El ataque ransomware se ha convertido en una de las mayores amenazas cibernéticas de la actualidad. Afecta tanto a grandes corporaciones como a organismos públicos y pequeñas empresas. Su capacidad para paralizar sistemas, cifrar datos y extorsionar económicamente a las víctimas lo ha posicionado como un reto prioritario en materia de ciberseguridad global.
En 2025, los expertos alertan sobre la aparición de nuevas variantes más sofisticadas, impulsadas por la inteligencia artificial y la automatización. Este artículo analiza las tendencias actuales, los métodos emergentes y las estrategias defensivas más eficaces frente a un escenario cada vez más complejo y dinámico.
En la actualidad, asistimos a la aparición de varias variantes de ransomware que merecen especial atención por su novedad, especialización o agresividad. Entre ellas, destacan los grupos Interlock, Warlock y SafePay, que han ganado notoriedad por sus métodos y objetivos.
Este grupo comenzó a operar a finales de 2024, pero fue en la primera mitad de 2025 cuando se consolidó como un actor relevante. Según análisis de ESET/We Live Security, ya había registrado más de 20 ataques contra compañías de salud, educación y administración pública.
La técnica principal que adopta se denomina ClickFix. Se trata de ventanas emergentes engañosas que simulan problemas técnicos o un falso captcha que induce al usuario a ejecutar scripts de forma involuntaria. Desde ese punto, el actor obtiene el acceso, se mueve lateralmente, exfiltra datos, cifra sistemas y amenaza, además, con la publicación de la información.
Los objetivos señalados incluyen infraestructuras críticas en Norteamérica y Europa. Con ello se muestra que su enfoque es más estratégico que meramente de volumen.
El grupo Warlock, también conocido como Gold Salem o Storm-2603, apareció en marzo de 2025.
Se caracteriza por dirigirse a la industria tecnológica, servicios financieros y telecomunicaciones, en países como EE. UU., Japón y Reino Unido. Su acceso inicial se basa en la explotación de vulnerabilidades Zero-Day en Microsoft SharePoint, por ejemplo, en lo que se denomina la cadena ToolShell.
Una vez dentro, combina cifrado, robo de datos o exfiltración y doble extorsión. Esto es, al cifrado de sistemas, hemos de añadir la amenaza de publicar los datos robados. Su modus operandi refleja un salto de sofisticación respecto a variantes más tradicionales.
Este grupo entró en escena oficialmente en el segundo semestre de 2024, pero fue durante 2025 cuando ganó visibilidad como uno de los más activos. Por ejemplo, según un análisis de Acronis, se registraron más de 200 ataques en el primer trimestre de 2025.
SafePay despliega tácticas como intrusión vía RDP o VPN, robo de credenciales, borrado de instantáneas, uso de binarios legítimos para evitar detección, y elevación de privilegios.
Aunque algunas de sus características se asemejan al conocido LockBit, SafePay actúa con una estructura que parece más centralizada y menos basada en afiliados.
La evolución de los ataques de ransomware en 2025 puede describirse como una convergencia de tres grandes tendencias. Son la integración de inteligencia artificial, phishing avanzado y explotación sistemática de vulnerabilidades críticas.
El informe Akamai Technologies State of the Internet – Ransomware Report 2025 señala que los grupos de ransomware están incorporando modelos de lenguaje y herramientas de IA generativa. Así, generan código malicioso, automatizan procesos de ingeniería social e, incluso, negocian con las víctimas.
Por ejemplo, la automatización permite que actores con menor capacidad técnica lleven a cabo campañas sofisticadas. Además, se introducen tácticas de extorsión cuádruple que, además del cifrado y robo de datos, incluyen ataques DDoS y presión a terceros (clientes, socios y medios) para maximizar el impacto.
El phishing sigue siendo una puerta de entrada clave. Sin embargo, ahora es más sofisticado. Así, por ejemplo, se emplean herramientas de IA para personalizar los mensajes, crear deepfakes, suplantación de voz o vishing e, incluso, kits de phishing generados automáticamente.
