IOCTA 2026, el informe de Europol sobre el ransomware

Más de 120 marcas de ransomware activas en un solo año. Estas son las conclusiones de la edición 2026 de la Evaluación de la Amenaza de la Delincuencia Organizada en Internet (IOCTA), la evaluación anual de Europol sobre la ciberdelincuencia organizada, publicada a finales de abril de 2026 bajo el título «Cómo el cifrado, los proxies y la IA están expandiendo la ciberdelincuencia «. El informe abarca el año 2025 y ofrece una instantánea que sirve de referencia a las fuerzas del orden del continente. Se estructura en torno a tres tendencias fundamentales: la fragmentación extrema del mercado del ransomware, el paso de la extorsión a la amenaza de publicación de datos y la aparición de coaliciones entre grupos delictivos anteriormente separados.

Table des matières

Más de 120 marcas activas: un mercado fragmentado e inestable

En 2025, Europol observó más de 120 marcas activas de ransomware, una cifra que refleja la extrema fragmentación del mercado. El informe describe un entorno marcado por una extrema volatilidad, alimentada por la competencia entre los actores, las consecuencias de las intervenciones policiales y la disponibilidad de nuevas herramientas técnicas. La paradoja es clara: el ecosistema nunca ha estado tan fragmentado, pero quienes más se benefician son los operadores capaces de absorber a los afiliados desplazados por el desmantelamiento de las redes. La proliferación de bases de código de ransomware filtradas(Conti, LockBit, Black Basta), la proliferación de plataformas RaaS listas para usar y las herramientas de ensamblaje de código asistidas por IA han rebajado la barrera de entrada hasta el punto de que casi cualquiera puede lanzar una variante. Pero pocos de estos entrantes sobreviven: la mayoría de las operaciones son efímeras y cambian de marca en cuestión de semanas. El informe señala un solapamiento significativo entre administradores y afiliados de un grupo a otro, así como la puesta en común de infraestructuras de proxy y blanqueo de dinero. Es esta porosidad la que hace que los cambios de marca sean tan rápidos y la atribución tan difícil.

Los datos del primer trimestre de 2026, después del periodo cubierto por la IOCTA, muestran una inversión de esta tendencia. Check Point Research, que vigila los sitios con filtraciones (DLS), señala que el ecosistema «ha cambiado de dirección de forma decisiva «: el número de grupos activos ha caído de 85 en el punto álgido del tercer trimestre de 2025 a 71 en el primer trimestre de 2026, y aunque han surgido 21 nuevos nombres, la mayoría ha informado de menos de 10 víctimas. Los diez principales grupos de ransomware representan de nuevo el 71,1% de las víctimas publicadas, frente al 57% en el pico de fragmentación. La reconsolidación se está produciendo en torno a los actores dominantes: Qilin a la cabeza con 338 víctimas, seguido de Akira, The Gentlemen y un LockBit 5. 0 que regresa. Juntos se cobraron el 41% de todas las víctimas del trimestre, y Qilin incluso registró más víctimas que los 50 grupos con peores resultados juntos. Check Point Research describe «un patrón recurrente a lo largo de la historia del ecosistema: las acciones de las fuerzas de seguridad perturban el mercado del ransomware, los afiliados se dispersan y los supervivientes que escapan a estas perturbaciones absorben la reserva de talento desplazada y crecen».

Pie chart of top 10 ransomware groups by victim count Q1 2026, Qilin leading with 338 — Los 10 principales grupos de ransomware por número de víctimas reclamadas en el primer trimestre de 2026 – Fuente: Check Point Research

Taxonomía de Europol: tres niveles de grupos de ransomware

IOCTA 2026 propone una clasificación en tres niveles de los grupos de ransomware, basada en su barrera de entrada, sofisticación técnica y modelo de reclutamiento.

