Se cierra el grifo del dinero: la economía de los ciberataques empieza a desplomarse
El temor a los reguladores se impuso a la voluntad de negociar con los ciberatacantes
Las grandes campañas de extorsión masiva de datos que explotan vulnerabilidades de día cero están perdiendo eficacia, incluso cuando los atacantes consiguen acceder a sistemas corporativos valiosos. Un nuevo informe de Coveware muestra que las empresas aceptan pagos con menos frecuencia y que la economía de esos ataques ha empeorado.
En el cuarto trimestre de 2025 el grupo CL0P realizó una operación a gran escala, aprovechando una vulnerabilidad hasta entonces desconocida en Oracle E-Business Suite. El esquema repite el enfoque que el grupo ha usado durante varios años. Primero se compra una herramienta lista para explotar la popular solución empresarial, luego se comprometen masivamente las instalaciones de clientes y sus socios, tras lo cual se extraen datos y se envían demandas de pago. No se aplica cifrado de sistemas; la presión se basa únicamente en el hecho del robo de información.
Operaciones similares CL0P las había realizado antes a través de Accellion FTA, GoAnywhere MFT, MOVEit Transfer y Cleo MFT. Si en 2021 la proporción de quienes accedieron a pagar llegaba a aproximadamente el 25%, en campañas posteriores la cifra descendió drásticamente. En el incidente con MOVEit fue alrededor del 2,5%, y en los ataques vía Cleo, según Coveware, los clientes afectados no remitieron dinero a los delincuentes. La campaña contra Oracle EBS, a pesar de la sensibilidad de los datos robados y la complejidad del análisis de la filtración, también mostró uno de los niveles de respuesta más bajos por parte de las víctimas.
Los autores del informe atribuyen esto al cambio en la actitud de las empresas ante tales demandas. Las organizaciones comprenden mejor las consecuencias legales de los incidentes y las limitaciones de ese modo de "resolver el problema". El pago no elimina la obligación de notificar a reguladores y clientes, no protege ante demandas judiciales ni garantiza la destrucción de las copias de la información sustraída. Además, una vez iniciado el diálogo la presión a menudo se intensifica y trasciende las amenazas digitales.
Un panorama similar se observó en otras campañas mediáticas de intrusiones, incluidos los incidentes relacionados con Snowflake y los ataques a plataformas CRM que se asocian con el grupo Shiny Hunters. A pesar de su amplio alcance y publicidad, las transferencias de fondos siguieron siendo una rareza, y muchas empresas optaron por ignorar por completo las demandas.
Las estadísticas de pagos a programas de cifrado a finales de 2025 también indican un sesgo. La media de los pagos aumentó hasta 591 988 dólares, la mediana hasta 325 000. El incremento no se debe a una disposición masiva a pagar, sino a casos aislados muy grandes donde la inactividad de la infraestructura era crítica. En términos generales, la proporción de pagos descendió hasta aproximadamente el 20% y continúa cayendo.
Las familias de malware más frecuentes siguen siendo Akira y Qilin, que apuestan por el cifrado y no solo por el robo de información. El vector inicial de entrada predominante ha sido la toma de acceso remoto y de credenciales, incluyendo servicios en la nube y aplicaciones SaaS. La ingeniería social se usa cada vez más como herramienta auxiliar para obtener credenciales legítimas de acceso.
Según Coveware, la caída de la rentabilidad de las campañas masivas de exfiltración de datos está empujando a los grupos criminales a cambiar de táctica. Es probable un retorno a los ataques con cifrado y a un uso más focalizado del acceso a las redes de las víctimas.