Hace apenas unos años, la imagen clásica del ransomware era la de un cártel digital: muchos ataques, muchas víctimas pagando y un flujo constante de dinero hacia los delincuentes. Los últimos datos públicos, sin embargo, pintan un panorama más complejo y, en cierto modo, más preocupante. Según el análisis de la plataforma de inteligencia en blockchain Chainalysis, la proporción de víctimas que terminan pagando a los extorsionadores cayó hasta un 28% el año pasado, el porcentaje más bajo registrado hasta la fecha, aunque el volumen de ataques reclamados se ha disparado.
La caída de la tasa de pago —de casi el 79% en 2022 a solo 28% recientemente— no significa que el ransomware haya sido derrotado. Lo que muestra es una economía criminal en transformación: más actores, tácticas más refinadas y una capacidad para extraer más dinero de menos víctimas. Chainalysis calcula que, a fecha de sus últimos registros, los pagos en cadena por ransomware en 2025 sumaban alrededor de 820 millones de dólares, y advierte que esa cifra podría acercarse o incluso superar los 900 millones a medida que se identifiquen más incidentes y transacciones. Puedes consultar el informe y sus cifras en detalle en el sitio de Chainalysis: Chainalysis — informe sobre ransomware.
Hay una paradoja clara: mientras el número de ataques anunciados aumentó aproximadamente un 50% interanual, el número de pagos totales se ha mantenido relativamente estable. Eso implica que los delincuentes han cambiado su enfoque. En lugar de depender de una gran cantidad de pagos pequeños, algunos grupos se concentran en víctimas que pueden pagar sumas mucho mayores. De hecho, la mediana del rescate pagado creció de forma notable: según Chainalysis, subió un 368%, desde unos 12.738 dólares en 2024 hasta cerca de 59.556 dólares en 2025. Menos víctimas pagan, pero las que pagan entregan cantidades mucho mayores.
Detrás de este cambio hay múltiples factores. Chainalysis apunta a mejoras en la respuesta a incidentes por parte de empresas y equipos de ciberseguridad, una mayor presión regulatoria y operativa por parte de autoridades nacionales e internacionales, y una fragmentación del mercado del ransomware que ha hecho que ya no solo existan una o dos familias dominantes, sino decenas de grupos en activo. Esta observación se alinea con informes de otras consultoras como Coveware, que también han documentado la reducción sostenida de las tasas de pago durante 2025.
Un dato llamativo del reporte es el número de grupos extorsionadores activos: 85 identificados en 2025, frente a la dinámica anterior en la que pocas bandas controlaban gran parte del mercado a través de plataformas de RaaS (ransomware-as-a-service). Esa fragmentación, paradójicamente, eleva el riesgo para las organizaciones porque multiplica las variantes y los vectores de ataque. Chainalysis también destaca incidentes de alto impacto que siguen demostrando que el potencial destructivo del ransomware no ha disminuido: desde brechas que afectan a grandes empresas y exponen millones de registros hasta ataques que generan daños económicos multimillonarios.
Otro eslabón esencial en esta cadena criminal son los llamados initial access brokers (IABs), actores que se especializan en vender acceso a redes comprometidas. En 2025, los ingresos de los IABs fueron relativamente modestos en comparación con el total del negocio del ransomware —alrededor de 14 millones de dólares, apenas el 1,7%—, pero su actividad parece funcionar como un indicador adelantado: los picos en las entradas de pago hacia IABs suelen preceder un aumento en los pagos por rescates y en las publicaciones con datos filtrados unas cuatro semanas después. Además, el precio medio por acceso a una red ha caído de manera sostenida, lo que sugiere que la automatización, el uso de herramientas asistidas por IA y el exceso de oferta de credenciales filtradas han abaratado ese mercado. Chainalysis ha registrado una caída desde aproximadamente 1.427 dólares en el primer trimestre de 2023 hasta unos 439 dólares en el primer trimestre de 2026.
¿Qué implica todo esto para una organización preocupada por su ciberseguridad? Primero, que el riesgo no se mide solo en la probabilidad de ser atacado, sino en la capacidad del atacante para infligir daño real y monetario. Aunque hoy menos víctimas pagan, las que lo hacen pueden enfrentarse a demandas de rescate mucho más elevadas y a consecuencias regulatorias, contractuales y reputacionales relevantes. En este contexto, la prevención continúa siendo crucial: buenas prácticas de respaldo, segmentación de redes, detección temprana y planes de respuesta bien ensayados reducen la probabilidad de que una intrusión termine en extorsión. Para orientación práctica y recursos, las agencias públicas ofrecen guías actualizadas: la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) mantiene materiales sobre ransomware y respuesta a incidentes en https://www.cisa.gov/ransomware, y la Europol publica análisis sobre ciberamenazas y tendencias en su portal de informes.
Además, la presión conjunta de reguladores y fuerzas del orden ha contribuido a reducir la voluntad de pago: operaciones internacionales, sanciones y la capacidad de seguir flujos de dinero en blockchain han aumentado el coste operativo para los delincuentes. Sin embargo, los investigadores de Chainalysis advierten que esto no significa que el ransomware vaya a desaparecer; más bien está en una fase de adaptación. Los grupos están refinando sus técnicas: selecciones de víctimas más precisas, extorsiones combinadas (bloqueo + filtrado de datos) y demandas mayores para garantizar que la negociación valga la pena.
Desde la perspectiva defensiva esto implica dos lecciones claras. La primera es que la resiliencia organizacional —capacidad para detectar, contener, recuperar y comunicar— es más valiosa que nunca. La segunda, quizás la más dura, es que el coste de un ataque exitoso se está desplazando: importa tanto reducir la probabilidad de intrusión como minimizar el impacto económico y operativo cuando el peor escenario ocurre.
Si buscas profundizar en las cifras y metodologías detrás de estas conclusiones, el informe de Chainalysis ofrece un desglose de pagos en cadena, grupos activos, incidentes significativos y tendencias de mercado, mientras que empresas especializadas en respuesta a incidentes como Coveware publican análisis sobre precios de rescates, dinámicas del mercado y casos reales. Complementar esos estudios con las recomendaciones de organismos como CISA y los reportes de agencias internacionales ayuda a construir una estrategia de seguridad más holística y resistente.
En definitiva, el descenso en la tasa de pago no es motivo de relajación. Es la señal de una transformación del ecosistema delictivo: menos víctimas pagando, rescates más altos para quienes sí lo hacen, y un mercado más fragmentado y automatizado que obliga a empresas y responsables de seguridad a actualizar sus defensas con urgencia. La batalla contra el ransomware no se ha terminado; ha cambiado de forma, y exige una mezcla de preparación técnica, respuesta coordinada y colaboración con las autoridades para mitigar sus impactos.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...