El equipo especializado de Google para estudiar las amenazas de ciberseguridad, el Google Threat Intelligence Group (GTIG), ha publicado un nuevo informe global sobre el ransomware, modalidad de ciberataques de chantaje sobre el que ha detectado una clara tendencia al aumento del robo directo de datos, no sólo al bloqueo como medida de presión para extorsionar a las víctimas. Otra de las tendencias marcadas es una disminución de la rentabilidad de estas acciones, por lo que los actores maliciosos que se dedican a ellas podrían buscar nuevas formas de sacar beneficio económico de su actividad.
El 77% de las intrusiones analizadas en el 2025 incluyeron robo de datos, frente al 57% del 2024. Ese incremento de la captura de datos, en lugar del bloqueo, puede ser una de las consecuencias de que haya disminuido la rentabilidad de esta actividad delictiva. Si hay menos gente que paga para conseguir un desbloqueo de los datos propios o los sistemas de protección hacen menos vulnerables los equipos de las empresas, una de las formas más confiables de maximizar los ingresos que tienen los delincuentes es disponer de los datos de forma inmediata para conseguir antes que la víctima ceda a la extorsión.
Una tercera parte de los ciberataques analizados por el grupo de especialistas de Google tuvo como vector de acceso inicial fue la explotación de vulnerabilidades ya conocidas o sospechadas. Y cada vez con mayor frecuencia ocurre en programas de redes privadas virtuales (VPN) o en cortafuegos. Los analistas indican que los ciberdelincuentes han puesto más el foco en la pequeña empresa porque las grandes compañías se han convertido en “objetivos más difíciles”. “Los atacantes están optando por un mayor volumen de ataques contra organizaciones más pequeñas, cuyos sistemas de seguridad suelen ser menos robustos”, señala el informe.
El informe destaca que el mes pasado Coveware informó de que las tasas de pago de rescates han disminuido en general en los últimos años, alcanzando un mínimo histórico en el cuarto trimestre de 2025. Los registros públicos de los incidentes de ciberseguridad sugieren también que las organizaciones que se han visto afectadas por el ransomware son capaces de recuperarse más fácilmente, un factor que influye en que haya menos reticencias a no pagar. En febrero del 2025, Unidad 42 informó que casi la mitad de las víctimas de estas extorsiones pudieron restaurar sus datos a partir de copias de seguridad en el 2024, en comparación con alrededor del 28 % en el 2023 y solo el 11 % en el 2022.
Según el grupo de ciberamenazas de Google, existen “algunos indicios de que la inestabilidad general en el panorama de amenazas del ransomware, junto con la presión de las fuerzas del orden, ha llevado a los equipos de ransomware a aumentar su seguridad operativa”, lo que se ha convertido en una selección más rigurosa de los posibles afiliados. Una parte de esas organizaciones se dedican a ofrecer este tipo de ataques como un servicio para afiliados (conocido como RaaS).
El informe también observa que los ciberdelincuentes incorporan funciones de IA en sus ofertas de RaaS. Por ejemplo, con un chat asistido por IA que proporciona análisis de las víctimas y ayuda con las comunicaciones. Uno de ellos supuestamente incluye un “chatbot con IA integrado”, aunque su uso específico no está claro, mientras que otro ofrece análisis de datos basado en IA para identificar los puntos débiles de las víctimas.
