{"id":255,"date":"2026-03-16T10:29:53","date_gmt":"2026-03-16T10:29:53","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/16\/la-economia-del-ransomware-se-esta-desplazando-hacia-la-extorsion-directa-de-datos\/"},"modified":"2026-03-16T10:29:53","modified_gmt":"2026-03-16T10:29:53","slug":"la-economia-del-ransomware-se-esta-desplazando-hacia-la-extorsion-directa-de-datos","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/16\/la-economia-del-ransomware-se-esta-desplazando-hacia-la-extorsion-directa-de-datos\/","title":{"rendered":"La econom\u00eda del ransomware se est\u00e1 desplazando hacia la extorsi\u00f3n directa de datos"},"content":{"rendered":"
\n

El ransomware sigue siendo un flagelo que muestra algunos signos de ceder, pero los equipos de respuesta a incidentes y los cazadores de amenazas est\u00e1n m\u00e1s ocupados que nunca a medida que m\u00e1s atacantes con motivaciones financieras se apoyan exclusivamente en el robo de datos para extorsionar.<\/p>\n

Los ataques que solo implican el robo de datos con fines de extorsi\u00f3n pueden no ser m\u00e1s frecuentes que el ransomware tradicional cuando los atacantes cifran los sistemas, pero el impulso se est\u00e1 moviendo en esa direcci\u00f3n, dijo a CyberScoop Genevieve Stark, jefa de inteligencia sobre delitos cibern\u00e9ticos de Google Threat Intelligence Group.<\/p>\n

\u00abCuando miras a los actores del mundo clandestino de habla inglesa, casi todos ellos se centran en la extorsi\u00f3n por robo de datos en este momento\u00bb, a\u00f1adi\u00f3 Stark. Esto incluye grupos como Scattered Spider, ShinyHunters, Clop y otros grupos que han sido responsables de algunos de los ataques m\u00e1s grandes y de mayor alcance en los \u00faltimos a\u00f1os.<\/p>\n

El informe de investigaci\u00f3n de Google Threat Intelligence Group sobre ransomware, que comparti\u00f3 exclusivamente y discuti\u00f3 con CyberScoop antes de su lanzamiento, subraya c\u00f3mo la evoluci\u00f3n y propagaci\u00f3n del cibercrimen puede nublar una comprensi\u00f3n colectiva del ransomware, o ataques que utilizan malware para cifrar o bloquear sistemas. <\/p>\n

Los ataques de ransomware tambi\u00e9n suelen incluir el robo de datos como un punto de presi\u00f3n adicional para la extorsi\u00f3n (que ocurri\u00f3 en el 77% de las intrusiones de ransomware que Google observ\u00f3 el a\u00f1o pasado, frente al 57% en 2024), pero t\u00e9cnicamente no es ransomware a menos que est\u00e9 involucrado el cifrado. <\/p>\n

\u00abEn las intrusiones investigadas por Mandiant, observamos una disminuci\u00f3n en la implementaci\u00f3n de ransomware tradicional coincidiendo con un aumento en la extorsi\u00f3n por robo de datos\u00bb, dijeron los investigadores en el informe. \u00abAdem\u00e1s, algunos programas de ransomware como servicio ofrecen opciones de extorsi\u00f3n y robo de datos \u00fanicamente, adem\u00e1s del ransomware, lo que puede reflejar la demanda de su base de clientes\u00bb.<\/p>\n

La compa\u00f1\u00eda se neg\u00f3 a decir a cu\u00e1ntos ataques de ransomware respondi\u00f3 en 2025. \u00abDudamos en compartir la cantidad de casos en los que trabajamos, en t\u00e9rminos cuantitativos, porque es muy dif\u00edcil para todos ponerse de acuerdo sobre lo que constituye un incidente versus dos\u00bb, dijo Chris Linklater, l\u00edder de pr\u00e1ctica de Mandiant. \u00abComo an\u00e9cdota, nos mantenemos muy ocupados\u00bb.<\/p>\n

Stark reconoci\u00f3 que desaf\u00edos importantes impiden que la industria desarrolle una imagen clara y completa de la verdadera escala e impacto del ransomware. La informaci\u00f3n se limita en gran medida a lo que las empresas individuales de respuesta a incidentes ven en sus propios casos, y la informaci\u00f3n que se comparte generalmente se proporciona caso por caso, m\u00e1s bien de forma centralizada.<\/p>\n

\u00abNo estamos haciendo un gran trabajo como industria al analizar el volumen. Creo que dependemos demasiado de cosas como el volumen de los sitios de fuga de datos, que tienen muchos problemas\u00bb, afirm\u00f3.<\/p>\n

