El ransomware ha repuntado en el segundo trimestre de 2025

Coveware by Veeam ha publicado su informe de ransomware del segundo trimestre de 2025, en el que destaca una escalada drástica en ataques dirigidos mediante ingeniería social y un aumento en los pagos de rescates impulsado por tácticas sofisticadas de exfiltración de datos.

Según Bill Siegel, CEO de Coveware by Weeam, «el segundo trimestre de 2025 marca un punto de inflexión en el panorama del ransomware, con la ingeniería social dirigida y la exfiltración de datos consolidándose como los métodos predominantes. Los atacantes ya no solo buscan copias de seguridad: apuntan a los empleados, los procesos y la reputación de los datos. Las organizaciones deben priorizar la formación de sus empleados, reforzar los controles de identidad y tratar la exfiltración de datos como un riesgo urgente, y no como algo secundario».

Según el informe, la ingeniería social impulsa las amenazas más grandes. Los grupos de ransomware Scattered Spider, Silent Ransom y Shiny Hunters fueron los más activos del periodo, y emplearon ingeniería social dirigida a infiltrarse en organizaciones de múltiples sectores.

Estos grupos abandonaron los ataques masivos para realizar golpes de mayor precisión, utilizando tácticas novedosas de suplantación de identidad dirigida al soporte técnico, empleados y proveedores externos.

Por otro lado, los pagos por secuestro alcanzan máximos históricos. Tanto el pago medio como promedio por rescate se dispararon a 1,13 millones de dólares (un 104% más que en el primer trimestre de 2025) y 400.000 dólares (un 100% más), respectivamente.

Este incremento se atribuye a que organizaciones más grandes están pagando rescates incluso en incidentes donde solo se ha producido exfiltración de datos. Mientras, la proporción total de organizaciones que pagan rescates se mantuvo estable en un 26%.

El robo de datos supera al cifrado como método principal de extorsión. La exfiltración estuvo presente en el 74% de todos los casos, con muchas campañas que ahora priorizan el robo de datos sobre el cifrado tradicional. Las tácticas de multi-extorsión y las amenazas prolongadas van en aumento, lo que mantiene a las organizaciones como objetivo la brecha inicial.

Los sectores más castigados han sido los servicios profesionales (19,7 %), salud (13,7 %) y los servicios al consumidor (13,7 %). Las empresas medianas representaron el 64 % de las víctimas, idóneas para los atacantes que buscan equilibrio entre el potencial de pago y unas defensas menos desarrolladas.

Las técnicas de ataque evolucionan, pero el factor humano sigue siendo la mayor vulnerabilidad. Además, el compromiso de credenciales, el phishing y la explotación de servicios remotos siguen siendo las vías principales de acceso, con atacantes que eluden cada vez más los controles técnicos mediante ingeniería social.

Estos grupos explotan regularmente vulnerabilidades en plataformas ampliamente utilizadas, como Ivanti, Fortinet o VMware, y aumentan los ataques de “lobos solitarios”, extorsionistas experimentados que usan herramientas genéricas y sin identificar.

No obstante, hay nuevos actores que han reconfigurado el panorama del ransomware, y sus variantes más destacadas del trimestre fueron Akira (19 %), Qilin (13 %) y Lone Wolf (9 %), mientras que Silent Ransom y Shiny Hunters entraron en el top cinco por primera vez.