Los hackers dejaron de confiar entre ellos. Cómo la fragmentación del mercado del ransomware golpeó al "negocio" de los extorsionadores (y por qué dejaron de recibir rescates).

En el ecosistema del software de extorsión, en el último trimestre se ha iniciado una nueva etapa que cambia notablemente el equilibrio habitual de fuerzas. Antes el mercado se sostenía en grandes actores con infraestructura estable, pero ahora se ha fragmentado en decenas de grupos más pequeños que aparecen, desaparecen y regresan con otros nombres. En medio de esta dispersión ha reaparecido una de las marcas más conocidas — LockBit.

Según Check Point Research, en el tercer trimestre de 2025 se contabilizaron 85 grupos activos, el número más alto desde que se llevan registros. En lugar de unos pocos servicios dominantes, emerge una red de colectivos pequeños que surgieron tras el fracaso de proyectos como RansomHub, 8Base y BianLian. En las filtraciones se registraron casi 1600 víctimas en tres meses, mientras que las diez agrupaciones más activas explican apenas algo más de la mitad de todos los casos. Esta dinámica indica que muchos ataques son realizados por operadores independientes no vinculados a marcas conocidas.

La fragmentación reduce la previsibilidad. Cuando el mercado estaba dominado por servicios grandes, los especialistas podían analizar métodos repetidos, infraestructura y conducta de los operadores. Ahora son habituales los sitios temporales de filtraciones y la atribución se vuelve poco fiable. Este panorama se agrava por el escaso efecto de las operaciones policiales: el cierre de dominios y la incautación de equipos rara vez alcanzan a quienes ejecutan los ataques. Los participantes liberados pasan rápidamente a otras plataformas o crean las suyas propias.

También disminuye la confianza en los extorsionadores. Los equipos pequeños no están interesados en mantener una reputación y con frecuencia no cumplen las promesas de recuperación de datos. La proporción de pagos continúa cayendo porque las víctimas dudan cada vez más de que realmente recibirán la clave o la herramienta para descifrar tras la transferencia de fondos.

En este contexto destacó el regreso de LockBit. En septiembre apareció la versión 5.0, y su lanzamiento estimuló un aumento de la actividad. El administrador del proyecto había prometido durante mucho tiempo el relanzamiento tras la operación Cronos, y la nueva versión incluye variantes actualizadas para Windows, Linux y ESXi, un proceso de cifrado más rápido y canales de negociación personalizados.

En el primer mes se confirmaron al menos una decena de ataques, lo que muestra que parte de los operadores decidió volver bajo una marca conocida. Existe la posibilidad de una nueva centralización, ya que el reconocimiento sigue siendo el factor decisivo para quienes buscan una estructura y reglas claras.

Al mismo tiempo se aprecia otra tendencia: intentos de algunos grupos por impulsar su propia imagen. Así, DragonForce en octubre anunció una alianza con LockBit y Qilin, aunque no existen vínculos infraestructurales confirmados. Declaraciones como esa parecen más intentos de consolidar notoriedad, usando métodos que recuerdan más a una estrategia de marketing que al comportamiento de las organizaciones criminales de años anteriores.

La geografía de las víctimas sigue siendo global. Aproximadamente la mitad de los casos corresponde a Estados Unidos, y Corea del Sur entró por primera vez en el top diez debido a campañas contra el sector financiero. En Europa, Alemania y Reino Unido están sometidos a una presión mayor. Los sectores más atacados son estables: las empresas manufactureras y los servicios empresariales mantienen cuotas similares, y las organizaciones sanitarias siguen afrontando riesgo, aunque algunas agrupaciones procuran evitarlas para no atraer atención excesiva.

La conclusión principal de los analistas es que el volumen de ataques se mantiene alto independientemente de la presión de las fuerzas del orden. Cada desmantelamiento de infraestructura no reduce la actividad, sino que da lugar a la aparición de nuevos grupos. El regreso de LockBit puede reunir temporalmente parte de la escena en torno a un centro antiguo, pero no cambia el panorama general: el mercado sigue siendo flexible, fragmentado y resistente a la intervención externa.