Es probable que el aumento de la extorsi\u00f3n de datos est\u00e9 impulsando un aumento de estas publicaciones. Al mismo tiempo, algunos grupos de amenazas hacen afirmaciones no cre\u00edbles o reciclan infracciones anteriores y las afirman como obra propia. \u00abLos sitios de fuga de datos como medida son en realidad bastante pobres, y creo que como industria hemos confiado demasiado en eso\u00bb, dijo Stark.<\/p>\n

Sin embargo, los datos siguen siendo \u00fatiles para evaluar ciertas tendencias, como cambios en los objetivos o un aumento de presuntos ataques a sectores o regiones espec\u00edficos, dijeron los investigadores.<\/p>\n

Por si sirve de algo, Google dijo que la cantidad de publicaciones en sitios de fuga de datos aument\u00f3 un 48% respecto al a\u00f1o anterior a 7.784 publicaciones en 2025. Mientras tanto, la cantidad de sitios \u00fanicos de fuga de datos aument\u00f3 casi un 35% durante el mismo per\u00edodo a 128 sitios con al menos una publicaci\u00f3n.<\/p>\n

El informe de Google tambi\u00e9n se centra en las t\u00e1cticas y los cambios que observ\u00f3 durante su respuesta a los ataques de ransomware el a\u00f1o pasado, incluidas las formas m\u00e1s comunes en que los atacantes irrumpieron en los sistemas, las familias de ransomware m\u00e1s destacadas y un mayor ataque a la infraestructura de virtualizaci\u00f3n.<\/p>\n

Las vulnerabilidades explotadas fueron el principal vector de acceso inicial en los ataques de ransomware el a\u00f1o pasado, representando un tercio de todos los incidentes, seguidas de diversas formas de compromiso web y credenciales robadas. Los atacantes explotaron con mayor frecuencia vulnerabilidades en redes privadas virtuales y firewalls ampliamente utilizados de Fortinet, SonicWall, Palo Alto Networks y Citrix, dijeron los investigadores.<\/p>\n

Zach Riddle, analista principal de inteligencia de amenazas en GTIG, dijo que esto no refleja tanto una tendencia creciente como un ciclo recurrente de diferentes vectores de acceso inicial, que aumentan y disminuyen a\u00f1o tras a\u00f1o por diversas razones.<\/p>\n

Google mencion\u00f3 espec\u00edficamente 13 vulnerabilidades, muchas de ellas reveladas hace a\u00f1os, y clasific\u00f3 esos defectos entre las vulnerabilidades m\u00e1s explotadas para ataques de ransomware el a\u00f1o pasado. Tres de esas vulnerabilidades afectan a los productos de Fortinet, seguidas de dos de Microsoft, dos de Veritas y una de SonicWall, Citrix, SAP, Palo Alto Networks, CrushFTP y Zoho.<\/p>\n

Las credenciales robadas fueron el punto de acceso inicial en el 21% de las intrusiones de ransomware el a\u00f1o pasado, y los atacantes a menudo usaban esas credenciales para autenticarse en la VPN o el protocolo de escritorio remoto de la v\u00edctima, dijo Google en el informe.<\/p>\n

Los atacantes tambi\u00e9n enfrentan m\u00e1s desaf\u00edos al implementar ransomware una vez que ingresan a las redes de las v\u00edctimas. \u00abDe hecho, estamos viendo una disminuci\u00f3n en la implementaci\u00f3n exitosa de ransomware\u00bb, dijo Bavi Sadayappan, analista senior de inteligencia de amenazas de GTIG. Google observ\u00f3 una disminuci\u00f3n a\u00f1o tras a\u00f1o del 54% en 2024 al 36% el a\u00f1o pasado.<\/p>\n

Otro cambio hist\u00f3rico que se refleja en la actividad de ransomware en 2025 implica una mayor focalizaci\u00f3n en la infraestructura de virtualizaci\u00f3n, como los hipervisores VMware ESXi. Los atacantes se dirigieron a estos entornos en el 43% de las intrusiones de ransomware el a\u00f1o pasado, frente al 29% en 2024.<\/p>\n

\u00abPermite que el atacante ataque una gran cantidad de sistemas con un esfuerzo muy peque\u00f1o\u00bb, dijo Linklater, y agreg\u00f3 que \u00abhace que la investigaci\u00f3n sea significativamente m\u00e1s dif\u00edcil de lograr, porque se pierde mucha m\u00e1s evidencia forense cuando se ataca a esos hipervisores\u00bb.<\/p>\n

Las familias de ransomware m\u00e1s destacadas en 2025 incluyeron Agenda, Redbike, Clop, Playcrypt, Safepay, Inc, RansomHub y Fireflame, seg\u00fan Google. Las marcas de ransomware m\u00e1s activas el a\u00f1o pasado incluyeron Qilin, Akira, Clop, Play, Safepay, Inc, Lynx, RansomHub, DragonForce y Sinobi.<\/p>\n