Kaspersky ha presentado su informe anual sobre la evolución del panorama de ciberamenazas de ransomware a nivel global y regional. Las herramientas de inteligencia artificial (IA) se han usado cada vez más en el desarrollo de ransomware en este último año y el modelo RaaS sigue siendo la forma más común en la que se hacen los ataques.
Los datos de ataques de ransomware normalmente son bajos, ya que los ciberdelincuentes no suelen utilizar este tipo de malware en formato masivo, sino que priorizan objetivos de alto valor concretos.
Según los datos de Kaspersky Security Network, las regiones de Oriente Medio, Asia-Pacífico (APAC) y África lideran el porcentaje de usuarios atacados por ransomware, seguidas por América Latina, la Comunidad de Estados Independientes (CEI) y Europa. En España, entre 2023 y 2024, la proporción de usuarios afectados por ataques de ransomware aumentó en 0.11 puntos porcentuales, alcanzando el 0.38%.
Porcentaje de usuarios cuyos equipos fueron atacados por ransomware tipo «crypto», por región.
Para Marc Rivero, analista jefe de Seguridad en el GReAT de Kaspersky, “se ataca a Europa de forma constante con ransomware, pero el continente se beneficia de marcos regulatorios y de ciberseguridad robustos que disuaden a algunos ciberdelincuentes. Los sistemas de salud y gubernamentales son los que más amenaza reciben, pero las respuestas firmes ante los incidentes y la concienciación general limitan el alcance de los ataques. Las economías diversificadas de la región y sus defensas la convierten en un objetivo menos prioritario para los grupos de ransomware en comparación con regiones de crecimiento digital rápido y menos seguro”.
Tendencias actuales y emergentes del ransomware
- Las herramientas de inteligencia artificial (IA) se han usado cada vez más en el desarrollo de ransomware, como lo demuestra FunkSec, un grupo de ransomware que surgió a finales de 2024 y que rápidamente ganó notoriedad, superando a grupos establecidos como Cl0p y RansomHub, con múltiples víctimas solo en diciembre. Operando bajo el modelo Ransomware como Servicio (RaaS), FunkSec emplea tácticas de doble extorsión —combinando el cifrado de datos de las víctimas con la exfiltración de estos— enfocándose en sectores como el gubernamental, tecnológico, financiero y educativo en Europa y Asia. El uso intensivo de herramientas asistidas por IA distingue al grupo, cuyo ransomware incluye código generado por IA, con comentarios impecables probablemente producidos por Modelos de Lenguaje Grandes, que son sistemas de IA diseñados para entender y generar lenguaje humano(LLM) para mejorar el desarrollo y evadir la detección. A diferencia de los grupos típicos que exigen millones, FunkSec adopta un enfoque de alto volumen y bajo coste, con demandas de rescate a precios inusualmente bajos, destacando aún más su uso innovador de IA para optimizar operaciones.
- El modelo RaaS sigue siendo la forma más común en la que se hacen los ataques de ransomware, debido a que hace mucho más fácil para los delincuentes lanzar ataques. En 2024, plataformas RaaS como RansomHub prosperaron ofreciendo no solo el malware, sino también soporte técnico y sistemas de afiliados que reparten el dinero del rescate. Gracias a este modelo personas con poca experiencia pueden hacer ataques muy sofisticados, lo que provoca que aparezcan múltiples nuevos grupos de ransomware solo en 2024.
- En 2025, se espera que el ransomware evolucione aprovechando fallos poco comunes, Un ejemplo fue el grupo Akira al usar una webcam para esquivar los sistemas de detección y respuesta en endpoints (dispositivos como ordenadores, laptops o móviles que se conectan a la red) e infiltrarse en redes internas. Es probable que los atacantes apunten cada vez más a puntos de entrada desatendidos, como dispositivos IoT, electrodomésticos inteligentes o hardware mal configurado en las oficinas, aprovechando que ahora hay muchos más dispositivos conectados entre sí, lo que crea más puntos por donde pueden atacar. A medida que las organizaciones fortalecen sus defensas tradicionales, los ciberdelincuentes mejorarán sus tácticas, enfocándose en espiar y moverse sigilosamente por las redes para lanzar ransomware con mayor precisión, haciendo que sea más difícil detectarlos a tiempo y responder adecuadamente.
- El incremento de LLM diseñados para el cibercrimen aumentaría aún más el alcance y el impacto del ransomware. Los LLM que se comercializan en la dark web facilitan la creación códigos maliciosos, campañas de phishing y ataques de ingeniería social, permitiendo que incluso personas con poca experiencia elaboren señuelos muy convincentes o automaticen el despliegue de ransomware. A medida que conceptos innovadores como RPA (Automatización Robótica de Procesos) y LowCode —que ofrecen una interfaz intuitiva, visual y asistida por IA para el desarrollo rápido de software— son adoptados por los desarrolladores, se espera que estos usen esas herramientas para automatizar tanto los ataques como la creación de nuevo código, haciendo que la amenaza del ransomware sea superior.
- “El ransomware es una de las amenazas de ciberseguridad más urgentes que enfrentan hoy en día las organizaciones, con atacantes que apuntan a empresas de todos los tamaños y en todas las regiones. En nuestro informe destacamos un cambio preocupante hacia la explotación de puntos de entrada desatendidos —incluidos dispositivos IoT, electrodomésticos inteligentes y hardware obsoleto o mal configurado en los lugares de trabajo. Estos puntos débiles suelen no ser monitorizados, lo que los convierte en objetivos ideales para los ciberdelincuentes. Para mantenerse seguros, las organizaciones necesitan una defensa en capas: sistemas actualizados, segmentación de redes, monitoreo en tiempo real, respaldos robustos y educación continua de los usuarios. Desarrollar conciencia cibernética en todos los niveles es tan importante como invertir en la tecnología adecuada,” afirma Marc Rivero.
Te puede interesar
- Las 5 verdades del ransomware que actualmente desconocen las empresas españolas
- Cómo reducir el riesgo de ransomware con un enfoque holístico
- Ransomware: el enemigo silencioso que paraliza empresas en horas
- Predicciones para el panorama del ransomware en 2025
- 2025: más ataques de ransomware y cinco tendencias más en ciberseguridad
