Empresas, gobiernos y proveedores tecnológicos enfrentaron interrupciones, recuperación de sistemas y exposición de información sensible
El ransomware dejó a una región completa en el primer lugar global de organizaciones afectadas y expuso una presión digital sostenida. La amenaza combinó extorsión, robo de información e interrupciones operativas sobre empresas, gobiernos y proveedores tecnológicos.
Kaspersky Security Network ubicó a América Latina como la región con mayor proporción de organizaciones afectadas por ransomware en 2025. Kaspersky Security Network registró 8.13% de organizaciones afectadas en la región, por encima de Asia Pacífico, África, Medio Oriente, Rusia y la Comunidad de Estados Independientes, y Europa.
La cifra llegó en un año en el cual la proporción de organizaciones afectadas disminuyó frente a 2024 en todas las regiones analizadas. En ese escenario, América Latina conservó el primer lugar mundial de exposición ante una amenaza más orientada al robo de datos.
El modelo criminal ganó eficiencia mediante credenciales robadas, accesos comprados y servicios remotos mal protegidos en redes corporativas. Corredores de acceso inicial vendieron entradas comprometidas a otros grupos, lo cual redujo la barrera para ejecutar intrusiones. Servicios como Protocolo de Escritorio Remoto, Red Privada Virtual y Remote Desktop Web Access quedaron entre los vectores más usados.
La digitalización acelerada, adopción de nube y defensas desiguales ampliaron la superficie disponible para ataques contra empresas, gobiernos y proveedores tecnológicos. El correo corporativo, las aplicaciones administrativas, las plataformas de nube y los sistemas de manufactura quedaron entre los puntos críticos de exposición.
El ransomware dejó de depender solo del cifrado de archivos y avanzó hacia modelos centrados en datos sensibles. Atacantes extrajeron información, amenazaron con publicarla y presionaron a víctimas mediante canales clandestinos o sitios de filtración. Las copias de respaldo reducen la interrupción, pero no eliminan exposición de contratos, expedientes, bases de clientes o propiedad intelectual.
Para las organizaciones, el ataque implicó presión sobre continuidad operativa, cumplimiento regulatorio, recuperación tecnológica y comunicación con clientes. Organizaciones afectadas tuvieron que revisar controles internos, investigar accesos comprometidos y reconstruir sistemas sin garantías de recuperar la confianza operativa. Solo en manufactura, Kaspersky y VDC Research estimaron pérdidas superiores a 18,000 millones de dólares durante los primeros tres trimestres del año.
Los atacantes usaron herramientas llamadas EDR killers contra Detección y Respuesta en Endpoints, Endpoint Detection and Response o EDR, antes de ejecutar malware. También aparecieron variantes con criptografía postcuántica, un método orientado a resistir futuros intentos de descifrado mediante computación cuántica.
Entre los grupos más activos, Qilin concentró la mayor proporción de víctimas reportadas en sitios de filtración durante 2025. Clop y Akira siguieron en el registro, dentro de un ecosistema donde otros grupos reunieron 43.22% del total.
Chainalysis estimó que los pagos a grupos de ransomware bajaron cerca de 8%, hasta 820 millones de dólares. Al mismo tiempo, los ataques reclamados aumentaron 50%, lo cual mostró mayor presión sobre víctimas específicas.
Las recomendaciones incluyen protección contra ransomware en endpoints, actualización de software, vigilancia del tráfico saliente y copias de seguridad fuera de línea. Esas medidas apuntan a reducir exposición inicial, detectar movimientos laterales y limitar la pérdida de información ante incidentes.