Los programas de afiliación pública (RaaS abiertos) están abiertos a casi todo el mundo. Proporcionan un kit completo: ensamblador de malware, botnets de distribución, herramientas de persistencia y vigilancia de las víctimas, infraestructura de exfiltración y blanqueo, servicios de negociación y alojamiento de sitios de filtración. El administrador se lleva un porcentaje de cada pago. Qilin es el arquetipo: Europol lo vincula al antiguo grupo Conti, describe que ha integrado capacidades DDoS para aumentar la presión y que trabaja para automatizar ataques a VPN SSL de Fortinet, y señala que ofrece a sus afiliados entre el 80 y el 85% del importe del rescate. Akira, también de Conti, lleva activo desde marzo de 2023 y ha mantenido un ritmo constante hasta 2025, ampliando sus capacidades a entornos virtualizados a través de vulnerabilidades de SonicWall.

Los grupos semicerrados reclutan selectivamente en foros, buscando afiliados que sean a la vez hábiles y de confianza. Fog, detectado a principios de 2024, adopta una arquitectura modular que permite parametrizar el alcance del cifrado, el contenido de la nota de rescate y otros aspectos del ataque en función del objetivo. Black Basta, otra rama de Conti, operaba de este modo antes de que una filtración de sus registros internos en 2025 expusiera sus plantillas de phishing, direcciones de criptografía e identificadores de víctimas. Su sitio filtrado ha estado inactivo desde entonces, pero es probable que los miembros implicados continúen su actividad bajo otra marca, en línea con el esquema de cambio de marca descrito por Europol.

Los grupos cerrados constituyen la categoría más resistente, con una dependencia mínima del ecosistema CaaS (Crime-as-a-service): desarrollan su propio malware, a veces sus propios exploits, operan a través de canales compartimentados y alojan su propia infraestructura. Cl0p es el ejemplo arquetípico: resurgió en 2025 con su explotación sistemática de vulnerabilidades de día cero (especialmente el fallo de Oracle EBS, que afectó a cientos de empresas). Play, por su parte, siguió activo en 2025, dirigiéndose a infraestructuras críticas con la doble extorsión como principal modus operandi.

Estos tres niveles no forman compartimentos estancos. La IOCTA constata que los administradores y afiliados pasan de un grupo a otro, que las infraestructuras son compartidas y que los grupos cambian de categoría con el tiempo. BlackBasta, que ayer estaba semicerrado, hoy se renueva; afiliados de programas públicos se incorporan a operaciones cerradas cuando surge la oportunidad. Es esta fluidez la que hace que la taxonomía sea útil como parrilla de lectura, pero insuficiente como herramienta de predicción.

Una coalición de DragonForce, LockBit y Qilin anunciada en la web oscura

En septiembre de 2025, se anunció en la dark web una coalición de DragonForce, LockBit y Qilin. DragonForce, un grupo principalmente de habla rusa activo desde 2023, ensambla sus cargas útiles a partir de bases de código filtradas de Conti y LockBit y ha lanzado un servicio de extorsión a medida (análisis de datos robados, guiones de llamada, cartas de presión), llevándose una comisión del 20% por cada rescate. El grupo opera con un modelo de marca blanca: proporciona la infraestructura y las herramientas, mientras que los afiliados operan bajo su propio nombre.

DragonForce annonce partnership with LockBit and Qilin — DragonForce anuncia su coalición con LockBit y Qilin – Fuente: Check Point Research

Sin embargo, los datos del primer trimestre de 2026 matizan esta afirmación. Según Check Point Research, varias submarcas asociadas al proyecto han disminuido o desaparecido, y «la narrativa más amplia del cártel parece ser más marketing que realidad operativa». El regreso de LockBit, por otro lado, es tangible: tras el desmantelamiento durante la Operación Cronos en febrero de 2024, el grupo lanzó LockBit 5.0 en septiembre de 2025 con soporte multiplataforma, antiforense mejorado, cifrado acelerado y un depósito de entrada de unos 500 dólares en Bitcoin. Check Point registró 163 víctimas en el primer trimestre de 2026, un aumento del 106% con respecto al trimestre anterior, con una marcada diversificación geográfica: la proporción de víctimas estadounidenses cayó por debajo del 21%, en beneficio de Italia, Brasil y Turquía.

