La ciberseguridad global enfrenta un cambio de paradigma. Así lo advierte Check Point Software en su Ransomware Threat Intelligence Report correspondiente al segundo trimestre de 2025 donde revela cómo el ecosistema del ransomware está evolucionando rápidamente hacia nuevas formas de ataque más sofisticadas y difíciles de rastrear, con un papel creciente de la inteligencia artificial.
Una de las conclusiones del informe afirma que la inteligencia artificial ya se utiliza operativamente en campañas de ransomware. Herramientas de IA generativa están siendo empleadas para diseñar phishing más convincente, ofuscar código malicioso e incluso simular comunicaciones de las víctimas. Algunos grupos, como Global Group (también conocidos como El Dorado o Blacklock), han llegado a ofrecer «servicios de negociación asistidos por IA» a sus afiliados, incluyendo bots capaces de adaptar mensajes, generar textos intimidatorios y realizar perfiles psicológicos para presionar a las víctimas.
Lejos de desaparecer, el ransomware se ha fragmentado. Grupos históricos como LockBit o RansomHub han perdido fuerza, y otros como Cactus se han disuelto o dividido. Esta atomización genera un entorno más disperso y sigiloso, lo que complica la atribución de los ataques y retrasa la respuesta. La amenaza persiste, pero ahora proviene de múltiples actores menos visibles y más impredecibles.
El informe también destaca una evolución del modelo Ransomware-as-a-Service (RaaS) hacia estructuras más profesionalizadas. El grupo DragonForce, por ejemplo, opera bajo una lógica similar a la de una franquicia: los afiliados eligen sus objetivos y personalizan los ataques, pero utilizan herramientas e infraestructura provistas por el grupo matriz. Todo ataque se publica bajo la marca DragonForce, reforzando su reputación en el ecosistema criminal. Además, establecen alianzas con foros clandestinos como Ramp, lo que amplifica su visibilidad.
En cuanto a las tasas globales de pago de rescates han , por primera vez, entre un 25 % y un 27 %, según cifras de Coveware. Esta tendencia responde a mejores prácticas de defensa por parte de las empresas, mayor desconfianza hacia los criminales y políticas públicas que desincentivan el pago. No obstante, los atacantes se están adaptando rápidamente, con estrategias de triple extorsión, subastas de datos en la dark web y ataques a la reputación mediante filtraciones o campañas DDoS.
Recomendaciones
Check Point Software subraya que la única forma de enfrentar esta evolución es mediante una estrategia de seguridad proactiva e integral, y propone medidas como la integración de la protección de endpoints, redes e identidades en entornos híbridos y multicloud. La implementación de soluciones antiphishing avanzadas con IA y programas de concienciación para usuarios. Usar técnicas de engaño y threat hunting para detectar movimientos laterales y actividades de afiliados. Y segmentar las copias de seguridad y validar regularmente los procesos de recuperación.
“El ransomware no está desapareciendo, solo está cambiando de forma”, advierte Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “La profesionalización del delito, el uso de IA y la fragmentación del panorama obligan a las empresas a mantenerse un paso por delante con tecnologías inteligentes, detección temprana y estrategias adaptadas al nuevo entorno”.
