La amenaza en evolución: el ransomware y lo que podemos esperar en 2026

Un año dominado por el “Ransomware como Servicio” (RaaS) y costos cada vez más altos.

El impacto económico del ransomware podría ser abrumador. VDC Research y Kaspersky realizaron una estimación que mostró que, tan solo en el sector manufacturero, las pérdidas potenciales por ataques de ransomware (si hubieran tenido éxito) habrían superado los 18 mil millones de dólares durante los primeros tres trimestres de 2025. A nivel regional, Asia-Pacífico concentra la mayor parte de este impacto, con 11.5 mil millones de dólares en pérdidas potenciales, lo que subraya cómo la rápida digitalización en economías emergentes amplía las superficies de ataque.

En 2025, el ransomware demostró resiliencia, evolución y capacidad de adaptación. Los modelos de “Ransomware como Servicio” (Ransomware-as-a-Service o RaaS) dominaron el panorama. Estos redujeron significativamente las barreras de entrada para ciberdelincuentes novatos, al ofrecer malware, programas de afiliados e incluso intermediación de accesos iniciales, lo que ha dado lugar a una división de rescates 90/10 a favor de los operadores. Plataformas como RansomHub (actualmente desmantelada) fueron rápidamente sustituidas por otros grupos como Qilin, Akira, Cl0p y Sinobi.

Las tácticas también han evolucionado de forma alarmante, especialmente aquellas que utilizan controladores vulnerables firmados. Estas se apoyan en la técnica BYOVD (Bring-Your-Own-Vulnerable-Driver o «Trae tu propio controlador vulnerable»), como se ha visto en los ataques realizados por MedusaLocker. La doble y triple extorsión, es decir, cifrar la información mientras se roba en tiempo real para después difundirla entre clientes, reguladores o competidores, se ha convertido en una práctica habitual.

Los atacantes están evadiendo las defensas tradicionales al dirigirse a puntos de entrada poco convencionales: dispositivos IoT, electrodomésticos inteligentes e incluso cámaras web, como ocurrió con el grupo criminal Akira. La integración de la inteligencia artificial, en particular los modelos de lenguaje de gran tamaño (LLM, por sus siglas en inglés), ha acelerado este fenómeno. Grupos como FunkSec, surgido a finales de 2024, utilizan códigos generados por IA para llevar a cabo ataques de bajo costo y alto volumen contra los sectores gubernamental, financiero y educativo en regiones como India y Europa.

Grupos hacktivistas como Head Mare y Twelve han convertido el ransomware en un arma contra la industria manufacturera y otros objetivos. En África, aunque la prevalencia es menor debido a una digitalización limitada, focos como Sudáfrica y Nigeria registran un aumento de incidentes en el sector financiero. Europa, respaldada por regulaciones como el Reglamento General de Protección de Datos (GDPR), ha resistido mejor, pero interrupciones como el ataque de RansomHub a oficinas de Kawasaki evidencian las vulnerabilidades en la cadena de suministro.

De cara a 2026, el ransomware no solo persiste, se prepara para dar un salto impulsado por la rápida integración de la IA en el cibercrimen. Los sistemas de IA agéntica, capaces de razonar de forma autónoma y adaptarse en tiempo real, probablemente automatizarán toda la cadena de ataque, desde el reconocimiento inicial hasta las demandas finales de extorsión, ejecutándose a velocidades muy superiores a las humanas.

Las plataformas de Ransomware-as-a-Service potenciadas por IA podrían permitir que incluso hackers inexpertos lancen malware polimórfico que muta sobre la marcha o utilicen videos deepfake para chantajear a ejecutivos. El número de víctimas podría dispararse, a medida que los atacantes escalan operaciones de alto volumen contra proveedores externos. Las tácticas de extorsión podrían evolucionar hacia la manipulación encubierta de datos y el sabotaje reputacional, erosionando la confianza en las marcas de la noche a la mañana.

Para mantenerse un paso adelante, las organizaciones deben invertir en inteligencia de amenazas y detección proactiva, así como implementar respaldos inmutables y aislados. También es clave realizar auditorías exhaustivas a la cadena de suministro y adoptar autenticación multifactor avanzada. Deben implementarse capacitaciones específicas para contrarrestar esquemas de phishing potenciados por IA.

El auge del ransomware en 2025, marcado por el impulso de la IA, ataques dirigidos y costos desbordados, sirve como advertencia para el mundo empresarial. En 2026, las amenazas autónomas podrían rebasar a quienes no estén preparados, pero con modelos de protección resilientes, las empresas no solo pueden sobrevivir, sino prosperar. La elección es clara: evolucionar más rápido que los atacantes o arriesgarse a convertirse en la próxima noticia de portada.

Para contrarrestar eficazmente el ransomware, se debe comenzar habilitando protección dedicada en todos los endpoints. En empresas no industriales, es recomendable implementar herramientas contra Amenazas Persistentes Avanzadas (anti-APT), así como de Detección y Respuesta de Endpoints (EDR) para fortalecer el descubrimiento de amenazas, su detección, investigación y remediación rápida de incidentes. Además, es fundamental dotar a los equipos SOC de inteligencia de amenazas actualizada y capacitación continua, accesibles mediante plataformas integrales como Kaspersky Next, para construir una estrategia de defensa sólida.

En el caso de organizaciones del sector industrial, es necesario adoptar un ecosistema especializado como Kaspersky Industrial CyberSecurity (KICS), que combina tecnologías diseñadas para entornos de tecnología operativa (OT), conocimiento experto y una plataforma nativa de Detección y Respuesta Extendidas (XDR) pensada para infraestructura crítica. Esta solución ofrece análisis robusto del tráfico de red, protección de endpoints y capacidades de respuesta, integrando la seguridad TI tradicional con medidas específicas para entornos industriales, a fin de frenar amenazas sofisticadas.

Por Fabio Assolini, Director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.