Si algo nos dejó claro la primera mitad de 2025, es que el ransomware no solo sigue vivo: está más fuerte, más astuto y mejor organizado que nunca. En el centro de esta ola de ciberataques, tres grupos criminales se llevaron el protagonismo. Entre todos, sumaron más de un tercio de los incidentes reportados a nivel mundial: más de mil ataques en solo seis meses. Ningún sector estuvo fuera de su alcance. Ninguna región salió ilesa.
Estos actores ya no se esconden en rincones oscuros de internet; hoy operan con la precisión de una máquina bien aceitada, provocando interrupciones a escala global.
Las cifras son contundentes: en los primeros seis meses del año, los ataques de ransomware aumentaron un 54 % respecto al mismo periodo de 2024, alcanzando los 3.201 incidentes confirmados. Aunque decenas de grupos estuvieron activos, la mayoría de las ofensivas más grandes vinieron de estos tres nombres… y no actuaron solos.
Vamos a entrar en el mundo de los grandes protagonistas del ransomware en la primera mitad de 2025: CL0P, Akira y Qilin.
Ransomware CL0P: El maestro de los exploits de día cero
Activo desde 2019, CL0P no es un jugador cualquiera en el mundo del ransomware: es un veterano que ha convertido la extorsión de alto impacto en su sello personal. Y en 2025 no solo lideró, sino que arrasó. En febrero, por ejemplo, estuvo detrás del 37 % de todos los ataques de ransomware registrados a nivel global.
A diferencia de muchos grupos que operan bajo el modelo de ransomware como servicio (RaaS), CL0P mantiene las riendas en todo momento. Su estructura es más bien una operación centralizada: ellos mismos gestionan cada fase del ataque, desde encontrar y explotar la vulnerabilidad hasta filtrar públicamente los datos robados en su propio portal, CL0P^_- LEAKS.
Su arma favorita para abrir la puerta: exploits de día cero, especialmente en software de transferencia de archivos. Herramientas como MOVEit y GoAnywhere MFT han sido blanco recurrente de su estrategia. El patrón es siempre el mismo: aprovechar una vulnerabilidad desconocida, robar información sensible y, después, desplegar el ransomware para completar la jugada maestra de doble extorsión.
En cuanto al impacto geográfico, América del Norte (especialmente Estados Unidos y Canadá) se llevó la peor parte, acumulando un alto número de víctimas corporativas y gubernamentales.
Objetivo por país del grupo de ransomware CL0P (Fuente: Cyble)
Bancos, hospitales, universidades y hasta organismos gubernamentales han sentido la presión de CL0P. Su forma de atacar, precisa y técnicamente impecable, lo mantiene como uno de los nombres más temidos en el mundo del ransomware.
Conoce más sobre: Ransomware en México: ¿Cómo afecta al sector TI y cómo prevenirlo?
Ransomware Akira: El caos viaja sobre ruedas y cadenas de producción
En la primera mitad de 2025, Akira dejó su marca en gran parte de América del Norte y Europa, pero su golpe más fuerte se sintió en Alemania, el epicentro de la fabricación en el continente.
Este grupo sabe exactamente dónde atacar para hacer daño. Desde servicios profesionales y construcción, hasta automotriz y manufactura, Akira puso la mira en sectores que sostienen la columna vertebral de las economías nacionales. Y lo hizo con precisión quirúrgica: lanzando ataques en momentos clave para provocar la mayor disrupción posible.
Aunque no siempre se conocen públicamente sus demandas de rescate, su estrategia deja claro que no todo es por dinero. Akira busca generar interrupciones sistémicas, paralizando industrias enteras. Su renovado empuje en Europa, especialmente en la región DACH (Alemania, Austria y Suiza), no es casualidad: es un movimiento calculado que debería encender las alarmas en las empresas de la zona.
Enfoque sectorial del grupo de ransomware Akira (Fuente: Cyble)
Ransomware Qilin: El ransomware como servicio llevado al extremo
Qilin no es un simple grupo de ransomware: funciona como una auténtica franquicia del cibercrimen bajo el modelo Ransomware-as-a-Service (RaaS). Su crecimiento ha sido meteórico y cada vez más afiliados se suman a sus filas.
Su gran diferencial es la escala. Qilin ofrece a sus colaboradores la posibilidad de lanzar ataques totalmente personalizables, lo que les permite golpear prácticamente cualquier sector: salud, manufactura, construcción, energía y servicios públicos. Solo en abril de 2025, sus campañas dejaron 72 víctimas confirmadas.
Su infraestructura está diseñada para operar a nivel global. Desde Singapur e India hasta Estados Unidos y Europa, Qilin ejecuta una estrategia de expansión sin frenos. En la región APAC, fue el grupo más activo, con 32 ataques reportados en solo seis meses, consolidando su posición como una de las amenazas más agresivas de 2025.
El principal grupo de ransomware dirigido a la región APAC (Fuente: Cyble)
Podría interesarte leer: ¿Qué Grupos de Ransomware Atacan México?: Descubre el Top 10
La Nueva Ola: Actores de ransomware que rompen las reglas
Mientras los “Tres Grandes” acaparaban los titulares en la primera mitad de 2025, en las sombras se estaba gestando algo igual de inquietante: una nueva generación de grupos de ransomware. Más ágiles, más experimentales y con tácticas que rompen el molde tradicional.
En estos meses, han surgido actores que no necesariamente siguen el clásico guion de cifrar archivos. Algunos ni siquiera usan “lockers” y, aun así, logran presionar a las víctimas con amenazas de filtración. Entre ellos:
-
Dire Wolf: inauguró un sitio de filtraciones en la dark web, con un enfoque en víctimas de Asia e Italia.
-
Equipo Silencioso: golpeó a empresas aeroespaciales y de ingeniería, robando más de 2,8 TB de datos altamente confidenciales.
-
DATACARRY y Gunra: activos en Europa, América y Asia, probando modelos de extorsión sin cifrado.
-
“J”: un misterioso operador con víctimas en cinco continentes, insinuando una ofensiva coordinada a nivel global.
Esta tendencia apunta a una mutación peligrosa: el robo de datos como arma principal, sin desplegar ransomware. Sin el cifrado, muchos sistemas de detección no se activan, pero el riesgo para la reputación y la exposición de información crítica sigue siendo devastador.
Un ecosistema en evolución constante
El ransomware ya no es un ataque puntual: es un ecosistema criminal en expansión. Las barreras de entrada son cada vez más bajas, las tácticas cambian rápido y los viejos y nuevos actores se mueven con más confianza y sofisticación.
Para los equipos de ciberseguridad y líderes empresariales, ya no basta con vigilar la dark web o tapar vulnerabilidades conocidas. La defensa proactiva basada en inteligencia y respuesta anticipada es la única forma de mantenerse un paso por delante en este juego que evoluciona día a día.
Cómo TecnetOne te puede ayudar a mantenerte protegido
Frente a esta amenaza cambiante, soluciones como TecnetProtect, ofrecen una defensa integral que combina copia de seguridad avanzada, protección antimalware en tiempo real y capacidades de detección y respuesta. Su tecnología de Active Protection está diseñada para identificar y detener comportamientos propios del ransomware antes de que puedan cifrar o exfiltrar datos.
Además, al integrar copias de seguridad inmutables, permite restaurar la información rápidamente, minimizando el impacto y el tiempo de inactividad. Cuando cada segundo cuenta, contar con TecnetProtect, es apostar por una protección proactiva y lista para enfrentar el ransomware de hoy… y del futuro.
