Los grupos de ransomware

En 2025, el panorama de los ransomwares sigue siendo uno de los vectores de amenaza más dinámicos y destructivos en el mundo de la ciberseguridad. A medida que los ataques aumentan en frecuencia y sofisticación, las organizaciones no solo deben reforzar sus defensas, sino también comprender las tácticas y motivaciones de los grupos maliciosos detrás de estas operaciones de extorsión digital. El número de grupos activos se estima actualmente en más de 85 actores distintos.

Top 20 de los grupos que encontramos con mayor frecuencia en 2025

Qilin

Akira

Sinobi

Incransom

Safepay

Lockbit5

Dragonforce

Play

Devman

Coinbasecartel

Everest

Nova

Rhysida

Handala

Thegentlemen

Lynx

Nightspire

Ransomhouse

Blackshrantac

Anubis

Tendencias generales y comportamientos diferenciados

Cifrado y tecnologías

Muchos grupos modernos utilizan ransomware escrito en Rust o Go, lo que les permite operar en diversas plataformas e infraestructuras complejas.

Demandas de rescate

Mientras que algunos grupos exigen rescates de varios millones de dólares, otros ajustan sus demandas en función del tamaño, el sector y la criticidad de los datos objetivo. ThreatDown by Malwarebytes Operaciones sofisticadas como las de Qilin o Cl0p tienden a dirigirse a organizaciones con presupuestos elevados, lo que justifica demandas de rescate más altas.

Estilos de negociación

La publicación acelerada de datos robados se ha convertido en una táctica habitual para aumentar la presión sobre las víctimas. Algunos grupos también facilitan la negociación mediante portales automatizados o a través de afiliados especializados en la negociación de rescates.

¡No pague el rescate!

Por lo general, no se recomienda pagar un rescate a grupos de ransomware por varias razones importantes:

No hay garantía de recuperación de los datos Pagar no garantiza que los ciberdelincuentes proporcionen la clave de descifrado ni que esta funcione correctamente. Muchas víctimas pagan… y no recuperan nada o solo parte de los datos.
Fomento de la actividad criminal El pago financia directamente a los grupos criminales, permitiéndoles mejorar sus herramientas y lanzar nuevos ataques contra otras víctimas.
Riesgo de nuevos ataques Una organización que paga suele ser identificada como un “buen objetivo” y puede ser atacada nuevamente, a veces incluso por el mismo grupo.
Exposición legal y regulatoria En algunos países, pagar un rescate puede infringir la ley (por ejemplo, si el grupo está vinculado a entidades sancionadas), exponiendo a la víctima a sanciones.
Filtración o reventa de los datos a pesar del pago Incluso si los datos se descifran, nada impide a los atacantes conservar, revender o publicar la información robada.
Deterioro de la reputación El pago puede dañar la imagen de la empresa o institución, especialmente si el incidente se hace público.
A menudo existen alternativas

- Restaurar a partir de copias de seguridad

- Utilizar herramientas de descifrado gratuitas (para algunas variantes conocidas), aunque suelen estar obsoletas
- Recurrir a nuestros expertos si sus backups están cifrados o eliminados

Podemos ayudarle independientemente del grupo que haya cifrado sus datos.

Expertos de primer nivel a su disposición las 24 horas del día, los 7 días de la semana y los 365 días del año. Si sospecha una pérdida de datos o una intrusión en la red, o si busca formas de probar y mejorar su ciberseguridad, nuestro equipo puede ayudarle.