Hacktivismo, RaaS y modelos de lenguaje convierten al ransomware en una economía criminal en expansión.
En 2025, el ransomware ha pasado de ser un problema aislado a consolidarse como una de las amenazas más graves para la ciberseguridad global. El más reciente State of the Internet Report on Ransomware documenta que los ataques han golpeado sectores estratégicos en todo el mundo: cadenas minoristas en el Reino Unido, hospitales en Asia-Pacífico, un gobierno latinoamericano y sistemas educativos en Norteamérica.
Las cifras son contundentes: solo las variantes vinculadas a TrickBot generaron más de 724 millones de dólares en pagos de rescatemediante criptomonedas. “El ransomware sigue siendo un negocio rentable para grupos criminales, hacktivistas y ciberdelincuentes”, señala el informe.
La irrupción de la inteligencia artificial en el cibercrimen
Uno de los elementos más preocupantes es la incorporación de inteligencia artificial y modelos de lenguaje en la maquinaria del ransomware. Herramientas emergentes como WormGPT, DarkGPT y FraudGPT permiten que actores con poca o nula experiencia creen código malicioso, campañas de phishing y hasta ataques de vishing a través de chatbots que imitan la voz o el estilo de comunicación de empleados. Grupos como FunkSec, Forest Blizzard y Emerald Sleet ya utilizan estas técnicas para aumentar la escala y efectividad de sus ofensivas.
La nueva era de la extorsión múltiple
El reporte detalla la evolución de las tácticas: ya no se trata solo de secuestrar información, sino de aplicar doble, triple e incluso cuádruple extorsión. Los delincuentes combinan amenazas de cifrado con filtración de datos sensibles, ataques DDoS y presiones adicionales al contactar a clientes, socios o medios de comunicación. En algunos casos, utilizan las obligaciones regulatorias como herramienta de chantaje, advirtiendo que harán denuncias por incumplimientos que podrían costar más que el rescate exigido.
Ransomware como servicio: democratización del delito
El modelo conocido como Ransomware-as-a-Service (RaaS) consiste en que grupos criminales desarrollan plataformas listas para usar y las ofrecen a otros atacantes a cambio de suscripciones o comisiones. De esta manera, incluso personas sin conocimientos técnicos avanzados pueden lanzar ataques de ransomware, lo que democratiza el cibercrimen y multiplica el número de ofensivas.
Colectivos como Stormous, DragonForce, KillSec, CyberVolk y Dragon RaaS difuminan además la frontera entre hacktivismo y lucro, combinando agendas ideológicas con fines económicos.
Impacto y riesgos críticos
Las consecuencias son devastadoras: el tiempo promedio de inactividad tras un ataque es de 21 días, lo que ocasiona pérdidas millonarias y daños irreparables a la reputación de las víctimas. En el sector salud, ese lapso implica directamente riesgos para la vida de pacientes al suspender servicios esenciales.
La resiliencia como única defensa
El informe concluye que el enfoque indispensable es la resiliencia: asumir que una vulneración es posible y preparar mecanismos de detección, corrección y recuperación inmediata. Las recomendaciones incluyen reforzar los planes de continuidad, contratar ciberseguros y establecer marcos regulatorios que desincentiven el pago de rescates.
“El ransomware ya no es un incidente aislado, es una economía criminal en expansión. Combatirlo exige agilidad, planificación y sistemas integrales de protección”, advierte el documento.