En el panorama actual de la ciberseguridad, a pesar de los avances tecnológicos y del aumento en la inversión sobre la misma, el ransomware sigue siendo protagonista aunque las conversaciones “se centren en amenazas avanzadas, inteligencia artificial y otras nuevas tendencias”. Pero… ¿Cómo hemos llegado hasta aquí? ¿Y por qué no lo hemos frenado todavía? No olvidemos que no es precisamente nueva en su concepto, ya que el primer caso data en 1989 ocurrido en Bélgica… tal vez seguimos poniéndoselo demasiado fácil a los malos.
¿Cómo es posible que esto siga ocurriendo?
Las inversiones en ciberseguridad no paran de crecer. Según un informe de Gartner, el gasto global en seguridad de la información superará los 200.000 millones de euros en 2025, un aumento superior al 15 % respecto a 2024. Sin embargo, paralelamente el coste del cibercrimen sigue aumentando. Ya solo en 2024, el FBI reportó pérdidas récord de 16.600 millones de dólares y la aparición de más de 60 nuevas variantes de ransomware.
Mientras los equipos de seguridad adoptan nuevas estrategias, los atacantes también evolucionan. El fortalecimiento de los endpoints ha empujado a los ciberdelincuentes a centrarse en el perímetro: firewalls, VPNs, y sobre todo, infraestructuras en la nube.
El auge del MFA ha dado lugar a ataques de fatiga para sortearlo. Incluso con la mejora de las capacidades de detección basadas en inteligencia artificial y aprendizaje automático, los grupos de ransomware han adaptado sus tácticas para evadir los sistemas de detección tradicionales.
La economía del ransomware
El éxito continuado de estos ataques ha alimentado un ecosistema delictivo cada vez más profesionalizado. Algunos grupos de cierta madurez operan como verdaderas empresas, reinvirtiendo sus ganancias en nuevos exploits, herramientas y contratación de talento.
Se estima que grupos como RansomHub generan más de 40 millones de dólares, con beneficios netos de hasta 12 millones tras gastos y comisiones a afiliados. Los chats filtrados de bandas como Black Basta revelan estructuras internas que imitan a startups tecnológicas: programas de afiliados, soporte al “cliente” y bonificaciones a los operadores más efectivos.
Se han detectado compras de exploits Zero Day por cifras que alcanzan los 200.000 dólares. Mientras muchas organizaciones luchan por aplicar parches a tiempo, los delincuentes siguen comprando herramientas a mayor velocidad que la que se tarda en corregir las vulnerabilidades.
Además, el modelo Ransomware-as-a-Service (RaaS) permite que grupos menos capacitados accedan a capacidades avanzadas, amplificando el impacto global.
Y todo esto se agrava cuando las víctimas optan por pagar. No solo no hay garantías de recuperar los datos, sino que eso alimenta económicamente al atacante, incentivando nuevas campañas y amenazas recurrentes a las mismas organizaciones.
¿Realmente están innovando estos grupos?
Aunque algunos grupos avanzados experimentan con lenguajes como Rust, Go y con técnicas de cifrado más sofisticadas, la mayoría simplemente adapta lo ya conocido. Incluso se han detectado casos en los que se reutiliza código fuente filtrado de otros ya conocidos.
Hay investigaciones sobre ransomware a nivel de firmware, y un uso incipiente de inteligencia artificial en ingeniería social (chatbots de phishing o deepfakes). Pero, en general, los atacantes siguen prefiriendo la eficiencia sobre la innovación, es decir, ir a lo seguro… si un simple correo con un adjunto malicioso sigue siendo efectivo, pocos grupos se molestan en reinventar la rueda.
Volver a lo básico: la mejor defensa
Pasada más de una década de campañas que ya forman parte del lore del mundo de la ciberseguridad como CryptoLocker, el ransomware sigue vivo porque seguimos dejando abiertas las mismas puertas: credenciales débiles, vulnerabilidades sin parchear y planes de respuesta poco definidos.
Muchas organizaciones aún no tienen visibilidad completa de su superficie de ataque. Sin saber qué proteger ni dónde implementar controles, es imposible frenar movimientos laterales, escaladas de privilegios o accesos no autorizados.
Aunque el MFA es fundamental, suele estar mal configurado o no se aplica a sistemas críticos como VPNs, firewalls o plataformas cloud. El parcheo de vulnerabilidades, por su parte, sigue siendo lento o incompleto, lo que deja una ventana abierta para el ataque.
La clave está en la priorización. Ante cientos de vulnerabilidades, el contexto es esencial: información de inteligencia contextualizada ayuda a identificar y priorizar aquellas realmente explotables.
Y más allá de la prevención, hay que probar la capacidad de respuesta. Simulaciones realistas son las que nos permiten medir si la organización puede detectar, contener y recuperarse de un ataque sin recurrir al pago. ¿Qué pasa si quien debe tomar decisiones está de vacaciones? ¿Quién tiene autoridad? ¿Dónde están los planes?
Buenas prácticas esenciales para 2025:
- Aplicar MFA en sistemas críticos y verificar su configuración.
- Realizar simulacros de ataque trimestralmente.
- Integrar inteligencia de amenazas para priorizar vulnerabilidades.
- Controlar accesos con principio de mínimo privilegio.
- Mantener un inventario actualizado de activos.
El papel del SOC en 2025: prevención, detección y respuesta
El ransomware sigue siendo un reto en 2025. Pero no es invencible. Los atacantes no ganan por ser más inteligentes: ganan porque cometemos errores.
Desde el SOC de 4Elitech ayudamos a las compañías a recuperar el control mediante la monitorización continua, la detección temprana, y una respuesta eficaz. Actuamos bajo la premisa de: Respuesta máxima; Impacto mínimo. No se trata de hacer cosas extraordinarias, sino de comenzar haciendo bien lo esencial, y no dar más ventajas al adversario.
Si tu organización quiere prepararse para responder con agilidad ante un ataque de ransomware, en 4Elitech estamos listos para ayudarte. Escríbenos o agenda una demo con nuestro equipo de expertos para conocer cómo podemos ayudarte a fortalecer tu estrategia de ciberseguridad.
