El ransomware aumenta y la extorsión se intensifica: Informe sobre ransomware de ThreatLabz 2025

El ransomware sigue siendo una de las amenazas más persistentes a las que se enfrentan las empresas y organizaciones del sector público. La última investigación de ThreatLabz confirma que los ataques no solo están aumentando en volumen, sino que también están cambiando hacia tácticas de extorsión más específicas y basadas en datos.

El informe sobre ransomware ThreatLabz 2025 de Zscaler publicado recientemente examina los picos interanuales de actividad de ransomware bloqueados por la nube de Zscaler y un aumento significativo en los casos de extorsión pública. En conjunto, estos hallazgos apuntan a una realidad crítica: el panorama actual de amenazas del ransomware exige un nuevo nivel de vigilancia operativa y una arquitectura de seguridad fundamentalmente diferente a la que ofrecen los modelos de seguridad tradicionales.

En esta publicación del blog se destacan algunos aspectos destacados del informe. Para obtener el análisis completo, incluidas las tendencias de ataques, los perfiles de los actores de amenazas y orientación en materia de seguridad, descargue el Informe sobre ransomware ThreatLabz 2025.

5 hallazgos clave sobre ransomware

Los investigadores de ThreatLabz analizaron la actividad de ransomware desde abril de 2024 hasta abril de 2025, observando sitios públicos de filtraciones de datos, inteligencia de amenazas patentada de Zscaler, muestras de ransomware, datos de ataques y telemetría de Zscaler Zero Trust Exchange. A continuación se presentan cinco conclusiones importantes del informe de este año:

1. Los ataques de ransomware se dispararon un 145,9 % interanual: este dramático crecimiento deja claro que los atacantes están lanzando campañas más rápido que nunca; Zscaler bloqueó una cantidad sin precedentes de ataques de ransomware durante el año pasado.  
2. Aumentaron los casos de extorsión pública en un 70,1 %: muchas más organizaciones fueron incluidas en sitios de filtración de ransomware en comparación con el año anterior a medida que los atacantes intensifican sus tácticas de presión.
3. Los volúmenes de exfiltración de datos aumentaron en un 92,7 %: ThreatLabz analizó 10 familias importantes de ransomware y descubrió un total de 238,5 TB de datos exfiltrados, evidencia de que el robo de datos está alimentando campañas de extorsión.
4. Los sectores críticos siguen siendo los principales objetivos: la manufactura, la tecnología y la asistencia sanitaria experimentaron el mayor número de ataques de ransomware, mientras que sectores como el petróleo y gas (+935 %) y el gobierno (+235%) experimentaron aumentos interanuales notables.
   
5. Los grupos de ransomware están evolucionando rápidamente: familias establecidas como RansomHub, Clop y Akira siguieron dominando el sector, mientras que surgieron 34 grupos nuevos identificados por ThreatLabz, incluidos cambios de marca o derivaciones de grupos extintos y nuevos grupos que buscan llenar el vacío dejado por eliminaciones u otras interrupciones. En conjunto, reflejan un ecosistema de ransomware dinámico y de rápido movimiento donde los actores de amenazas se adaptan continuamente.
    

Tendencias actuales: extorsión por cifrado, uso de IA generativa y objetivos estratégicos

El Informe sobre ransomware 2025 de ThreatLabz cubre varias tendencias definitorias sobre cómo se ejecutan los ataques de ransomware en la actualidad:

• En muchos casos, la extorsión de datos es la prioridad. Algunos atacantes evitan por completo el cifrado de archivos, optan por robar datos confidenciales y utilizan la amenaza de exposición pública a través de sitios de filtración. Estas campañas se aprovechan de la amenaza de daño a la reputación, violaciones regulatorias y pérdida de propiedad intelectual para presionar a las víctimas a pagar incluso cuando sus datos no están encriptados.
• La IA generativa está acelerando las operaciones de ransomware. ThreatLabz descubrió evidencia de cómo un conocido grupo de amenazas utilizó ChatGPT para respaldar la ejecución de sus ataques. La IA generativa permite a los atacantes automatizar tareas clave y escribir código para agilizar las operaciones y mejorar la eficacia de sus ataques.
• La fijación de objetivos de ataque es más personalizada. Los actores de amenazas de ransomware han dejado de lado en gran medida las tradicionales campañas de spam a gran escala que son oportunistas y han optado por ataques más personalizados que se hacen pasar por personal de TI para atacar a empleados con acceso privilegiado.

Lea el informe completo para obtener más información sobre estas tendencias. 

Grupos de ransomware detrás del aumento

El informe también ofrece una visión detallada de los grupos de amenazas que impulsan la reciente escalada de ataques. Entre los más prolíficos durante el año pasado estuvieron RansomHub, Clop y Akira, responsables de una gran parte de las víctimas de sitios con filtraciones.

Los investigadores de ThreatLabz también identificaron los cinco principales grupos de ransomware que hay que vigilar durante el próximo año: familias que ejemplifican cómo el ransomware se está volviendo más escalable y se centra en los resultados de extorsión.

