El ransomware sigue siendo un negocio lucrativo para los cibercriminales, y los datos más recientes de la Financial Crimes Enforcement Network (FinCEN) del Tesoro de EE. UU. ponen cifras a esa realidad. Según un informe publicado a principios de diciembre pasado, los pagos de rescate rastreados desde 2013 suman más de 4500 millones de dólares en total, hasta finales de 2024. Estos datos provienen de informes presentados bajo el Bank Secrecy Act (BSA), que cubren miles de incidentes de ransomware en más de una década.

Durante el período que va de enero de 2022 a diciembre de 2024, FinCEN recibió 7395 informes relativos a 4194 incidentes de ransomware, representando más de 2100 millones de dólares en pagos en ese lapso. El año 2023 marcó un récord histórico, con aproximadamente 1100 millones de dólares pagados en rescates, lo que significó un aumento de 77 % respecto al año anterior, superando con creces las cifras de años previos.

Si bien 2024 mostró una leve disminución tanto en número de incidentes reportados como en pagos, los datos subrayan que el ransomware se ha consolidado como una amenaza financiera significativa para organizaciones de múltiples sectores, incluidos servicios financieros, manufactura y salud, que fueron de los más afectados.

El informe también evidencia que existe una gran diversidad de familias de ransomware, con variantes como Akira, ALPHV/BlackCat, LockBit, Phobos y Black Basta entre las más prevalentes. Por ejemplo, Akira tuvo el mayor número de incidencias reportadas, mientras que ALPHV/BlackCat acumuló los mayores pagos reportados en conjunto. Esto refleja tanto la evolución como la persistencia de diferentes grupos organizados en esta actividad ilícita.

A pesar de estas cifras preocupantes, algunos expertos han notado señales tentativas de cambio. Como informamos en su momento, en el tercer trimestre de 2025 se registró una disminución significativa tanto en los pagos medios como en los medianos de ransomware, lo que podría sugerir que la economía del rescate extorsivo está bajo presión por la resistencia de las organizaciones a pagar y mejores prácticas defensivas. Sin embargo, la necesidad de estrategias robustas de defensa, respaldos fríos y autenticación resistente al phishing sigue siendo crítica.

Caída de E-Note: atacando la infraestructura financiera del ransomware

Mientras se monitorizan cantidades astronómicas de pagos de rescate, las autoridades también están atacando la infraestructura que sustenta ese negocio delictivo. En un operativo conjunto, el FBI y socios internacionales desmantelaron E-Note, un servicio no licenciado de intercambio de moneda virtual que, según fiscales de Michigan, ayudó a lavar más de 70 millones de dólares en fondos ilícitos obtenidos por ransomware y otros delitos en línea.

La acción incluyó la incautación de servidores, aplicaciones móviles y múltiples dominios asociados con E-Note, cortando así una parte clave de la capacidad de los ciberdelincuentes para convertir criptomonedas obtenidas en pagos de rescate en activos aún menos rastreables. Esta operación demuestra cómo las autoridades buscan golpear no solo a los atacantes, sino también a las redes financieras que permiten que los pagos de ransomware se muevan y se oculten, dificultando parte del incentivo económico que alimenta este tipo de extorsión. Al menos interrumpiendo sus operaciones durante un tiempo.