Los ataques de ransomware dirigidos a empresas a nivel global experimentaron un incremento del 213% durante el primer trimestre de 2025, registrando 2,314 víctimas en 74 sitios diferentes de filtración de datos, en contraste con las 1,086 víctimas reportadas en el mismo periodo de 2024. Este aumento subraya una escalada significativa en las amenazas cibernéticas.
Según el Centro de Inteligencia de Amenazas Globales (gTIC) de Optiv, este repunte representa un cambio notable tras un año de cifras de ataques relativamente estables, superando las 1,782 víctimas registradas en el cuarto trimestre de 2024.
El informe también destaca un incremento del 32% en las variantes de ransomware, pasando de 56 en el primer trimestre de 2024 a 74 en 2025, lo cual se atribuye a la aparición de nuevas cepas y estrategias de cambio de marca.
Notablemente, Cl0p, RansomHub y Akira han desplazado a LockBit, anteriormente la cepa dominante desde 2022, como las principales variantes de ransomware en términos de número de víctimas.
Solo Cl0p mostró un aumento del 1,400% en su actividad, afectando a 358 víctimas en el primer trimestre de 2025. Esto se debe, en gran medida, a la explotación de vulnerabilidades de día cero en las soluciones de transferencia de archivos gestionados (MFT) de Cleo, impactando a sectores como el comercio minorista.
Este notable incremento en la actividad de ransomware afectó a todos los sectores industriales, siendo el industrial, el de consumo cíclico y el tecnológico los más perjudicados. Los dos últimos experimentaron más del triple de ataques en comparación con el año anterior.
En cuanto a la distribución geográfica, América del Norte continúa siendo la región más afectada, si bien todas las regiones reportaron un mayor número de incidentes.
Los atacantes siguen confiando en métodos de acceso inicial probados, incluida la ingeniería social mediante phishing, la explotación de vulnerabilidades de software en herramientas como VMware ESXi y Microsoft Exchange, y ataques a la cadena de suministro facilitados por corredores de acceso inicial (IAB).
El gTIC evalúa con gran confianza que el ransomware seguirá siendo una amenaza generalizada durante los próximos 12 meses, impulsada por la rentabilidad de los pagos de extorsión y la proliferación de modelos de ransomware como servicio (RaaS).
Se espera que dominen las tácticas de doble extorsión, en las que los datos se cifran y se amenaza con filtrarlos, mientras que nuevos grupos como VanHelsing y operaciones engañosas como Babuk2 complican aún más el panorama de amenazas.
VanHelsing, un RaaS multiplataforma dirigido a sistemas Windows, Linux y ESXi, surgió en marzo de 2025, mientras que Babuk2 parece ser una artimaña de ingeniería social que reutiliza viejas filtraciones.
El informe también advierte sobre ataques continuos a productos de transferencia de archivos como Progress MOVEit y Fortra GoAnywhere, como se ve en los recientes exploits de Cl0p.
Mientras tanto, RansomHub, vinculado a Alphv (BlackCat), mantuvo una alta actividad en el primer trimestre, pero misteriosamente dejó de funcionar el 31 de marzo, lo que generó especulaciones sobre un cambio de nombre a DragonForce.
El gTIC de Optiv predice con confianza moderada un aumento en los grupos de amenazas persistentes avanzadas (APT) patrocinados por el estado que utilizan ransomware para interrumpir o obtener ganancias financieras, especialmente contra sectores críticos como la atención médica y la energía, que son atractivos debido a los datos de alto valor y la mínima tolerancia al tiempo de inactividad.
A medida que los operadores de ransomware se adaptan con incentivos mínimos para cesar en medio de pagos en curso, el panorama está preparado para una mayor fragmentación, y es probable que se intensifiquen el cambio de marca, la migración de afiliados y las asociaciones con IAB, lo que hará de 2025 un año desafiante para las defensas de ciberseguridad a nivel mundial.
