El ‘ransomware’ perdió rentabilidad en 2025 pese al aumento del robo de datos

Ransomware
Redacción

El ransomware registró en 2025 una menor rentabilidad pese al aumento de víctimas y al auge del robo de datos, según el informe global del Google Threat Intelligence Group (GTIG), que también ha señalado un cambio en las estrategias de los ciberdelincuentes, realizando ataques más rápidos y centrados en la extorsión de información sensible.

Además, el informe de GTIG ha indicado que, frente a la disminución de la rentabilidad, muchos atacantes han adoptando enfoques más flexibles y rápidos, priorizando el robo de información sensible frente al cifrado masivo de sistemas. Estos cambios reflejan una transición hacia modelos de extorsión menos visibles, con ataques dirigidos a organizaciones más pequeñas y vulnerables, y una menor dependencia de grandes rescates financieros tradicionales.

‘Ransomware’: factores detrás de la evolución

De acuerdo al documento, todo ello ha generado un cambio de paradigma en el sector, debido a una serie de tendencias clave:

  • Menor rentabilidad: a pesar de un número récord de víctimas publicadas en sitios de filtración de datos (DLS) en 2025, la rentabilidad general de las operaciones de ransomware parece estar disminuyendo, probablemente debido a la mejora de las prácticas de ciberseguridad y la mayor capacidad de recuperación de las víctimas.
  • Foco en la pequeña empresa: al ser las grandes corporaciones objetivos más difíciles, los atacantes están optando por un mayor volumen de ataques contra organizaciones más pequeñas, cuyos sistemas de seguridad suelen ser menos robustos.
  • El auge del robo de datos: El 77 por ciento de las intrusiones analizadas en 2025 incluyeron robo de datos (frente al 57% de 2024). Esto indica que los adversarios pueden ver la extorsión por robo de datos como un método más fiable para asegurar los pagos.

Nuevas estrategias de los atacantes

Por otra parte, el informe de GTIG también ha destacado que los ataques de ransomware se han vuelto más rápidos y fragmentados, centrados en extraer información sensible antes de ser detectados, y que la mayoría de los grupos ahora operan bajo modelos de ransomware -as-a-service (RaaS), lo que permite a actores más pequeños lanzar ataques sofisticados sin desarrollar sus propias herramientas. Además, se observa un aumento de ataques dirigidos a entornos virtualizados y en la nube, lo que refleja cómo los ciberdelincuentes buscan objetivos estratégicos que amplifiquen el impacto y la presión sobre las víctimas.

Este cambio de estrategia se ha reflejado también en que muchos ataques combinan robo de datos con técnicas de infiltración rápidas, extrayendo información sensible antes de cifrar los sistemas. Según GTIG, este enfoque ha permitido maximizar el impacto y la presión sobre las víctimas, reforzando la tendencia hacia la extorsión basada en datos frente al modelo tradicional de rescate financiero.

En conjunto, estas tendencias de GTIC han demostrado que, aunque el ransomware sigue siendo una amenaza creciente, su modelo de negocio tradicional está bajo presión, obligando a los atacantes a adoptar tácticas más ágiles, dirigidas y centradas en el robo de datos, en un panorama de ciberseguridad que evoluciona rápidamente.