La industria criminal del ransomware se fragmentó en 2025 y eso la hizo más peligrosa, pero también más vulnerable

Durante 2025, el número de organizaciones que reportaron haber sido víctimas de secuestro digital creció un 44%. Sin embargo, el dinero recaudado por los grupos criminales que ejecutaron esos ataques se mantuvo prácticamente igual al año anterior: alrededor de 850 millones de dólares. Las víctimas, en número creciente, decidieron no ceder: pagar no garantiza recuperar los datos ni evita un nuevo ataque.

Esos son los datos centrales de un informe de TRM Labs, una empresa que rastrea dinero ilícito en blockchains y agencias de seguridad de todo el mundo. Ari Redbord, director global de política de la firma, resume el momento: “Lo que vemos en 2025 es un ecosistema de secuestro digital más fragmentado que nunca, pero esa fragmentación también está creando vulnerabilidades reales”.

El secuestro digital —conocido en inglés como ransomware— es un tipo de ataque en el que los criminales bloquean los sistemas informáticos de una organización y exigen un pago en criptomonedas para restaurar el acceso. En los últimos años, estos grupos adoptaron un modelo que funciona como una franquicia criminal: desarrolladores crean el programa malicioso y lo alquilan a terceros, llamados afiliados, que ejecutan los ataques a cambio de quedarse con el 80% del rescate. El 20% restante va al grupo que provee la infraestructura.

Ese modelo explica en parte la explosión de variantes registrada en 2025: TRM identificó 93 nuevos grupos en un solo año, un aumento del 94% respecto a 2024. La caída de operaciones grandes como LockBit y BlackBasta —desarticuladas por acciones coordinadas de varios países— no eliminó el problema, desplazó a sus integrantes hacia grupos más pequeños y dispersos. Como señala Redbord, “la táctica de desmantelar un grupo criminal ya no es suficiente contra un ecosistema de 161 variantes”.

Esa fragmentación tuvo un efecto inesperado. Al dispersarse, estos grupos cometieron errores que antes no cometían. Operadores que antes trabajaban desde Rusia empezaron a aparecer en países con los que Estados Unidos y Europa tienen acuerdos de cooperación judicial. El informe documenta el caso de un afiliado del grupo Bl00dy rastreado hasta Ghana a través de su dirección de internet. La geografía dejó de ser un escudo.

América Latina no es ajena a esta expansión. Entre agosto de 2024 y junio de 2025, la región registró más de 1,1 millones de intentos de ataque de secuestro digital, según datos de la firma de ciberseguridad Kaspersky: unos 3.000 al día. Brasil encabeza el ranking con 549.000 casos, seguido por México con 237.000. Argentina, Chile y Colombia completan el listado de los más afectados. El propio Redbord señaló que Brasil, México y Argentina son “mercados activos, tanto como objetivos como parte creciente de la red de afiliados”. La red criminal, agregó, “está distribuida por diseño y la geografía cada vez importa menos”.

Esa presencia regional se traduce en daños concretos. Los blancos preferidos son hospitales, gobiernos y empresas de servicios esenciales, precisamente porque no pueden darse el lujo de permanecer fuera de línea. En Argentina, el ataque al PAMI —la obra social más grande del país— en 2023 obligó a gestionar recetas de forma manual y a derivar pacientes, mientras datos de millones de afiliados quedaron expuestos. En Perú, el grupo Nightspire atacó en 2025 un hospital pediátrico y aseguró contar con 30 gigabytes de información crítica.

A eso se suma otro punto débil que las autoridades pueden explotar: los proveedores de servicios que estos grupos contratan para operar. Para ejecutar un ataque, los criminales no actúan solos. Compran acceso a sistemas ya comprometidos a intermediarios especializados, contratan servidores alojados en países que no cooperan con la justicia occidental y usan herramientas para descifrar contraseñas robadas. Todos esos proveedores operan con menor cuidado que los propios grupos de secuestro digital, lo que los convierte en objetivos más accesibles para la justicia.

El rastreo del dinero también avanzó más de lo que los propios criminales creen. En los últimos años, estos grupos migraron hacia plataformas de intercambio entre distintas criptomonedas, bajo la suposición de que esas transferencias son más difíciles de rastrear. El informe demuestra que no es así. TRM siguió al grupo Akira —el más activo de 2025, con 150 millones de dólares recaudados— a través de cuatro cambios distintos en sus métodos de lavado de dinero, y anticipó un quinto. La reutilización de infraestructura y los patrones repetidos dejan huellas que los analistas ya saben leer.

El otro factor que cambió el panorama son las filtraciones internas. En febrero de 2025, un usuario anónimo publicó 197.000 mensajes internos del grupo BlackBasta, exponiendo identidades, métodos y vínculos entre operadores. Meses después, en mayo, el propio grupo LockBit sufrió una brecha similar. En enero de 2026, la incautación del foro criminal RAMP permitió cruzar datos de registro con información de blockchain y ubicar a varios actores. Cada filtración no solo expone a un grupo: genera desconfianza dentro del ecosistema criminal y eleva el costo de operar.

“Cuando se combina la atribución de identidad en múltiples grupos con la inteligencia que proviene de filtraciones e incautaciones, las fuerzas del orden tienen una oportunidad de desarticular estas redes a una escala que no habíamos visto antes”, dice Redbord. Y agrega una advertencia que resume el momento: “La pregunta para 2026 es si esa ventana se va a usar”.