El negocio del ransomware, uno de los más lucrativos del cibercrimen en la última década, está empezando a mostrar signos de agotamiento. Según un reciente informe de Coveware, publicado en Bleeping Computer solo el 23 % de las empresas afectadas por este tipo de ataques pagaron el rescate durante el tercer trimestre de 2025, la cifra más baja registrada hasta el momento. Esto marca una tendencia a la baja que se mantiene desde hace seis años y refleja un cambio de mentalidad en el mundo empresarial: cada vez son más las compañías que se niegan a pagar.

Las razones detrás de esta caída son varias. Por un lado, las organizaciones han fortalecido sus defensas con mejores sistemas de respaldo y protocolos de respuesta ante incidentes. Por otro lado, las autoridades están presionando para que las víctimas no paguen, ya que esos fondos alimentan el círculo vicioso del delito digital. Lo que antes parecía la única salida para recuperar los archivos, hoy empieza a verse como una mala inversión.

Coveware indica que los pagos promedio han caído a 377.000 dólares, mientras que los medianos rondan los 140.000, ambos en descenso frente al trimestre anterior. En paralelo, los grupos más activos han redirigido sus esfuerzos hacia empresas medianas, donde aún hay mayor disposición a pagar. Pero incluso en esos casos, los resultados no son los de antes.

Esto ha generado la táctica de “doble extorsión”. Es decir, el ransomware ya no se basa solo en bloquear sistemas. Más del 76 % de los ataques ahora incluye el robo de datos y los criminales amenazan con publicar información sensible si no se cumple con el pago. Aun así, los resultados son cada vez menos rentables. Se cree que esta caída de ingresos podría llevar a los grupos de ciberdelincuentes a buscar nuevas fórmulas, apostando por la ingeniería social o incluso por reclutar empleados dentro de las organizaciones.

El contraataque del cibercrimen: ransomware más sofisticado y adaptable

Aunque los ingresos bajan, los hackers no se rinden. El grupo Qilin, uno de los más activos del año, y que recientemente se habría aliado con otros para formar un “cartel”, está demostrando una importante capacidad de adaptación.

Recientes investigaciones revelaron que ha combinado técnicas tradicionales con ataques híbridos que atacan sistemas Windows y Linux con un único payload, además de usar herramientas legítimas de administración remota para pasar desapercibidos. En algunos casos, aprovecharon controladores vulnerables del propio sistema para eludir las defensas más modernas.

Esto muestra cómo el ransomware sigue evolucionando. A pesar de las pérdidas, los grupos criminales perfeccionan sus métodos y diversifican sus ataques. En definitiva, la caída de los pagos no significa el fin del ransomware, sino una nueva etapa donde la creatividad del crimen digital se enfrenta a la creciente resistencia del mundo corporativo. Las empresas aprenden más rápido, pero los hackers también. La lucha ya no se trata solo de pagar o no pagar, sino de quién logra anticiparse al siguiente movimiento del otro.