulnerabilidades como CVE-2024-4577 (Remote Code Execution en servidores Exchange) y CVE-2024-29988 (privilegios elevados en entornos Azure AD).
– TTP MITRE ATT&CK: Los atacantes emplean técnicas como Initial Access via Spearphishing Attachment (T1566.001), Valid Accounts (T1078), y Data Encrypted for Impact (T1486). Se observa un incremento del uso de Living-off-the-Land Binaries (LOLBins) para evadir detección y persistir en sistemas comprometidos.
– Indicadores de Compromiso (IoC): El informe destaca hashes de payloads detectados, direcciones IP de C2 asociadas a variantes de ransomware como LockBit 3.0, BlackCat y Cl0p, y patrones de tráfico anómalo hacia infraestructuras onion.
– Herramientas y frameworks: Se identifican campañas que utilizan versiones modificadas de Cobalt Strike Beacon, scripts PowerShell automatizados y exploits empaquetados en Metasploit Framework para escalar privilegios y moverse lateralmente en redes comprometidas.
Impacto y riesgos
El coste medio de un incidente de ransomware en 2025 se sitúa en torno a los 1,9 millones de euros, considerando tanto el rescate como los gastos asociados a la recuperación y la interrupción del negocio. El 37% de las empresas afectadas reconoce haber pagado el rescate, pese a las recomendaciones contrarias de organismos como la ENISA y el CCN-CERT.
Los principales riesgos identificados son:
– Exfiltración de datos sensibles y exposición pública (doble extorsión).
– Interrupción de operaciones críticas durante un promedio de 9 días.
– Pérdida de confianza de clientes y socios comerciales.
– Sanciones regulatorias bajo el GDPR y la nueva directiva NIS2, especialmente en sectores esenciales.
Medidas de mitigación y recomendaciones
Para mitigar el riesgo de ransomware, los expertos recomiendan:
– Aplicar de inmediato parches para vulnerabilidades críticas (CVE-2024-4577, CVE-2024-29988).
– Implementar segmentación de red y control de cuentas privilegiadas.
– Fortalecer la detección y respuesta ante incidentes mediante EDR/XDR y monitorización de logs.
– Realizar copias de seguridad cifradas y pruebas periódicas de restauración.
– Aplicar MFA robusto para acceso a recursos internos y cloud.
– Concienciar a empleados sobre phishing y manipulación social.
– Revisar y actualizar los planes de respuesta a incidentes, incluyendo simulacros de ransomware.
Opinión de expertos
David Martínez, CISO de una multinacional europea, señala: “La profesionalización de los grupos de ransomware y el uso masivo de IA han multiplicado la sofisticación de los ataques. Las empresas deben invertir en threat intelligence y automatización defensiva si quieren anticiparse a estos actores”.
Por su parte, Rafael Gil, analista senior en un SOC, destaca una tendencia preocupante: “El ransomware ya no solo cifra datos, sino que exfiltra información para extorsionar dos veces. Además, la adopción de infraestructuras cloud mal configuradas amplía la superficie de ataque”.
Implicaciones para empresas y usuarios
Las empresas europeas, especialmente aquellas bajo el ámbito de la NIS2, deben intensificar la gestión de riesgos y el cumplimiento normativo. La notificación temprana de incidentes se convierte en obligación legal, y el impacto reputacional de un ataque de ransomware es cada vez más severo. Se prevé que los seguros de ciberseguridad eleven sus requisitos y primas, penalizando a las organizaciones que no acrediten controles avanzados.
Para los usuarios, la recomendación es extremar la precaución ante correos sospechosos, utilizar contraseñas robustas y mantener sus dispositivos actualizados.
Conclusiones
El repunte de los ataques de ransomware en 2025, impulsado por la consolidación de nuevas tecnologías y modelos de cibercrimen como servicio, exige una revisión profunda de las estrategias de defensa corporativa. Solo la adopción de medidas proactivas, la automatización y la formación continua del personal permitirán contener la amenaza en un entorno cada vez más hostil y regulado.
(Fuente: www.cybersecuritynews.es)