Más ataques, menos dinero: Chainalysis explica por qué los ciberextorsionadores reciben rescates con menos frecuencia
Se acaba la era de las transferencias digitales sin control.
Chainalysis registró un panorama paradójico en el mercado de ataques de extorsión en 2025. Los delincuentes afirmaban un aumento récord en el número de víctimas, pero el volumen total de rescates en criptomonedas apenas cambió y, según varias estimaciones, incluso disminuyó.
Según la empresa, los pagos on-chain totales a los extorsionadores (que efectivamente se realizaron dentro de la cadena de bloques y son visibles en el historial público de transacciones) en 2025 ascendieron a unos 820 млн dólares, lo que representa aproximadamente un 8% menos que la estimación revisada para 2024 de 892 млн долларов. Chainalysis aclara que el total de 2025 podría aumentar a medida que se atribuyan nuevos episodios y transacciones y acercarse a 900 млн долларов.
Ante la suma de rescates relativamente estable, el número de ataques reportados aumentó de manera pronunciada. Según eCrime.ch, la cantidad de víctimas que los grupos anunciaron a través de sitios de filtraciones creció un 50% interanual. Al mismo tiempo, la proporción de casos en los que las víctimas pagaron pudo caer hasta el 28%, lo que constituye el nivel más bajo observado hasta ahora.
Chainalysis atribuye la brecha entre el aumento de ataques y la estancación de pagos a varios factores. Las empresas responden más rápido a los incidentes y con mayor frecuencia se niegan a pagar debido a la presión de los reguladores. También han surtido efecto las operaciones internacionales contra los grupos, sus infraestructuras y las cadenas de conversión a efectivo.
Un papel adicional lo jugaron fallos técnicos en familias concretas de extorsionadores, cuando defectos en el cifrado permitían recuperar los datos sin pagar el rescate. Paralelamente, el mercado se fragmentó: en lugar de unos pocos programas de extorsión dominantes surgieron numerosos grupos pequeños, y parte de los ataques se desplazó hacia las pequeñas y medianas empresas, donde se espera recibir pagos más rápidos.
Al mismo tiempo, el tamaño típico del rescate aumentó de forma notable. La suma mediana del pago, según la estimación de Chainalysis, se disparó un 368% desde 12 738 dólares en 2024 hasta 59 556 dólares en 2025. Los autores del informe también describen un endurecimiento de las tácticas de negociación. Algunos grupos intensificaron la presión contactando a empleados y clientes de las víctimas; otros apostaron por el robo de datos y trataron de analizar los conjuntos sustraídos para formular amenazas más concretas.
Chainalysis puso un énfasis aparte en el papel de los brokers de acceso inicial, que venden el acceso a redes comprometidas. La empresa estimó sus ingresos on-chain en 2025 en al menos 14 млн долларов, lo que corresponde aproximadamente al nivel del año anterior, pero los repuntes de flujo de fondos hacia esos intermediarios, según las observaciones, a menudo precedían el aumento de los rescates y de las publicaciones sobre víctimas en aproximadamente 30 días.
Otra tendencia afecta a la infraestructura. Según Chainalysis, los ciberdelincuentes y actores vinculados a estados usan cada vez más los mismos servicios, incluidos alojamientos "a prueba de balas" y redes de proxies residenciales, para ocultar la actividad. En 2025, las fuerzas de seguridad y los reguladores intensificaron la presión precisamente sobre este nivel, apuntando no solo a grupos concretos sino también a los proveedores de infraestructura y de herramientas de carga de código malicioso, lo que incrementa los costos para todo el mercado clandestino.