Los ataques de ransomware están fuera de control. Solo en febrero, alcanzaron niveles nunca antes vistos, estableciendo un récord en un solo mes. El año ya había comenzado con un repunte en este tipo de ataques, pero ahora que los datos están completos, la cantidad de organizaciones afectadas superó por mucho las tendencias históricas. Empresas, hospitales y entidades gubernamentales fueron blanco de grupos de ransomware cada vez más agresivos, que perfeccionan sus tácticas para evadir la seguridad y maximizar el daño.
Mayo de 2023 había sido, hasta ahora, el mes con más ataques de ransomware registrados, con 544 víctimas reportadas en los sitios de filtración de datos en la dark web. Estos sitios, usados por los grupos de ransomware como parte de su estrategia de "nombrar y avergonzar", sirven para presionar a las víctimas a pagar el rescate bajo la amenaza de hacer públicos sus datos sensibles. Aunque no todas las víctimas aparecen en estas listas, siguen siendo una fuente clave para analizar tendencias en ransomware.
Sin embargo, febrero de 2025 superó con creces ese récord, y lo hizo antes de que terminara el mes. Un factor clave en este aumento fue el grupo CL0P, que publicó un cuarto lote con 218 nuevas organizaciones supuestamente afectadas tras la explotación de vulnerabilidades en Cleo MFT. Con esto, el total de víctimas atribuidas a este ataque ascendió a 386 empresas.
Las últimas víctimas de CL0P incluyen compañías de EE. UU., México, Francia, Japón, España, Taiwán, India y Nueva Zelanda, abarcando 12 sectores diferentes: tecnología, retail, manufactura, transporte, energía, automotriz y más.
El aumento de ataques en los últimos días del mes llevó el total de víctimas de ransomware en febrero a 821, un número sin precedentes en los últimos cuatro años, reflejando la aceleración y sofisticación de estos ataques.
Víctimas de ransomware por mes 2021-2025 (Fuente: Cyble)
Con este nuevo lote de víctimas, CL0P se convirtió en el grupo de ransomware más activo del mes, dejando atrás a otros como RansomHub y Akira.
Podría interesarte leer: Las Nuevas Bandas de Ransomware en 2025
Si echamos un vistazo a las tendencias de ransomware en los últimos años, podemos notar un crecimiento preocupante. Entre 2021 y 2022, el número de víctimas mensuales solía moverse entre 100 y 250, con una única excepción en noviembre de 2021, cuando la actividad del grupo Royal (ahora BlackSuit) disparó los ataques.
Pero desde principios de 2023, los ataques han aumentado de manera constante, con un rango mensual de entre 300 y 500 víctimas. Hubo algunos picos fuera de esos valores, pero nada como lo que estamos viendo ahora.
Enero de 2025 ya había alcanzado el límite superior de ese rango, y febrero lo superó con creces. Esto nos deja con una gran pregunta: ¿estamos ante un nuevo estándar de actividad de ransomware o veremos una caída en los próximos meses?
Para entender mejor qué está pasando, vale la pena analizar a los grupos de ransomware más activos. Si miramos los últimos cuatro años, LockBit sigue liderando por un amplio margen.
Sorprendentemente, CL0P se ha convertido en el segundo grupo de ransomware más activo en los últimos cuatro años, solo por detrás de LockBit. Le siguen de cerca Play, RansomHub, Conti y Akira, este último con 608 víctimas en su historial.
CL0P, con más de seis años en acción, se ha especializado en explotar vulnerabilidades en plataformas de transferencia de archivos administrada (MFT), como lo hizo anteriormente con MOVEit. Sin embargo, esta estrategia ha hecho que sus ataques se concentren en períodos específicos. De hecho, de las 901 víctimas que ha acumulado en cuatro años, 383 (42,5%) fueron solo en los últimos tres meses.
Si miramos su actividad en el último año, fuera de esos 383 ataques recientes, solo sumó 22 víctimas más. Esto sugiere que su impacto podría seguir fluctuando dependiendo de nuevas vulnerabilidades que pueda explotar.
Pero CL0P no es el único grupo en crecimiento. RansomHub, Akira, Play y FOG también han intensificado sus ataques en los últimos meses, lo que podría indicar que estamos entrando en una nueva fase de ransomware con más víctimas mes a mes.
Conoce más sobre: Ransomware Clop: Detalles del Ataque de Robo de Datos a Cleo
Con los ataques de ransomware alcanzando niveles récord, las organizaciones no pueden darse el lujo de bajar la guardia. Si la ciberseguridad no ha sido una prioridad hasta ahora, este es el momento de reforzarla. No se trata solo de evitar un ataque de ransomware, sino de fortalecer toda la infraestructura digital contra una amplia variedad de amenazas.
Las mejores prácticas de seguridad no solo reducen el riesgo de ransomware, sino que también protegen contra otros tipos de ciberataques. Limitar el movimiento lateral dentro de la red, mejorar la resiliencia cibernética y aplicar estrategias proactivas pueden marcar la diferencia entre una simple alerta de seguridad y un desastre operativo. Algunas medidas clave incluyen:
Para una protección completa, soluciones avanzadas como TecnetProtect pueden marcar la diferencia. Esta plataforma combina tecnología EDR y XDR para detectar y detener ataques en tiempo real, reforzando la seguridad de la red y protegiendo tanto sistemas como datos críticos. Además, cuenta con un robusto sistema de backup con protección antiransomware, asegurando que, incluso si un ataque ocurre, la información puede ser restaurada sin pérdidas.
El ransomware no está desapareciendo, pero con las herramientas y estrategias adecuadas, puedes mantenerte un paso adelante.