Un informe muestra cómo los ataques de ransomware evolucionan hacia pequeñas empresas, menos cifrado y mayor apuesta por el robo de datos como método de extorsión.
Google Threat Intelligence Group (GTIG) ha publicado su informe global sobre la evolución del ransomware en 2025, revelando un cambio estratégico significativo entre los ciberdelincuentes. Los atacantes están ahora desplazando su objetivo fuera de las grandes corporaciones para centrarse en organizaciones más pequeñas, cuyos sistemas de seguridad resultan menos robustos. El motivo es claro, ya que ante las dificultades de atacar grandes empresas, el volumen de ataques contra objetivos menores ha crecido de forma notable.
➡️ Te puede interesar: Máster Profesional en Ciberseguridad, Ciberinteligencia y Ciberdefensa
El informe destaca el aumento del robo de datos como método de extorsión. El 77% de las intrusiones en 2025 incluyeron robo de datos, frente al 57% registrado en 2024. Este incremento refleja una preferencia creciente por la extorsión basada en el robo de información, sin necesidad de cifrar los sistemas para asegurar el pago. Así, los atacantes evitan la complejidad técnica del cifrado y obtienen igualmente una palanca de presión sobre sus víctimas.
Nuevas tácticas de acceso y herramientas
En cuanto a las tácticas, los ciberdelincuentes apostaron más por explotar vulnerabilidades en infraestructuras expuestas para conseguir acceso inicial, un giro respecto a 2024, cuando predominaban los ataques de fuerza bruta y el uso de credenciales robadas. Paralelamente, se observó una disminución en el uso de herramientas de gestión remota y marcos de postexplotación como CobaltStrike, aunque los atacantes mantuvieron su confianza en utilidades nativas y herramientas públicamente disponibles.
➡️ Te puede interesar: Curso de Concienciación en Ciberseguridad
A pesar de que 2025 alcanzó una cifra récord de víctimas publicadas en sitios de filtración de datos (DLS), Google ha señalado que «la rentabilidad de las operaciones de ransomware está disminuyendo», tendencia que atribuye a «las mejoras en ciberseguridad y una mayor capacidad de recuperación de las víctimas». Por último, la familia de ransomware REDBIKE fue la más detectada en las intervenciones de Mandiant, presente en casi un 30 por ciento de los casos.