La alianza de los Scattered LAPSUS$ Hunters y la convergencia de los extorsionadores anglófonos

Además de los programas RaaS estructurados, IOCTA 2026 dedica una sección al fenómeno más atípico del año: la formación, en agosto de 2025, de la alianza Scattered LAPSUS$ Hunters (SLSH), que reúne a Scattered Spider, ShinyHunters y LAPSUS$. Estos grupos, principalmente angloparlantes, ya compartían un trasfondo común: fraude en línea, intercambio de SIM, ingeniería social de alto nivel, reclutamiento de información privilegiada y campañas de extorsión contra grandes empresas y proveedores de servicios sanitarios.

Scattered LAPSUS$ Hunters cybercriminal alliance — Cazadores dispersos de LAPSUS$, la temible alianza de ciberdelincuentes – Fuente: SOS Ransomware

Europol señala un rasgo de comportamiento específico de ciertos miembros de SLSH: el acoso y las amenazas persistentes, «que no cesan necesariamente, incluso después de que las víctimas hayan pagado el rescate «. Así pues, el pago no detiene necesariamente la presión. En mayo de 2025, ShinyHunters, la parte del colectivo especializada en la exfiltración de datos, sustrajo más demil millones de archivos de las bases de datos de clientes de Salesforce engañando a los empleados para que conectaran una aplicación maliciosa al portal de Salesforce de su organización. La misma mecánica -ingeniería social y kits de phishing para eludir la autenticación multifactor- puede encontrarse en la campaña de vishing SSO de ShinyHunters y en la afirmación de haber pirateado la Comisión Europea.

La extorsión pasa del cifrado a la amenaza de publicación

La tendencia más estructurante del informe se refiere al propio modelo de extorsión. En palabras de Europol: «El objetivo de la extorsión ya no es desbloquear (descifrar) datos, sino presionar a las víctimas para que paguen a fin de evitar que se filtren «. La razón es pragmática, y el informe lo dice directamente: » Las empresas modernas suelen estar mejor preparadas para afrontar las consecuencias de la pérdida de datos (cifrados o borrados) que las de su divulgación. » Las copias de seguridad y la recuperación de datos corruptos pueden resolver la continuidad operativa, pero no cubren la exposición normativa ni el daño a la reputación.

Este punto de inflexión lo confirman las cifras de pagos, como muestra el resumen de pagos por ransomware en 2025: según Kaspersky y Chainalysis, solo el 28% de las víctimas identificadas pagaron en 2025, un mínimo histórico, y los pagos en cadena cayeron a unos 820 millones de dólares (un 8% interanual menos). Para maximizar la presión sin recurrir a la encriptación, los grupos están apilando las palancas: ataques DDoS simultáneos, saturación de los buzones de correo de las empresas y llamadas telefónicas directas a altos ejecutivos. Estas tácticas de presión son habituales en el arsenal de los grupos de ransomware y a veces se ofrecen como servicios independientes dentro del ecosistema CaaS, según Europol.

La extorsión sin cifrado (puro robo de datos) lleva esta lógica a su conclusión lógica: los atacantes exfiltran datos y amenazan con publicarlos, sin cifrar nunca el sistema. Kaspersky cita a ShinyHunters como ejemplo típico de grupo que ha abandonado el cifrado para centrarse exclusivamente en la exfiltración. El asunto Canvas / Instructure de mayo de 2026 es la ilustración más clara de esto: sin sistemas cifrados, presión basada enteramente en datos robados de miles de centros educativos, y un pago al final.

Percentage ransom payments by quarter — Porcentaje de pagos de rescates por trimestre – Fuente Coweware

El matiz, documentado por Coveware, es que esta exfiltración pura y dura está perdiendo eficacia: la tasa de pago de esta subcategoría ha caído a alrededor del 19% (Coveware, tercer trimestre de 2025), a medida que las organizaciones comprenden que pagar no elimina sus obligaciones de notificación ni impide que los datos se revendan posteriormente. Esta erosión de la rentabilidad podría llevar a algunos grupos a volver al cifrado o a innovar técnicamente.

