Kaspersky confirmó que América Latina se consolidó como la región más afectada por el ransomware a nivel global en 2025, con el 8,13% de las organizaciones registrando este tipo de ataques.
La cifra supera a Asia-Pacífico (8%), África (7,62%), Medio Oriente (7,27%), la Comunidad de Estados Independientes (5,91%) y Europa (3,82%).
El dato surge del informe presentado por Kaspersky en el marco del Día Internacional contra el Ransomware, que ofrece una visión general de las tendencias que marcaron 2025 y un análisis del panorama de amenazas para 2026.
A pesar de una ligera disminución en la proporción total de organizaciones afectadas respecto a 2024, los usuarios siguen enfrentando un riesgo significativo: los atacantes están industrializando sus operaciones, automatizando métodos de intrusión y enfocándose cada vez más en robar y filtrar datos sensibles en lugar de limitarse a cifrar sistemas.
Grupos activos y nuevos actores
Entre los grupos más activos en 2025, Kaspersky identificó a Qilin como el operador dominante bajo el modelo de ransomware-as-a-service, tras la interrupción de las operaciones de RansomHub. Clop se ubicó segundo y Akira tercero.
Si bien varios de los principales grupos cesaron operaciones en 2025, continúan surgiendo nuevos actores. De cara a 2026, The Gentlemen se perfila como uno de los grupos emergentes más relevantes debido a su rápido crecimiento, operaciones estructuradas y un enfoque en la extorsión centrada en datos.
The Gentlemen ejemplifica un cambio más amplio en el ecosistema del ransomware: alejándose de campañas caóticas hacia modelos de extorsión más escalables con lógica empresarial, enfocados principalmente en el robo de información sensible y en ejercer presión reputacional y regulatoria, en lugar de depender exclusivamente del cifrado de archivos.
Tendencias para 2026
Los canales de Telegram y los foros de la dark web continúan funcionando como plataformas para la distribución y venta de bases de datos y accesos comprometidos.
El foro clandestino RAMP fue desmantelado por las autoridades en enero de 2026 y LeakBase en marzo de 2026.
Sin embargo, Kaspersky advierte que es probable que surjan portales similares con el tiempo.
Entre las tendencias observadas en 2025 figura el aumento de los llamados “killers” de EDR (Endpoint Detection and Response), herramientas diseñadas para desactivar las soluciones de seguridad en los dispositivos antes de ejecutar el malware. Estos “EDR killers” se han convertido en un componente estándar de los ataques.
Los investigadores también señalaron la aparición de familias de ransomware que adoptan estándares de criptografía postcuántica, un desarrollo que indica un cambio hacia métodos de cifrado que podrían resistir futuros intentos de descifrado mediante computación cuántica.
El papel de los Initial Access Brokers —intermediarios que venden accesos corporativos previamente comprometidos— está en aumento. Los portales RDWeb se están convirtiendo en objetivos cada vez más frecuentes, a medida que los grupos continúan industrializando sus ataques mediante modelos de “Access-as-a-Service”.
Como resultado, la barrera de entrada para lanzar ataques de ransomware sigue disminuyendo.
Fabio Assolini, investigador líder en Seguridad para América Latina en Kaspersky, señala que “el ransomware ha evolucionado hasta convertirse en un ecosistema altamente organizado, enfocado en monetizar datos robados, desactivar defensas y escalar ataques con una eficiencia similar a la de un negocio. Los actores de amenazas se están adaptando rápidamente, utilizando herramientas legítimas como armas, explotando infraestructuras de acceso remoto e incluso adoptando criptografía postcuántica mucho antes de lo esperado”.
“El propósito del Día Mundial contra el Ransomware es generar conciencia global sobre las amenazas que representa este tipo de ataques y promover mejores prácticas de prevención y respuesta. Por ello, instamos a empresas y todos los usuarios a mantenerse protegidos, implementar defensas en capas, invertir en respaldos de información y fortalecer sus niveles de cultura digital para hacer frente a estos ataques”, continuó.
Los expertos recomiendan a las organizaciones las siguientes buenas prácticas:
- Activar la protección contra ransomware en todos los endpoints. Existe una herramienta gratuita que protege computadoras y servidores frente a ransomware y otros tipos de malware, previene exploits y es compatible con soluciones de seguridad ya instaladas.
- Mantener siempre actualizado el software en todos los dispositivos para evitar que los atacantes exploten vulnerabilidades y se infiltren en la red.
- Enfocar la estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos hacia internet. Prestar atención al tráfico saliente para identificar posibles conexiones de ciberdelincuentes a la red, configurar copias de seguridad fuera de línea que no puedan ser manipuladas por intrusos y asegurarse de poder acceder a ellas rápidamente en caso de emergencia.
- Implementar soluciones anti-APT y EDR, que permiten capacidades avanzadas para la detección de amenazas, la investigación y la remediación oportuna de incidentes.
