Resumen:
Los ataques de ransomware crecieron un 50% en 2025, con casi 8,000 eventos registrados, según el informe anual de Chainalysis.
Los pagos en cadena cayeron un 8% a $820 millones, mientras que el pago mediano se disparó un 368% a casi $60,000.
El acceso a redes comprometidas cayó de $1,427 en 2023 a $439 en 2026, impulsado por la automatización y la inteligencia artificial.
2025 fue el año más activo en la historia del cibercrimen extorsivo, el ransomware se ha expandido profundamente en la industria. Según el informe anual publicado por Chainalysis, los ataques aumentaron un 50% en comparación con el año anterior, con casi 8,000 eventos de filtración registrados. Sin embargo, los pagos en cadena totalizaron $820 millones, una disminución del 8% respecto a los $892 millones estimados para 2024, revelando que hay una creciente brecha entre el volumen de ataques y los ingresos realmente obtenidos por los atacantes.
La proporción de víctimas que pagaron el rescate alcanzó un mínimo histórico, asentándose en alrededor del 28%. El informe atribuye esta tendencia a las capacidades mejoradas de respuesta a incidentes, un mayor escrutinio regulatorio y acciones coordinadas de las fuerzas del orden contra la infraestructura de lavado de dinero. Corsin Camichel, fundador de eCrime.ch, señaló que 'los atacantes están trabajando más duro por rendimientos decrecientes.'
Mercado de Ransomware: Más Barato, Más Extendido
Un factor estructural que explica el aumento en el volumen de ataques de Ransomware es la disminución sostenida en el precio de acceso a redes comprometidas. Según datos de Darkweb IQ, el precio promedio cayó de $1,427 a principios de 2023 a $439 en el primer trimestre de 2026.
Esta reducción refleja la proliferación de herramientas automatizadas, integraciones de inteligencia artificial y un exceso de acceso de bajo costo en los mercados de la dark web. El resultado es un ecosistema más descentralizado, con hasta 85 grupos de extorsión activos simultáneamente.
Los Corredores de Acceso Inicial —intermediarios que venden acceso a redes comprometidas— recibieron al menos $14 millones en pagos en cadena durante 2025. Aunque esta cifra es modesta en relación con los totales del ecosistema, el análisis de Chainalysis indica que los picos en los flujos hacia estos criminales anticipan aumentos en los pagos de ransomware con una ventana de aproximadamente 30 días.
La Respuesta Institucional Apunta a la Infraestructura
Las agencias de aplicación de la ley están apuntando a la infraestructura detrás del ransomware, en lugar de centrarse únicamente en grupos específicos. La Operación Endgame, coordinada por Europol, el FBI, la BKA de Alemania y la NCA del Reino Unido en mayo de 2025, resultó en la incautación de servidores y la interrupción de familias de malware utilizadas como puntos de entrada en múltiples campañas. Además, OFAC sancionó al proveedor de hosting AEZA Group en julio y al proveedor Zservers en febrero, este último vinculado al grupo LockBit.
Aunque los pagos moderaron su crecimiento, el daño operativo y reputacional de los ataques continuó expandiéndose. Casos de alto perfil incluyeron el ataque a Jaguar Land Rover, que generó pérdidas estimadas de £1.9 mil millones, y la exposición de 2.7 millones de registros de pacientes de la empresa de diálisis DaVita.