Inteligencia artificial: de la codificación vibratoria a la inteligencia artificial agéntica

En el tema de la inteligencia artificial, IOCTA 2026 también menciona el uso de la IA generativa y sus usos ya operativos en operaciones delictivas. Las aplicaciones actuales incluyen la asistencia en la codificación, la generación de guiones de conversación para centros de llamadas de extorsión y la ingeniería social personalizada. Los LLM maliciosos, desprovistos de sus filtros éticos, circulan por la red oscura, y los delincuentes recurren con frecuencia a modelos públicos «jailbroken».

La filtración interna de The Gentlemen ofrece un ejemplo concreto: el administrador afirma que desarrolló su panel de administración en tres días utilizando IA, basada en modelos chinos (DeepSeek, Qwen). Se mencionaron planes para utilizar un LLM autoalojado para clasificar los datos exfiltrados e identificar la información más explotable, pero no se habían puesto en práctica en el momento de la filtración. Es este segundo nivel,la IA agéntica capaz de planificación y ejecución autónomas, el que Europol identifica como una amenaza emergente: su adopción sigue siendo «un factor de desarrollo «, pero el informe anticipa un posible aumento de la amenaza hasta niveles sin precedentes.

La web oscura en 2025: mercados efímeros y foros que se reinventan

IOCTA 2026 describe una infraestructura de la dark web en permanente cambio. La vida útil de los mercados generalistas se ha acortado aún más en 2025, y las estafas de salida planificada (en las que los administradores desaparecen con los fondos de los usuarios) siguen siendo endémicas. El desmantelamiento deArchetyp Market en junio de 2025 (más de 600.000 usuarios, al menos 250 millones de euros en transacciones) provocó el cierre voluntario deAbacus Market y MGM Grand, que fueron sustituidos inmediatamente por BlackOps, TorZon y Nexus Market, que se habían convertido en los marketplaces con mayor número de anuncios a finales de año. Al mismo tiempo, las plataformas especializadas (intermediación de accesos RDP/VPN comprometidos, servicios de malware, herramientas especializadas) ganan terreno, al tiempo que limitan el acceso a los miembros verificados para mejorar su seguridad operativa.

Los foros siguen siendo los principales puntos de entrada para los aspirantes a ciberdelincuentes: formación, tutoriales, reclutamiento y centros de migración cuando una plataforma deja de funcionar. En 2025, los DarkForums surgieron como sucesores de los BreachForums, permitiendo el intercambio de datos robados y la distribución de herramientas de hacking tanto en interfaces de superficie como Tor. Los ciberdelincuentes ya no están confinados en la web oscura. Europol describe un «ecosistema híbrido de anonimato » en el que las operaciones se dividen entre sitios de la web oscura, servicios de mensajería cifrada de extremo a extremo como Telegram y servicios accesibles desde la web tradicional, lo que complica la vigilancia y la atribución.

Infosteadores y corredores de acceso, el combustible del ecosistema

Europol confirma que los infostealers han persistido en 2025 como facilitadores centrales de todos los ciberataques, alimentando un mercado que va desde los brokers de acceso inicial (IAB) hasta los afiliados a RaaS y los estafadores. Los vectores de acceso inicial más comunes siguen siendo el phishing, los infostealers, la explotación de vulnerabilidades no parcheadas y la compra de acceso a los IAB.

Kaspersky señala que RDP, VPN y, cada vez más, RDWeb son los tres tipos de acceso más vendidos. Los portales RDWeb, que a menudo están mal protegidos, son cada vez más el objetivo, y los esfuerzos se centran en la exposición directa a RDP. La industrialización de este mercado es tal que el acceso inicial se ha convertido en una mercancía: la dificultad ya no reside en el compromiso, sino en la capacidad de convertir este acceso en un rescate.

