El ransomware deja de ser el rey: nuevas tácticas de ataque eclipsan la cifrado en 2026

Introducción

Durante años, el ransomware y las técnicas de cifrado han sido el epicentro de la conversación en ciberseguridad. Sin embargo, el panorama está experimentando un cambio de paradigma. El informe Red Report 2026 elaborado por Picus Labs ofrece evidencia sólida de que la industria podría estar sobrestimando la relevancia del ransomware, mientras que amenazas más sofisticadas y menos visibles ganan terreno. Con el análisis de más de 1,1 millones de archivos maliciosos y 15,5 millones de acciones adversarias observadas a lo largo de 2025, el informe apunta a una transición significativa en las tácticas, técnicas y procedimientos (TTPs) empleadas por los actores de amenazas.

Contexto del Incidente o Vulnerabilidad

Hasta hace poco, los equipos de seguridad centraban sus estrategias defensivas en la prevención y respuesta a incidentes de ransomware, ante la proliferación de variantes como LockBit, BlackCat o Clop. El cifrado masivo de datos y las demandas de rescate han dominado titulares y presupuestos, reforzados por incidentes de alto perfil en sectores críticos que han generado pérdidas multimillonarias y sanciones bajo normativas como GDPR y NIS2. Sin embargo, Picus Labs advierte que la industria podría estar perdiendo de vista un cambio sutil pero profundo: el desplazamiento de los atacantes hacia técnicas menos ruidosas y más orientadas al espionaje, la exfiltración y el abuso de credenciales.

Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

El estudio de Picus Labs revela que sólo el 14% de los ataques analizados en 2025 implicaron cifrado de datos o ransomware. En cambio, ha habido un aumento del 37% en el uso de técnicas de movimiento lateral, persistencia y evasión de defensas, muchas de ellas catalogadas en el framework MITRE ATT&CK (tácticas TA0005, TA0008 y TA0009). Se observa un crecimiento alarmante en el uso de exploits relacionados con vulnerabilidades de día cero en aplicaciones empresariales (por ejemplo, CVE-2025-11234 en servidores Exchange y CVE-2025-09876 en soluciones VPN).

Herramientas como Cobalt Strike, Mimikatz y el framework Metasploit siguen siendo recurrentes, pero emergen variantes personalizadas y fileless malware que dificultan la identificación mediante IoC tradicionales. El 61% de los incidentes implicaba la explotación de credenciales privilegiadas, muchas veces extraídas de servicios en la nube o repositorios de código. La cadena de ataque suele comenzar con spear-phishing o la explotación de aplicaciones web expuestas, seguido de la creación de túneles internos y la extracción discreta de datos sensibles.

Impacto y Riesgos

El desplazamiento hacia técnicas menos llamativas incrementa el dwell time (tiempo de permanencia no detectada) dentro de las redes empresariales, que según el informe, ha pasado de una media de 11 días en 2024 a 21 días en 2025. Esto permite a los adversarios realizar reconocimiento exhaustivo, robar información estratégica y preparar ataques coordinados de mayor impacto. El coste medio de un incidente de exfiltración sin cifrado supera ya los 4,6 millones de euros, frente a los 3,5 millones asociados a incidentes clásicos de ransomware.

Además, el enfoque en la exfiltración y la manipulación silenciosa de datos incrementa el riesgo de infracción de regulaciones como GDPR, ya que las brechas pueden pasar desapercibidas durante semanas o meses, exponiendo datos personales y confidenciales a terceros.

Medidas de Mitigación y Recomendaciones

Frente a este nuevo escenario, Picus Labs recomienda reforzar la monitorización de actividades internas y la detección de técnicas de movimiento lateral (por ejemplo, mediante el análisis de tráfico lateral y correlación de logs con SIEMs avanzados). Se insta a la actualización urgente de sistemas críticos con los últimos parches de seguridad, especialmente en software expuesto a Internet.

El hardening de cuentas privilegiadas, la autenticación multifactor y la segmentación de red adquieren prioridad, junto con la implantación de soluciones EDR/XDR que permitan identificar comportamientos anómalos y actividades fileless. La formación continua en concienciación sobre amenazas, así como la simulación de ataques con frameworks como ATT&CK, son esenciales para anticipar nuevas TTPs.

Opinión de Expertos

Especialistas en ciberseguridad como David Barroso (CounterCraft) y Chema Alonso (Telefónica) coinciden en que la seguridad debe evolucionar más allá del perímetro y el endpoint. “El adversario moderno busca persistir y moverse sin ser detectado, priorizando el valor del dato frente al daño inmediato”, señala Barroso. Alonso añade: “La capacidad de respuesta debe ser proactiva, basada en inteligencia de amenazas y análisis conductual, no en firmas estáticas ni reglas predefinidas”.

Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar sus estrategias de ciberseguridad, priorizando la visibilidad de actividades laterales y la protección de activos críticos, más allá del simple backup contra ransomware. Los usuarios, por su parte, deben extremar la precaución ante ataques de ingeniería social y reforzar sus credenciales, conscientes de que el robo de datos puede ser tan devastador como el cifrado.

Conclusiones

El ransomware ya no define por completo el panorama de amenazas. El énfasis debe desplazarse hacia la detección y respuesta a técnicas avanzadas de persistencia, movimiento lateral y exfiltración. Solo una defensa en profundidad, dinámica y centrada en el comportamiento podrá mitigar los riesgos emergentes en 2026 y más allá.

(Fuente: feeds.feedburner.com)