Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ha publicado el Ransomware Threat Intelligence Report, con las principales tendencias del segundo trimestre de 2025. El ecosistema del ransomware se está transformando rápidamente.
El cambio de este trimestre incluye el malware generado por IA, el colapso de la confianza en el descifrado, los grupos impulsados por propios afiliados y un panorama de amenazas fragmentado que es más difícil de rastrear que nunca.
Principales conclusiones del informe
- La IA ya es parte operativa del ransomware: lejos de ser experimental, la Inteligencia Artificial está siendo aplicada en campañas reales. Check Point Research detectó el uso de IA generativa para crear contenidos de phishing más convincentes, ofuscar código malicioso y simular comunicaciones de la víctima. Algunos grupos, como Global Group (también conocido como El Dorado o Blacklock), ofrecen “servicios de negociación asistidos por IA” a sus afiliados, empleando bots capaces de adaptar mensajes según las respuestas de la víctima, generar textos más persuasivos o intimidatorios y realizar perfiles psicológicos para ejercer presión estratégica sobre los responsables de la toma de decisiones.
- El ransomware como marca: grupos de ciberdelincuentes como DragonForce están redefiniendo el modelo tradicional de Ransomware-as-a-Service (RaaS) hacia una estructura más cercana a una franquicia. En este modelo, los atacantes operan con autonomía, eligiendo sus propios objetivos y personalizando sus tácticas, pero usando herramientas, cifrado e infraestructura provistos por el grupo principal. Además, los ataques se publican bajo la marca DragonForce, reforzando su notoriedad. Esta profesionalización incluye alianzas con foros clandestinos como Ramp, aumentando su visibilidad y legitimidad en el ecosistema criminal.
- Los pagos por rescate caen, pero el ransomware se reinventa: por primera vez, las tasas globales de pago han caído entre un 25% y un 27%, según datos de Coveware. Esto se debe a una combinación de factores: mejora de las defensas de las empresas (copias de seguridad más sólidas, segmentación de redes, protocolos de respuesta), creciente desconfianza hacia los atacantes y nuevas políticas gubernamentales que desalientan el pago. No obstante, los ciberdelincuentes están ajustando sus estrategias: utilizan tácticas de triple extorsión, subastas de datos robados en la dark web y ataques directos a la reputación mediante DDoS o filtraciones dirigidas a los medios y autoridades.
- Fragmentación del ecosistema, no su desaparición: grupos históricos como LockBit o RansomHub han perdido fuerza o cesado su actividad, y otros como Cactus se han disuelto o escindido. Pero esta fragmentación no implica un descenso de la amenaza: están surgiendo nuevos atacantes que reutilizan herramientas filtradas y actúan con mayor sigilo. Esto dificulta la atribución, retrasa la detección y obliga a los equipos de respuesta a enfrentarse a múltiples amenazas de baja visibilidad en lugar de unos pocos grupos conocidos.
Ante esta evolución del ransomware, los expertos recomiendan a los responsables de seguridad adoptar un enfoque proactivo, integral y adaptado a la complejidad actual:
- Adoptar una arquitectura de seguridad conectada que integre la protección de endpoints, redes e identidades, especialmente en entornos híbridos y multicloud.
- Desplegar un sistema antiphishing a escala, que incluya la concienciación de los usuarios, el análisis del correo electrónico y el análisis del comportamiento para detectar señuelos generados por IA.
- Utilizar el engaño y la búsqueda de amenazas para exponer la actividad de los afiliados y el movimiento lateral en una fase temprana de la cadena de ataque.
- Segmentar las copias de seguridad y comprobar la recuperación con regularidad. No hay que dar por sentado la inmunidad basándose en políticas o en éxitos pasados.
“El ransomware no está desapareciendo, solo está cambiando de forma”, advierte Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “La profesionalización del delito, el uso de IA y la fragmentación del panorama obligan a las empresas a mantenerse un paso por delante con tecnologías inteligentes, detección temprana y estrategias de respuesta adaptadas al nuevo entorno”.
Te puede interesar
- Solo 1 de cada 5 empresas españolas consiguen restablecer su actividad en menos de 12h tras sufrir un ataque de ransomware
- Aumentan en más de un tercio los usuarios afectados por ataques de ransomware en España
- Ransomware: el enemigo silencioso que paraliza empresas en horas
