El ecosistema del ransomware está cambiando. Según un informe del equipo de inteligencia de amenazas de Google, difundido por CyberScoop, cada vez más atacantes están abandonando el cifrado de sistemas para centrarse únicamente en el robo de datos y la extorsión. Esta evolución complica entender el verdadero impacto del ransomware y está transformando la forma en que operan los grupos criminales.

Aunque el ransomware tradicional sigue presente, los investigadores observan un crecimiento constante de los incidentes basados exclusivamente en extorsión mediante datos robados. La proporción de ataques financieros de este tipo pasó de alrededor del 2% en 2020 a más del 15% en 2025, según el análisis de Google.

En paralelo, el despliegue clásico de ransomware, donde los sistemas se cifran para exigir un rescate, ha disminuido ligeramente. En 2024, el 39% de los incidentes analizados incluían ransomware, mientras que en 2025 la cifra cayó al 31%. Aun así, el robo de datos sigue siendo una herramienta clave: el 77% de los ataques de ransomware también incluyeron exfiltración de información, utilizada como presión adicional para las víctimas.

Este cambio también se refleja en la actividad de los grupos criminales. Actores conocidos como Scattered Spider, ShinyHunters y Clop han centrado buena parte de sus operaciones recientes en el robo de información para chantaje, una estrategia que reduce riesgos técnicos y acelera la monetización de los ataques.

El informe también revela cómo los atacantes logran acceder inicialmente a las redes corporativas. Las vulnerabilidades explotadas fueron el vector de entrada más común, responsables de un tercio de los incidentes, seguidas por compromisos web y el uso de credenciales robadas. Entre los sistemas más atacados figuran productos de empresas como Fortinet, SonicWall, Palo Alto Networks y Citrix.

Otra tendencia destacada es el creciente interés por la infraestructura de virtualización. En 2025, el 43% de las intrusiones de ransomware apuntaron a entornos virtualizados como los hipervisores ESXi, frente al 29% del año anterior. Este tipo de infraestructura permite a los atacantes impactar múltiples sistemas con menos esfuerzo y complicar el análisis forense. Como ya se ha concluido muchas veces por expertos, el ransomware no está desapareciendo, solo está cambiando.