La principal amenaza: tu empleado. Los extorsionadores ya no esperan vulnerabilidades; van con efectivo. La confianza, el nuevo vector de ataque.
Datos que te harán desconfiar de todos tus colegas
El informe de Coveware sobre la actividad de extorsión del tercer trimestre de 2025 muestra una imagen ambivalente. Por un lado, las campañas masivas en el formato Ransomware como servicio (RaaS) siguen azotando a las empresas medianas. Por otro, con mayor frecuencia se registran ataques focalizados contra grandes empresas, donde los atacantes pasan de métodos automatizados a esquemas individuales con implicación de personal interno. A pesar del aumento del número de ataques, la economía de la extorsión se viene abajo: la cantidad de pagos es históricamente baja y la rentabilidad cae rápidamente.
Uno de los ejemplos más claros del enfoque masivo fue la actividad de la agrupación Akira, que explotó una vulnerabilidad y le permitió llevar a cabo un número récord de ataques en julio y agosto. La estrategia del grupo se basa en el bajo coste de las intrusiones y en demandas relativamente pequeñas, lo que finalmente asegura una mayor conversión de pagos. Akira mantiene alrededor de un tercio del mercado y sigue desarrollando infraestructura para atacar a organizaciones de todos los tamaños. Este enfoque volumétrico se contrapone a la estrategia de grupos orientados a objetivos "de élite", donde cada operación resulta más cara y la probabilidad de obtener el rescate es menor.
Una nueva tendencia preocupante se ha manifestado en el ámbito de las amenazas internas. En uno de los casos, los miembros de la banda Medusa intentaron sobornar a un empleado de una organización, ofreciéndole el 15% del rescate a cambio del acceso al ordenador de trabajo. Este episodio, según los investigadores, marca la transición de los extorsionadores desde los escenarios clásicos de infección hacia operaciones focalizadas y personalizadas. Antes, la actividad interna se limitaba al robo de datos o al sabotaje, pero ahora se trata de la participación directa en el despliegue de cifradores. Los intermediarios anglófonos en la composición del grupo Medusa reflejan el cambio de táctica: de ataques aleatorios hacia esquemas estructurados de ingeniería social.
La economía de los cifradores ha experimentado cambios radicales en los últimos años. En los inicios de su difusión masiva, los ciberdelincuentes actuaban por su cuenta: escribían el código, obtenían acceso y negociaban. Las operaciones eran baratas, pero generaban ingresos moderados. Con el aumento de las defensas de las empresas, los atacantes añadieron la extorsión mediante la filtración de datos y crearon el modelo RaaS, en el que los desarrolladores del software contrataban socios para la distribución masiva. Este sistema creció rápidamente, generando costes de infraestructura, alojamiento e incluso "servicios de soporte". Los conflictos entre los autores y los afiliados ejecutores, así como la caída de la confianza dentro de la comunidad, minaron la estabilidad del mercado. Para 2024 varias marcas importantes se disolvieron y muchos grupos renunciaron al cifrado en favor de la simple extorsión por datos robados.
La etapa actual se caracteriza por una fuerte reducción de los beneficios y un aumento de los costes. Para mantenerse a flote, los extorsionadores se ven obligados a inventar nuevas vías de acceso, recurriendo cada vez más a métodos de ingeniería social y al soborno de empleados. En un contexto en el que las empresas refuerzan las defensas y se niegan a pagar, las oportunidades de ganancias rápidas se evaporan. El importe medio del pago en el tercer trimestre se redujo un 66%, situándose en 376 941 dólares, y la mediana descendió un 65%, hasta 140 000 dólares. La tasa de pagos efectivos cayó a un mínimo histórico: 23%. Además, en los casos de filtración sin cifrado solo paga el 19% de las víctimas. Cada vez más abogados y especialistas en comunicación de crisis adoptan una postura firme de rechazo al pago, considerando incluso las "compensaciones simbólicas" como un perjuicio para la lucha contra la extorsión.
Los más activos siguen siendo Akira y Qilin, que mantienen el 34% y el 10% del mercado respectivamente. En el top diez también figuraban Lone Wolf, Lynx, Shiny Hunters y KAWA4096. Las principales vías de intrusión no han cambiado: acceso remoto, phishing y explotación de vulnerabilidades. Sin embargo, ahora los límites entre ellas están difuminados: los atacantes combinan técnicas técnicas y psicológicas, logrando que los empleados proporcionen el acceso por su propia mano. El éxito de los ataques está cada vez más vinculado no a los exploits, sino a la manipulación de la confianza.
Entre las tácticas predominantes siguen estando la exfiltración de datos (76% de los casos), el movimiento lateral en la red (73%) y la creación de canales de control basados en herramientas legítimas como Microsoft Quick Assist. Prácticamente cada ataque va acompañado de cifrado, pero los investigadores señalan la creciente brecha entre el grado real del daño y las capacidades de detección, especialmente en entornos virtualizados donde las huellas de los ataques se borran con rapidez.
El tamaño medio de las empresas afectadas aumentó hasta 362 empleados, lo que supone una cuarta parte más que el trimestre anterior. Sin embargo, contrariamente a lo esperado, el aumento de la escala de las víctimas no se tradujo en un incremento de los pagos. Los atacantes gastan más recursos en intrusiones complejas, pero el efecto financiero cada vez justifica menos los costes. Esto refuerza la tendencia de declive de la economía de la extorsión y empuja a los actores hacia nuevas formas de presión: desde esquemas internos hasta ataques combinados con impacto psicológico.