Ransomware en 2026: Menos bandas criminales pero ataques más letales y frecuentes
A pesar de que el ecosistema cibercriminal parece estar concentrándose en menos manos, la ferocidad de los ataques no da tregua. Un análisis exhaustivo realizado por investigadores de múltiples firmas ha revelado una paradoja preocupante; mientras el número de grupos activos de ransomware disminuye, el volumen de víctimas ha alcanzado niveles sin precedentes durante el último trimestre del 2025.
Según diversos informes, la cantidad de compañías cuyos datos han sido expuesto en sitios de filtración o leaks se ha disparado en un 50%, en comparación con el trimestre anterior. Si se mire desde la retrospectiva, el incremento es de 40% respecto al mismo período del año pasado. Por ello, no se está ante una fluctuación estadística, sino ante una optimización industrial del crimen organizado.
Igualmente, el proceso ya no se limita al cifrado de archivos. Los actores maliciosos operan bajo un modelo de doble extorsión; luego de infiltrarse en las redes, descubren datos sensibles y publican fragmentos en la dark web para asfixiar la reputación de las víctimas. Es una carrera contrarreloj en donde el silencio tiene un precio millonario.
Las investigaciones sugieren que estamos presenciando una especie de “selección natural” en el submundo de la ciberdelincuencia. Los grupos más pequeños están desapareciendo, pero los operadores más estructurados han refinado su logística para aumentar su producción de ataques.
Tal y como señalan analistas de inteligencia de amenazas, no importa qué nombres aparezcan o desaparezcan del radar cada trimestre; el aumento sostenido en las filtraciones demuestra que el ransomware es una amenaza persistente que evoluciona más allá de las marcas comerciales que los ciberdelincuentes decidan usar.
TIC Defense es una empresa que se encarga de proveer servicios y productos de última tecnología a organizaciones vulnerables. El cibercrimen es una realidad que golpea a los negocios, por lo que el enfoque preventivo y de respuesta rápida se adapta a las necesidades de tu organización.
El cierre del año 2025 estuvo dominado por nombres que han perfeccionado el modelo de Ransomware-as-a-Service o Software como Servicio, conocido como RaaS. Su obsesión es la velocidad; entrar, saquear y salir antes de que los sistemas de detección puedan parpadear.
El primero de ellos es Qilin, quienes se mantienen en la cima de la cadena alimenticia con más de 450 empresas comprometidas, su golpe más mediático ha incluido a la cervecera japonesa Asahi, demostrando que ninguna infraestructura, por robusta que parezca, es imbatible.
Luego, tenemos a Akira, ocupando el segundo lugar con más de 200 víctimas confirmadas. Su capacidad de adaptación les permite seguir siendo relevantes mientras otros competidores se desvanecen.
La tercera es Sinobi, la verdadera sorpresa del año pasado. Sus menciones en sitios de filtración aumentaron más del 300%. Surgido apenas en el mes de julio del 2025 como un presunto “spin-off” de Lynx, Sinobi ha logrado eclipsar a su predecesor, demostrando que las nuevas células criminales vienen con hambre de territorio.
A pesar de la sofisticación técnica, los hackers maliciosos siguen explotando las mismas grietas de siempre. Las tácticas de Living-off-the-Land o LotL, que es usar las propias herramientas legítimas del sistema para moverse lateralmente sin levantar sospechas, siguen siendo el estándar de oro para la post-infiltración.
Los grupos pueden disolverse, las listas de afiliados pueden rotar y las herramientas pueden volverse más elegantes, pero los patrones de ataque permanecen obstinadamente familiares, según los expertos. La clave no es predecir quién va a ser el próximo atacante, también es asegurar que, sin importar quién llame a la puertam la casa sea imposible de saquear.
