Tecnología

Ransomware en el segundo trimestre de 2025: La IA se une al equipo, los cárteles aumentan y las tasas de pago se desploman

Photo of Yesvila Yesvila5 agosto, 2025
4 minutes read

 Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, entrega el “Reporte de Ransomware del segundo trimestre de 2025”, destacando que los grupos se volvieron carteles, que la IA está ya incluida en el actuar delincuencial y que cambian las tasas de pago, entre otros factores relevantes.

En el último Informe de Inteligencia sobre Amenazas de Ransomware de Check Point Research, analizamos cómo el ecosistema del ransomware se está transformando rápidamente. El cambio de este trimestre incluye malware generado por IA, el colapso de la confianza en el descifrado, cárteles impulsados por afiliados y un panorama de amenazas fragmentado, más difícil que nunca de rastrear. El ransomware sigue siendo uno de los sectores más rentables y de mayor crecimiento en el mundo de la ciberdelincuencia. 

Cambios en los grupos de ransomware

• Disrupciones en los grupos de ransomware como servicio (RaaS): Varios grupos importantes de ransomware han desaparecido, dejando un ecosistema fragmentado.

• Ligero descenso en la extorsión pública de víctimas: Este trimestre se identificaron menos víctimas en sitios web de filtración de datos, probablemente debido a la presión de las fuerzas del orden y a los cambios en las tácticas de los atacantes.

• Cambio continuo hacia la extorsión por robo de datos: Los atacantes continúan abandonando el cifrado, centrándose en el robo y la filtración de datos para forzar el pago.

• El grupo de ransomware Qilin lidera con nuevas herramientas de extorsión: Qilin fue el grupo más activo en el segundo trimestre, utilizando métodos innovadores para presionar a las víctimas y aumentar el pago de rescates. 

El ransomware impulsado por IA ya no es una teoría

En 2025, los grupos de ransomware no están experimentando con IA, sino que la están poniendo en práctica. A principios de este año, Check Point Research observó campañas reales que utilizaban IA generativa para contenido de phishing, ofuscación de código y suplantación de identidad de víctimas. La IA actúa como un multiplicador de fuerza para los ciberdelincuentes, eliminando barreras de entrada y reduciendo la dependencia de desarrolladores altamente cualificados. Observamos negociaciones con apoyo de IA y servicios innovadores.

 

El grupo de ransomware conocido como Global Group (también conocido como El Dorado o Blacklock) anuncia “apoyo de negociación con IA” como parte de su oferta de Ransomware como Servicio (RaaS). Esto probablemente ayuda a los atacantes a refinar sus tácticas de negociación para obtener pagos de rescate más altos. 

Los expertos creen que estas herramientas de IA incluyen:

• Bots que personalizan las comunicaciones de rescate según las respuestas de las víctimas

• Mensajes generados por IA diseñados para ser más persuasivos o amenazantes

• Perfiles psicológicos para ejercer presión estratégica sobre los responsables de la toma de decisiones. 

En el segundo trimestre, Qilin también se convirtió en un actor dominante al implementar novedosas herramientas y servicios de extorsión diseñados para intensificar la presión sobre las víctimas y maximizar los pagos. Estos incluyen ofrecer asistencia legal para revisar los datos robados, evaluar posibles infracciones regulatorias en la jurisdicción de la víctima y preparar la documentación para su presentación a las autoridades pertinentes, como las agencias tributarias, las fuerzas del orden o los organismos reguladores como el FBI. 

Cárteles, no bandas: Ransomware como marca

El negocio del ransomware se está profesionalizando y descentralizando. El grupo DragonForce

ha sido pionero en un cambio y se autodenomina un “modelo de cártel de ransomware”. A diferencia de las operaciones tradicionales de Ransomware como Servicio (RaaS), donde los afiliados siguen una estrategia central, DragonForce les permite operar de forma semi-independiente, ejecutando sus propias campañas, eligiendo sus propios objetivos y personalizando las tácticas de extorsión. 

