En la última década, el ransomwre ha pasado de ser un ataque masivo y oportunista a convertirse en un negocio criminal de precisión. Esta nueva corriente, conocida por algunos expertos como “ransomware premium” o, como Palo Alto Networks denomina, “caza mayor” se dirige a organizaciones críticas, desde hospitales hasta fábricas, cuyas operaciones no pueden detenerse sin generar pérdidas millonarias e incluso repercutir en vidas humanas. Un análisis reciente de Palo Alto Networks advierte que, aunque el volumen total de ataques aparente estabilidad, en realidad, la estrategia criminal ha mutado, dirigiéndose hacia menos víctimas, pero también más rentables para los cibercriminales, a través de intrusiones selectivas, silenciosas y prolongadas.

Los últimos años han dejado ejemplos que evidencian esta deriva hacia la profesionalización y personalización del ransomware en distintas partes del mundo. En España el Ayuntamiento de Mallorca (2024) sufrió un ciberataque con extorsión de 10 millones de euros. El sistema de salud irlandés en 2021 tuvo que detener sus actividades por este tipo de ciberataque; ese mismo año el oleoducto Colonial Pipeline de EE.UU. paralizó sus suministros de combustible de la costa este de Estados Unidos también por esta causa. En todos los casos, el coste del tiempo de inactividad y la sensibilidad de datos, sumado a la intimidación por parte de las organizaciones, amplificaron el impacto.

Ransomware 2025: más selectivo, profesionalizado y apoyado en IA e ingeniería social

Un artículo reciente sobre liderazgo último de Unit 42, 2025 Unit 42 Global Incident Response Report: Social Engineering Edition, ya alertaba de que los atacantes suelen comenzar con ingeniería social, vector inicial en el 36% de los incidentes, para dirigirse a cuentas privilegiadas (66%) y maximizar la exfiltración (60%) de los casos de ingeniería social acabaron con exposición de datos). Movidos mayoritariamente por la ganancia económica (93%), son adversarios pacientes y creativos que combinan diferentes técnicas para pausar, refinar la intrusión y aumentar así el impacto y la rentabilidad.

Esta nueva ofensiva busca una victimología ofensiva, prioriza en aquellas organizaciones que dispongan de información sensible, alta dependencia operativa, exigencias regulatorias y, sobre todo, de recursos para afrontar un rescate elevado. En este contexto, sectores como salud, logística y transporte, manufactura y los servicios esenciales se sitúan en el foco principal de los ciberdelincuentes, ya que cualquier irrupción de sus operaciones puede generar una crisis a niveles escalables.

La nueva ola de ransomwre está marcada por la profesionalización a través de grupos organizados como Spoiled Scorpius (RansomHub) y Howling (Akira) quienes operan con roles especializados y adoptan modelos Ransomware-as-a-Service (RaaS) que sistematizan la operación y amplían su alcance. En este modelo, la multi-extorsión es la norma, ya que además de cifrar los sistemas, los atacantes cifran datos y amenazan con publicarlos, incrementando la presión de amenaza en las victimas.

Ahora, el ransomware ya ha superado la “doble extorsión” anterior para pasar a la “tripe extorsión”. Los ciberdelincuentes han perfeccionado su estrategia combinando el cifrado y el robo de información con amenazas directas a clientes, proveedores o empleados; ataques DDoS durante las negociaciones; y la venta o subasta de accesos y datos sustraídos.

A esta situación se suma el uso de la IA para phishing hiperpersonalizado, suplantación de identidad y la automatización del reconocimiento de objetivos, lo que acelera, a niveles de máxima precisión, la intrusión sin perder el control del sistema en ningún momento.

Nueva táctica defensiva contra el ransomware actual

El gran reto para las empresas contra el nuevo ransomware reside en la transformación de las herramientas tradicionales, Palo Alto Networks propone:

• Modernizar las infraestructuras: los antivirus convencionales fallan frente al malware personalizado, es fundamental conocer los puntos débiles de cada empresa antes que el adversario.
• Poner en práctica la IA y el aprendizaje automático: el futuro de la defensa pasa por comprender el modelo de negocio del adversario y responder con urgencia.
• Darle prioridad en la “sala de juntas”: el ransomware debe tratarse como un eje clave dentro de los planes de la estrategia directiva.

Adoptar un enfoque moderno de seguridad, basado en IA, en los principios Zero Trust y Security by Design y en la plataformización, permite a las empresas no solo defenderse de los ataques selectivos y personalizados, sino también ser conscientes de que su seguridad avanza al ritmo de su ambición.