Las tácticas varían mucho de unos grupos a otros. ThreatLabz observó estrategias como:

• Robo sigiloso de datos que evita interrumpir la continuidad de la actividad empresarial 
• Campañasde ransomware como servicio impulsadas por afiliados que utilizan infraestructura, herramientas y servicios compartidos
• Demandas de rescate que explotan las violaciones regulatorias para intensificar la presión sobre las víctimas  

Las vulnerabilidades siguen siendo el camino de acceso fácil

Un tema constante y definitorio en los ataques de ransomware es el papel de las vulnerabilidades como vías directas hacia el compromiso inicial. Los operadores de ransomware siguen utilizando tecnologías empresariales ampliamente utilizadas (incluidas VPN, aplicaciones de transferencia de archivos, herramientas de acceso remoto, software de virtualización y plataformas de respaldo) como armas.

El informe detalla ejemplos de varias vulnerabilidades importantes explotadas en campañas de ransomware durante el año pasado. En la mayoría de los casos, los atacantes obtuvieron acceso inicial a través de un simple análisis y explotación automatizada de los sistemas conectados a Internet. Esto refuerza una dura verdad: las defensas tradicionales, como los cortafuegos y las VPN, dejan demasiado espacio expuesto, lo que crea condiciones ideales para el movimiento lateral, el robo de datos y la implementación de ransomware.

Zero trust: el estándar para detener el ransomware 

A medida que los grupos de ransomware continúan desarrollando sus estrategias (centrándose en datos confidenciales y explotando la presión reputacional y regulatoria para fortalecer su capacidad de extorsión), la defensa contra estos ataques requiere un enfoque integral y proactivo. Esto es exactamente lo que ofrece una arquitectura de zero trust, eliminando las mismas condiciones en las que confían los actores de amenazas de ransomware: infraestructura detectable, acceso excesivamente permisivo y flujos de datos no inspeccionados. 

Zscaler Zero Trust Exchange ofrece protección en cada etapa de la cadena de ataque de ransomware, incluidos:

• Minimizar la exposición: Zero Trust Exchange hace que los usuarios, dispositivos y aplicaciones sean invisibles de Internet: no hay IP públicas ni redes expuestas. Esto elimina la superficie de ataque durante la fase de reconocimiento más temprana y reduce drásticamente el riesgo.
• Prevenir el compromiso inicial: la inspección en línea de todo el tráfico a gran escala, incluido el el tráfico cifrado con TLS/SSL, detiene las amenazas antes de que puedan causar daños. El aislamiento del navegador impulsado por IA y el sandbox en la nube agregan múltiples capas de defensa para neutralizar los días cero y las amenazas avanzadas, con el respaldo de la inteligencia de amenazas avanzada de ThreatLabz.
• Eliminar el movimiento lateral: la segmentación de aplicación a aplicación y de usuario a aplicación impone el acceso con el mínimo privilegio y elimina la red de la ecuación, eliminando las rutas en las que confían los operadores de ransomware para propagarse. La tecnología de engaño integrada interrumpe aún más los ataques con señuelos y rutas de usuario falsas.
• Bloquear la exfiltración de datos: dado que los grupos de ransomware actuales están tan centrados (o incluso más) en robar datos confidenciales como en cifrarlos, la inspección incomparable de Zscaler, la clasificación de datos impulsada por IA, la prevención de pérdida de datos en línea (DLP) y el aislamiento del navegador son esenciales para evitar transferencias de datos no autorizadas y garantizar que los datos confidenciales nunca abandonen la organización.

Con una arquitectura de zero trust, las organizaciones pueden controlar a qué acceden los usuarios, cómo se mueven los datos y cómo se protegen los recursos, cerrando eficazmente las vías de las que depende el ransomware y reduciendo el riesgo en cada etapa de un ataque.    

Descargue el informe: manténgase informado y preparado

El Informe sobre ransomware 2025 de ThreatLabz le ofrece la visión más reciente, respaldada por datos, del cambiante panorama del ransomware. Más allá de los hallazgos cubiertos en esta publicación del blog, el informe completo explora los países más atacados, brinda inteligencia de primera línea sobre otros desarrollos notables de actores de amenazas y explica cómo ThreatLabz está apoyando esfuerzos más amplios para cambiar el rumbo contra el ransomware. También proporciona una guía más detallada para ayudar a fortalecer las defensas y crear resiliencia contra las amenazas de ransomware actuales.   

• Obtenga su copia del informe completo hoy mismo para mantenerse informado y preparado con las últimas investigaciones sobre amenazas de ransomware.
• Únase a nuestro seminario web este jueves 31 de julio (AMS) y el martes 5 de agosto (EMEA, APAC) para obtener un análisis más profundo y conocimientos de primera mano: Informe de ransomware ThreatLabz 2025: qué hay detrás del último aumento de ataques.