Elementos clave del modelo de cártel:

• Herramientas de marca blanca: Los afiliados obtienen acceso a los desarrolladores avanzados de ransomware de DragonForce, la infraestructura del sitio de fugas y los mecanismos de cifrado.

• Licencias de marca: Los ataques llevan el nombre de DragonForce, lo que les otorga notoriedad inmediata y un valor intimidante, incluso si los operadores principales no estuvieron directamente involucrados.

 Independencia operativa: Esta configuración distribuye el riesgo a la vez que aumenta el alcance, dificultando las eliminaciones y dificultando la atribución.

¿Cree que las tasas de pago bajas son una ventaja?

Por primera vez, las tasas de pago globales por ransomware han disminuido entre un 25 % y un 27 %, según Coveware. ¿Qué ha cambiado? 

Factores que impulsan esta caída:

• Mayor resiliencia: Cada vez más organizaciones invierten en copias de seguridad, segmentación y respuesta a incidentes, lo que les da la confianza para rechazar las demandas de rescate.

• Desconfianza en los atacantes: Las víctimas dudan cada vez más de que pagar resulte en claves de descifrado funcionales o la eliminación de datos.

• Presión política: Gobiernos como los de EE. UU. y Australia están proponiendo o imponiendo prohibiciones al pago de rescates, lo que redefine el cálculo del riesgo. Sin embargo, el ransomware no desaparecerá pronto. 

En cambio, los atacantes modifican constantemente sus métodos:

• Diversos tipos de triple extorsión: Las amenazas ahora van más allá del cifrado e incluyen el robo de datos y ataques directos a clientes, empleados o socios.

• Subastas de datos: Los datos robados se venden en sitios de filtraciones o subastas en la dark web, monetizando las filtraciones incluso sin que las víctimas paguen.

• Ataques de reputación: Algunos grupos lanzan ataques DDoS o contactan con medios y organismos reguladores para presionar públicamente a las víctimas a pagar.

El panorama está cambiando del cifrado a cambio de un rescate a la extorsión por cualquier medio necesario.

El dominio del ransomware ya no se concentra en unos pocos nombres. En cambio, estamos presenciando una fragmentación del ecosistema, lo que representa un gran desafío para los defensores”, dijo Ángel Salazar, Gerente de Ingeniería de Seguridad de Canales en América Latina de Check Point Software.

Solo en el segundo trimestre de 2025, LockBit, que alguna vez fue el grupo de RaaS más prolífico, sufrió nuevos contratiempos operativos y perdió afiliados. RansomHub, otro grupo muy conocido cerró y Cactus y otros grupos de nivel medio han desaparecido o se han dividido en ramas más pequeñas. 

Pero en lugar de una disminución en la actividad de ransomware, estamos observando un aumento de actores nuevos o renombrados, muchos de los cuales reutilizan bases de código y herramientas filtradas, pero las implementan con mayor sigilo. 

Al estar difusa la línea entre grupos y malware reciclado, los defensores no pueden confiar en los IOC o TTP tradicionales. La detección se retrasa: Los grupos más pequeños pasan desapercibidos, y a menudo solo aparecen después de brechas de seguridad exitosas.

Photo of Yesvila Yesvila5 agosto, 2025
4 minutes read
Photo of Yesvila

Yesvila

Related Articles

Con más de 3.406 ataques cibernéticos por semana, Colombia está entre los principales blancos de los delitos cibernéticos en el mundo.

14 julio, 2025

Amazon Prime Day 2025: Ofertas a la espera, pero también los ciberdelincuentes lo están 

7 julio, 2025

Nueva frontera con técnicas de evasión para engañar sistemas de detección basados en IA

1 julio, 2025

CPR alerta sobre la app de préstamos RapiPlata: eliminada de las tiendas oficiales, pero aún activa fuera de ellas

19 junio, 2025

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Back to top button