El ransomware se encamina hacia 2026 con un salto exponencial impulsado por la integración de inteligencia artificial en el cibercrimen.
Según estimaciones de VDC Research y Kaspersky, solo en el sector manufacturero las pérdidas potenciales por ataques que no llegaron a concretarse habrían superado los USD 18 mil millones durante los primeros tres trimestres de 2025.
Asia-Pacífico concentró USD 11.500 millones de ese impacto potencial, reflejando cómo la digitalización acelerada amplía las superficies de ataque en economías emergentes.
En 2025, el ransomware demostró resiliencia y capacidad de adaptación. Los modelos de Ransomware-as-a-Service (RaaS) dominaron el panorama, reduciendo barreras de entrada para ciberdelincuentes novatos mediante malware listo para usar, programas de afiliados e intermediación de accesos iniciales.
Plataformas como RansomHub fueron sustituidas rápidamente por grupos como Qilin, Akira, Cl0p y Sinobi.
Evolución técnica y nuevas tácticas
Las tácticas evolucionaron hacia técnicas como BYOVD (Bring-Your-Own-Vulnerable-Driver), que consiste en explotar controladores vulnerables firmados para evadir defensas, como se observó en ataques de MedusaLocker.
La doble y triple extorsión —cifrar información mientras se roba en tiempo real para luego difundirla entre clientes, reguladores o competidores— se convirtió en práctica habitual.
Los atacantes también comenzaron a dirigirse a dispositivos IoT, electrodomésticos inteligentes y cámaras web. El grupo Akira explotó este tipo de vectores no convencionales para evadir controles tradicionales.
La integración de modelos de lenguaje de gran tamaño (LLM) aceleró el fenómeno. Grupos como FunkSec utilizaron código generado por IA para ejecutar ataques de bajo costo y alto volumen contra sectores gubernamentales, financieros y educativos.
Advertencia hacia 2026
Fabio Assolini, Director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky, advirtió que el ransomware se prepara para una nueva fase impulsada por sistemas de IA agéntica capaces de automatizar la cadena completa de ataque.
“En 2026, el ransomware no solo persiste, se prepara para dar un salto impulsado por la rápida integración de la IA en el cibercrimen. Los sistemas de IA agéntica probablemente automatizarán toda la cadena de ataque, desde el reconocimiento inicial hasta las demandas finales de extorsión”, dijo.
El especialista agregó que las plataformas RaaS potenciadas por IA podrían facilitar malware polimórfico que muta en tiempo real y el uso de videos deepfake para chantajear ejecutivos.
“La elección es clara: evolucionar más rápido que los atacantes o arriesgarse a convertirse en la próxima noticia de portada”, agregó.
Recomendaciones de mitigación
Para mantenerse un paso adelante, Assolini recomendó:
- Habilitar protección dedicada en todos los endpoints.
- Implementar herramientas contra Amenazas Persistentes Avanzadas (anti-APT).
- Integrar soluciones de Detección y Respuesta de Endpoints (EDR).
- Realizar auditorías exhaustivas de la cadena de suministro.
- Adoptar autenticación multifactor avanzada.
- Capacitar a los equipos frente a esquemas de phishing potenciados por IA.
En entornos industriales, señaló la necesidad de ecosistemas especializados para tecnología operativa (OT) combinados con plataformas de Detección y Respuesta Extendidas (XDR), capaces de proteger infraestructuras críticas frente a amenazas sofisticadas.
El auge del ransomware durante 2025, marcado por automatización e inteligencia artificial, consolida un escenario en el que la anticipación estratégica y la resiliencia tecnológica se convierten en factores decisivos para el sector empresarial.
