Secuestrar datos y pedir miles de dólares en rescate se ha vuelto una constante en el panorama digital de América Latina. En la primera mitad de 2025, los ciberataques de ransomware aumentaron un 47%, con 3.627 incidentes registrados frente a los 2.472 del mismo periodo en 2024, según datos de Comparitech.
El fenómeno no solo lo protagonizan los grupos tradicionales: la expansión de nuevas bandas especializadas ha intensificado la amenaza en la región y el resto del mundo.
Nuevos grupos de ransomware ponen en alerta a empresas y gobiernos
Entre los actores emergentes sobresalen Interlock, Warlock y SafePay, responsables de la ola de ataques en los últimos meses. Sus métodos y selección de objetivos reflejan la evolución del ransomware, con estrategias que combinan ingeniería social, explotación de vulnerabilidades y sofisticadas maniobras de extorsión.
Desde el portal de ciberseguridad, Welivesecurity, analizaron las técnicas de estas agrupaciones, señalando su impacto creciente sobre empresas, organismos públicos y sectores críticos de la economía.
Interlock: cómo funciona y a quién ataca este grupo de cibercriminales
La irrupción de Interlock data de finales de 2024 y se consolidó rápidamente con más de 20 ataques dirigidos a compañías de salud, gobiernos y centros educativos.
De acuerdo con la propia Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA), este grupo despertó alarma por emplear la técnica de ingeniería social “ClickFix”.
El método consiste en desplegar ventanas emergentes y falsos Captcha que inducen al usuario a ejecutar scripts maliciosos. Esto da acceso a la red interna para cifrar sistemas y exfiltrar grandes volúmenes de datos, como ocurrió con el proveedor de atención renal DaVita, víctima de la sustracción de 1,5 terabytes de información entre marzo y abril.
Warlock: ataques a empresas con vulnerabilidades y doble extorsión
Por su parte, Warlock (también conocido como Gold Salem o Storm-2603) emergió en marzo de 2025 bajo el esquema de “ransomware as a service”. En apenas meses, registró más de 60 ataques a empresas tecnológicas, financieras y de telecomunicaciones, especialmente en Estados Unidos, Japón y el Reino Unido.
Su especialidad radica en explotar vulnerabilidades críticas de Microsoft SharePoint, conocidas como ToolShell (CVE-2025-49706, CVE-2025-49704, CVE-2025-53770, CVE-2025-53771), para obtener acceso inicial. Luego aplica la táctica de doble extorsión: cifra los archivos y amenaza con divulgar la información robada si no recibe el pago exigido en dólares.
La expansión de SafePay consolidó aún más la tendencia. Este grupo, que irrumpió en el segundo semestre de 2024, intensificó su actividad en 2025, con más de 200 ataques tan solo en el primer trimestre.
SafePay, el ransomware que más creció en 2025 y su impacto en Latino América
Utiliza credenciales robadas y servicios expuestos (como VPN vulnerables) para infiltrarse en las redes empresariales. Una vez adentro, mueve información y credenciales lateralmente para maximizar el impacto antes de emitir la nota de rescate.
Sus principales víctimas se encuentran en Estados Unidos (103 casos confirmados), Alemania, Australia, Reino Unido y países latinoamericanos como México, Colombia y Argentina, afectando especialmente a industrias de manufactura, tecnología, educación y salud.
El informe de ciberseguridad subrayó que estos grupos han perfeccionado el modelo de doble extorsión: primero secuestran los datos, luego amenazan con publicarlos si no se cubre el rescate. Esto plantea riesgos financieros, legales y reputacionales a las organizaciones.
La dinámica del cibercrimen en América Latina muestra un avance constante, con grupos que adaptan sus tácticas según los movimientos de las defensas y del mercado negro digital.
La comunidad internacional ha respondido con alertas y nuevas estrategias de defensa. La CISA emitió comunicados para advertir sobre la actividad de Interlock y los riesgos asociados a los ataques actuales.
Consejos para protegerse de los secuestros de datos
Organizaciones de ciberseguridad recomiendan medidas como la autenticación multifactor (MFA), la realización de copias de seguridad periódicas, la actualización de parches de seguridad y la capacitación continua del personal. Según expertos citados por welivesecurity, estas prácticas disminuyen la probabilidad de ataques exitosos y ayudan a minimizar el impacto en caso de incidentes.
La ola de ransomware que afecta a América Latina refleja un fenómeno global que trasciende fronteras y sectores. La colaboración internacional y la inversión en prevención se presentan como los principales desafíos para el futuro inmediato, ante un escenario donde los ciberataques son cada vez más rápidos, rentables y dañinos para empresas y entidades públicas.
Últimas Noticias
Ethereum: cuál es el precio de esta criptomoneda este 5 de diciembre
Ethereum fue lanzada en 2015 por el programador Vitalik Buterin, con la intención de impulsar un instrumento para aplicaciones descentralizadas y colaborativas
El costo de bitcoin para este 5 de diciembre
El bitcoin fue creado por Satoshi Nakamoto en el 2008 y arrancó sus operaciones oficialmente el 3 de enero de 2009 con “el bloque de génesis” de 50 monedas
El código de ChatGPT revela integración en desarrollo con Apple Health
Informes señalan que OpenAI estaría trabajando para que su popular chatbot pueda acceder a los datos recolectados por la app Salud de Apple
AWS lanza nuevas herramientas para crear y personalizar LLMs sin gestionar infraestructura
El avance principal presentado por Amazon Web Services es la posibilidad de adaptar modelos de lenguaje grandes a medida utilizando dos de sus plataformas más relevantes en IA en la nube
Jensen Huang, CEO de Nvidia, admite que trabaja 7 días a la semana: “Es agotador”
La presión constante y la ansiedad marcan la vida del CEO de Nvidia, quien considera que la adversidad es clave para alcanzar grandes logros