El blanqueo de dinero se vuelve más sofisticado

Las criptomonedas siguen siendo el método de pago preferido, y Europol detalla cómo los circuitos de blanqueo de capitales se están volviendo más complejos. El salto de cadena (salto de blockchain a través de puentes entre cadenas) se ha convertido en la técnica dominante para desdibujar el rastro, combinando velocidad, liquidez y relativa descentralización. Los mixers (servicios que mezclan transacciones de múltiples usuarios para difuminar su origen y destino) han migrado a arquitecturas de contratos inteligentes («mixer-as-a-service») e intercambios descentralizados (DEX) con liquidación automática, que eluden las obligaciones KYC/AML. Las tarjetas prepago de criptomoneda y las mesas de criptomoneda a efectivo proporcionan la salida al circuito financiero legal.

La operación más concreta del informe se refiere a Cryptomixer, un servicio de mezcla activo desde 2016 por el que han pasado más de 1 300 millones de euros en Bitcoin. En noviembre de 2025, una acción coordinada de las autoridades suizas y alemanas, con el apoyo de Europol, condujo a la incautación de tres servidores, la neutralización del dominio y la confiscación de más de 25 millones de euros en criptomonedas, así como 12 terabytes de datos.

Cryptomixer has been seized — Cryptomixer, un sitio web de mezcla de criptomonedas, ha sido clausurado – Fuente: SecurityWeek

Actores híbridos: una frontera difusa

El informe también aborda el entrelazamiento de la ciberdelincuencia y la injerencia estatal. Europol observa que los actores híbridos vinculados a los Estados están utilizando redes de ciberdelincuencia como proxies para operaciones de desestabilización: DDoS, intrusiones, robo de datos, ataques de ransomware contra objetivos estratégicos. El informe lo expresa sin rodeos: «En la economía actual del cibercrimen CaaS, los actores de amenazas híbridas son un cliente más » . Se cita como ejemplo laoperación Eastwood de julio de 2025, que interrumpió la infraestructura de la red NoName057(16) antes de reanudar rápidamente su actividad.

Opération Eastwood — Operación Eastwood – Fuente: informe IOCTA 2026

Lo que las organizaciones deben recordar del informe IOCTA 2026

El informe confirma que el ransomware se ha convertido en una industria por derecho propio, con sus propios proveedores de acceso, plataformas de servicios, herramientas de blanqueo de dinero y mecanismos de presión psicológica. Las fuerzas del orden han evolucionado su doctrina: Europol señala que las intervenciones contra los principales facilitadores (infoestructuras, servicios de blanqueo de capitales, infraestructuras compartidas) tienen un impacto más duradero que el desmantelamiento de grupos aislados, cuyos afiliados se redistribuyen entre los supervivientes. Operaciones como Endgame ilustran este cambio de objetivo.

Para las organizaciones, las consecuencias prácticas son convergentes. Los dispositivos expuestos (VPN, cortafuegos) siguen siendo el punto de entrada estructural más atacado: casi todos los grupos documentados por IOCTA(Qilin, Akira, LockBit, DragonForce) explotan vulnerabilidades en FortiGate, SonicWall o Cisco. Las medidas más directamente eficaces son parchear prioritariamente estos aparatos, no exponer nunca RDP o RDWeb directamente a Internet, generalizar la autenticación multifactor y vigilar los identificadores comprometidos en los foros clandestinos.

El cifrado ya no es la única palanca de presión, ni a menudo la principal. Ahora los equipos deben vigilar no sólo los indicios de cifrado, sino también los de una exfiltración silenciosa previa, ya que las copias de seguridad no ofrecen ninguna protección contra la publicación de datos ni contra las obligaciones reglamentarias resultantes. Y la caída de la tasa de pago al 28% no significa que el ransomware haya desaparecido: al contrario, los importes medios se han disparado, reflejando una polarización entre las pequeñas víctimas que no pagan y las grandes organizaciones que a veces no tienen otra opción viable. En un ecosistema en el que los afiliados migran constantemente de un grupo a otro, y en el que el acoso puede continuar después de haber pagado, el pago no ofrece ninguna garantía, lo que hace aún más crucial la preparación previa.