Según Hornetsecurity, en el periodo 2023/24, se observó un aumento de los ataques por enlaces maliciosos que capturan credenciales, en lugar de los viejos archivos adjuntos maliciosos.
La explotación de vulnerabilidades zero-day o mal parcheadas se ha convertido en rutina para los grupos más activos. El ejemplo de Warlock ilustra cómo se emplean vulnerabilidades en SharePoint como punto de inicio. Los atacantes también usan el modelo Ransomware-as-a-Service (RaaS) para escalar.
Por otra parte, la extorsión se ha vuelto multifacética. Y es que, además de cifrar datos, se roba y amenaza con publicarlos, se hace DDoS, se presiona al entorno social/mediático de la víctima, y se busca cumplimiento normativo como parte del chantaje.
Ante este panorama más agresivo y complejo, las estrategias de defensa también están evolucionando. Si deseas saber cómo evitar ataques de ransomware, repasamos las tres tendencias en ciberseguridad más relevantes.
El paradigma de Zero Trust se basa en el principio de no confiar nunca y verificar siempre. En consecuencia, se ha convertido en la piedra angular para mitigar el riesgo de ransomware. El uso de microsegmentación, control de acceso adaptativo, visibilidad continua y restricción de privilegios limita la capacidad del atacante para moverse lateralmente.
El enfoque Zero Trust también incluye la revisión continua de credenciales, una autenticación fuerte, el análisis del comportamiento de usuarios y dispositivos y el aislamiento de cargas críticas. Así, en un escenario donde el atacante ya está dentro, el daño puede quedar limitado.
Dada la proliferación de ataques y la escasez de talento interno especializado, muchas organizaciones están recurriendo a modelos de CaaS o a proveedores gestionados de seguridad (MSSP). Estos servicios ofrecen monitoreo continuo, detección y respuesta ante incidentes, inteligencia de amenazas actualizada, y capacidades de recuperación ante ransomware.
Este modelo permite que empresas sin grandes recursos inviertan de forma eficiente en defensa profesional.
La prevención de ataques ya no es suficiente. También se traslada el foco en la resiliencia. Esto incluye tener copias de seguridad fiables y aisladas y periodos de retención adecuados. Además, han de disponer planes de recuperación bien ensayados, respuestas coordinadas de incidentes y test de restauración frecuentes.
El ataque ransomware en 2025 representa una amenaza más sofisticada y persistente que nunca. La combinación de la inteligencia artificial, vulnerabilidades críticas y extorsión múltiple exige adoptar enfoques proactivos como Zero Trust, CaaS y planes de resiliencia para anticipar, mitigar y responder eficazmente a este tipo de incidentes.
(No hay valoraciones)
Cargando...Consejos prácticos para mantener segura tu información y tu negocio
Guía online para adentrarse en la ciberseguridad
¿Eres un proveedor de soluciones TIC y quieres aparecer en este portal?
¿Eres una empresa y no encuentras lo que estás buscando?
Recibe, cada dos semanas, todas las novedades sobre las tecnologías de la información para empresas.
El Responsable del tratamiento de tus datos es la Cámara Oficial de Comercio, Industria y Servicios de Madrid (Q2873001H), que tratará los datos con la finalidad de gestionar tu suscripción y mantenerte informado de productos y servicios de esta Corporación. La legitimación para el tratamiento es el propio consentimiento del usuario y interés legítimo de la Cámara. No se cederán los datos personales a terceros, salvo obligación legal o indicación expresa. Puede ejercer los derechos de acceso, rectificación, cancelación y oposición, así como el ejercicio de otros derechos, remitiendo un correo electrónico a dpd@camaramadrid.com. Puedes consultar información adicional y detallada sobre la política de privacidad.
Plaza de la Independencia 1, 28001
Madrid
Atención telefónica:
91 538 35 00
Lunes a Jueves: De 8:00 a 17:00
Viernes: De 8:00 a 14:00
Atención online:
ticnegocios@camaramadrid.es
