En febrero de 2026 un ataque de ransomware dejó al University of Mississippi Medical Center (UMMC) sin acceso a su sistema de historias clínicas electrónicas Epic en 35 clínicas y más de 200 puntos de telemedicina, obligando a cambiar a procesos en papel, cancelar quimioterapias y posponer cirugías no urgentes. Esa imagen —personal, concreta y dolorosa— resume cómo un ciberataque deja de ser un problema puramente informático para convertirse en un riesgo operativo real que afecta vidas, cuentas bancarias y líneas de producción. La cobertura de ese incidente apareció en medios especializados como HIPAA Journal, y refleja una tendencia más amplia: en 2025 la práctica de publicar incidentes y medir sus efectos mostró un incremento notable de ataques y, sobre todo, de interrupciones de servicios críticos.
El fenómeno ya no es sólo “encryptar archivos”: desde hace años las bandas criminales han evolucionado su modelo de negocio. Si al principio bastaba con cifrar un servidor y exigir rescate por la clave de descifrado, hoy la extorsión suele combinar el cifrado con el robo de información sensible para presionar a la víctima a través de la amenaza de divulgación. Cuando los actores maliciosos exfiltran historiales médicos, datos de nóminas o archivos de diseño industrial, el daño potencial trasciende la pérdida temporal de acceso: hay riesgo de sanciones regulatorias, litigios y daño reputacional que los respaldos tradicionales no mitigaban por sí solos. Investigación y análisis del sector, como los que publican Coveware, documentan cómo la doble extorsión se convirtió en práctica habitual y cómo, posteriormente, algunos grupos añadieron una tercera capa de presión al contactar directamente con clientes o proveedores.
Los números ayudan a dimensionar el problema: en 2025 la cantidad de ataques que se hicieron públicos aumentó de forma significativa, y los investigadores que rastrean grupos y campañas detectaron más de un centenar de colectivos activos, muchos de ellos recién formados. Un recuento periodístico especializado constató la detección de 124 grupos de ransomware activos, con una parte sustancial emergiendo en el último periodo, lo que complica la tarea de las defensas tradicionales y eleva la “oferta” de servicios delictivos disponibles en el mercado criminal (Infosecurity). Al mismo tiempo, plataformas que monitorizan incidentes públicos ofrecen datos sobre la magnitud de los casos reportados y su crecimiento año contra año (Emsisoft).
No es sorpresa, entonces, que sectores tan distintos como la sanidad, la banca o la manufactura estén en la primera línea de impacto. Además de hospitales que interrumpen tratamientos, los ataques contra proveedores de pagos han demostrado que una sola incidencia puede dejar transacciones paralizadas y comercios sin poder cobrar. El riesgo es sistémico: la interdependencia entre proveedores, servicios en la nube y terceros convierte una vulneración localizada en una crisis con efectos en cadena.
Frente a esta realidad existen dos conclusiones que conviene tener claras. La primera es que las soluciones basadas únicamente en perímetros o en la restauración desde copias de seguridad ya no bastan. La segunda es que hay herramientas y prácticas que reducen la capacidad de los atacantes para convertir una intrusión en una extorsión rentable: cifrado de datos en reposo, controles de acceso que impidan a procesos no autorizados leer o modificar archivos críticos, segmentación de redes y planes de recuperación gestionados de forma independiente.
El reto técnico y humano no es menor: proteger datos críticos exige políticas que aseguren que, aun si un adversario logra extraer ficheros, esos datos no sean legibles ni útiles. Eso implica aplicar cifrado efectivo y vinculándolo a controles que determinen qué procesos y usuarios pueden descifrar en tiempo de ejecución. También significa registrar y auditar accesos para detectar actividad anómala lo antes posible y disponer de estrategias de recuperación que reduzcan la necesidad de negociar con delincuentes.
Desde el ámbito público se han reforzado las recomendaciones técnicas y de gestión: agencias como la CISA y organismos reguladores de salud como el HHS publican guías prácticas sobre cómo prevenir y responder ante incidentes, e insisten en la importancia de la autenticación multifactor, la segmentación, la visibilidad de la telemetría y los procedimientos de recuperación que incluyan pruebas periódicas. Los grandes actores de la industria tecnológica además advierten que la adopción de inteligencia artificial cambia la dinámica: la misma tecnología que potencia defensas también facilita a atacantes menos sofisticados automatizar su trabajo, crear herramientas de ataque más eficaces o mejorar técnicas de ingeniería social (Microsoft Digital Defense Report).
En el mercado existen soluciones centradas en la idea de “neutralizar” el valor del dato exfiltrado mediante cifrado aplicado de modo que, incluso fuera de la red de la organización, la información robada no pueda leerse sin las claves apropiadas. Algunos proveedores combinan esto con controles a nivel de procesos que bloquean a software no autorizado y con sistemas de recuperación que buscan acortar la ventana de interrupción. Un ejemplo comercial visible en la oferta del sector es la plataforma D.AMO de Penta Security, que propone combinación de cifrado a nivel de carpeta, control de procesos y mecanismos de recuperación; su propia documentación explica cómo encajan estas piezas en un enfoque integrado (Penta Security).
Sin embargo, ninguna tecnología funciona aislada ni sustituye a una gobernanza robusta: la prevención requiere formación continua del personal, ejercicios de simulación, evaluación de proveedores y políticas claras sobre gestión de incidentes y comunicación. Los recursos técnicos ganan eficacia cuando se aplican en un marco que contempla aspectos legales, de aseguramiento y de continuidad del negocio.
Para las organizaciones que todavía están diseñando su estrategia de defensa, la recomendación práctica de los expertos es doble: fortalecer las capas de prevención y, simultáneamente, reducir la rentabilidad del ataque. Eso quiere decir endurecer accesos, cifrar información sensible en reposo y en tránsito, monitorizar actividad inusual y garantizar copias de seguridad aisladas y probadas. A la vez, disponer de acuerdos de respuesta, equipos de forense y un plan de comunicación pública y con reguladores reduce el coste total de un incidente.
La conversación pública y tecnológica sobre ransomware seguirá evolucionando. Mientras tanto, lo esencial no cambia: las organizaciones deben asumir que un ataque es cuestión de cuándo, no de si, y diseñar defensas que mitiguen tanto la interrupción operativa como la explotación y el daño reputacional derivado de la fuga de datos. Quienes lo internalicen y actúen en consecuencia estarán en mejor posición para proteger a sus usuarios, clientes y pacientes cuando el próximo incidente golpee.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...