Google alerta sobre el cambio de tendencia del ransomware: contra empresas pequeñas y robo de datos sin cifrado

Según el informe de Google Threat Intelligence Group (GTIG), REDBIKE se ha identificado como la familia de ransomware con la mayor presencia durante las operaciones de respuesta de Mandiant, reportando su aparición en casi el 30 por ciento de los casos registrados. Este dato sitúa a REDBIKE como un elemento central en las actuales tácticas de los actores maliciosos, dentro de un panorama que revela importantes modificaciones en los métodos y objetivos de las bandas digitales. Además del protagonismo de REDBIKE, la investigación publicada por Google detalla una nueva tendencia en la que las organizaciones con menor protección se han convertido en el blanco predilecto de estas amenazas informáticas.

En su análisis sobre la evolución de los ataques de ransomware en 2025, el GTIG expone un cambio en las estrategias tradicionales de los ciberdelincuentes, quienes han ampliado su foco más allá de las grandes corporaciones para dirigirse también a empresas de menor tamaño, de acuerdo con datos recabados a nivel global. El medio Google detalló que este desplazamiento de objetivos responde a dificultades crecientes para comprometer infraestructuras mejor protegidas y a la percepción de que las compañías pequeñas presentan menos barreras defensivas.

Google reportó que, a pesar de que en 2025 se alcanzó un récord en el número de víctimas listadas en sitios web de filtración de datos —conocidos como Data Leak Sites (DLS)—, el rendimiento económico de las operaciones de ransomware se ha reducido de modo notorio. Según consignó el informe, esta merma está relacionada tanto con la mejora en las medidas de ciberseguridad como con la mayor capacidad de las organizaciones para recuperarse tras un ciberataque.

El GTIG subraya que el desplazamiento de las tácticas de extorsión se orienta ahora hacia el robo de datos sin necesariamente cifrar los sistemas, una característica que diferencia los incidentes recientes de los modelos de ransomware previos. De acuerdo con el informe de Google, el 77 por ciento de las intrusiones perpetradas en el último año incluyeron la sustracción de información, una cifra que evidencia un crecimiento frente al 57 por ciento registrado en 2024. Este incremento confirma que la extorsión basada exclusivamente en la divulgación o venta de datos está posicionándose como una de las vías preferidas para los delincuentes, superando en popularidad a los métodos que dependían del bloqueo de sistemas mediante cifrado para forzar el pago de rescates.

En cuanto a las técnicas de acceso inicial utilizadas, el documento de Google señala que los atacantes se han enfocado más en aprovechar vulnerabilidades presentes en infraestructuras expuestas públicamente. Esta práctica representa una variación respecto al patrón identificado en 2024, año en el que predominó el uso de ataques por fuerza bruta y el empleo de credenciales robadas.

El medio Google describe también que, pese a la continuidad en el uso mayoritario de utilidades nativas y de herramientas de acceso público para facilitar la penetración en sistemas, existen algunas categorías donde la incidencia ha disminuido. Destacan las caídas en el empleo de soluciones para gestión remota y en el uso de marcos de postexplotación como CobaltStrike, que en periodos anteriores representaron un recurso común para los ciberdelincuentes.

En la valoración sobre el cambio de preferencias tácticas, el informe resalta que la migración hacia la amenaza de publicar o vender información robada persigue maximizar la presión sobre la víctima y aumentar las probabilidades de obtener pagos sin necesidad de recurrir al cifrado masivo de archivos. El método de extorsión basado en el robo de datos posibilita un mayor volumen de ataques exitosos, ya que evita los mecanismos de defensa más desarrollados que actualmente protegen contra el ransomware tradicional.

Finalmente, la publicación de Google considera que la creciente sofisticación defensiva y la mejora en las prácticas de recuperación de las víctimas limitan la rentabilidad global de las campañas de ransomware. Pese a estas tendencias, el informe deja constancia de que los ciberdelincuentes siguen adaptando sus estrategias, en parte apoyándose en la circulación y explotación de vulnerabilidades y de herramientas disponibles para el público, así como en variantes como REDBIKE, que continúa encabezando la actividad de los grupos detectados por los equipos de respuesta.