América Latina fue la región más golpeada por ransomware en 2025

América Latina cerró el 2025 como la región con mayor proporción de organizaciones afectadas por ransomware a nivel global. Kaspersky Security Network registró que 8.13% de las organizaciones de la región enfrentó ataques de este tipo, por encima de Asia Pacífico, con 7.89%; África, con 7.62%; Medio Oriente, con 7.27%; Rusia y la Comunidad de Estados Independientes, con 5.91%; y Europa, con 3.82%. La cifra coloca a la región en el primer lugar mundial de exposición, en un año en el que la proporción de organizaciones afectadas disminuyó frente a 2024 en todas las regiones analizadas.

El ransomware mantiene su capacidad de daño porque el modelo criminal se volvió más eficiente. Los ataques dependen cada vez más de accesos comprados, credenciales robadas, infraestructura remota vulnerable, herramientas para desactivar sistemas de defensa y mecanismos de presión basados en filtración de datos. Para las empresas mexicanas, el riesgo se concentra en las operaciones que dependen del correo corporativo, las aplicaciones administrativas, los sistemas de manufactura, los proveedores tecnológicos, los servicios en la nube y las redes de acceso remoto.

La presión sobre América Latina coincide con un entorno regional donde México aparece como uno de los mercados más expuestos a los ciberataques. Microsoft ubicó al país en el lugar 24 global por impacto de ciberactividad durante 2025 y como el segundo mercado más afectado de América Latina, con 2.8% de las amenazas digitales detectadas en la región, de acuerdo con el Microsoft Digital Defense Report 2025.

La exposición regional también se refleja en el volumen de actividad maliciosa contra México. El país registró 58.1 billones de intentos de ciberataques durante 2025 y 30 billones de escaneos activos, de acuerdo con el Reporte Global sobre el Panorama de Amenazas 2026 de FortiGuard Labs. El volumen colocó al mercado mexicano entre los tres más afectados de América Latina, junto con Brasil y Colombia, dentro de una región que acumuló 843.3 billones de intentos en el año. La cifra no corresponde únicamente a ransomware, aunque muestra el tamaño del ruido ofensivo sobre redes, servidores, aplicaciones y accesos corporativos donde después pueden formarse campañas de extorsión.

Datos bajo presión

Kaspersky identificó además un crecimiento de la extorsión sin cifrado, en la que los atacantes extraen información sensible y amenazan con publicarla. En ese modelo, las copias de respaldo reducen el riesgo de interrupción operativa, pero dejan sin resolver la exposición de datos personales, expedientes corporativos, contratos, información financiera, bases de clientes y propiedad intelectual.

La caída en los pagos de rescate refuerza ese cambio. Chainalysis estimó que los pagos en cadena a grupos de ransomware bajaron alrededor de 8% en 2025, hasta 820 millones de dólares, mientras los ataques reclamados por los grupos aumentaron 50 por ciento. La mediana de los pagos creció 368%, hasta casi 60,000 dólares, lo que muestra un mercado con más presión sobre víctimas específicas y menor conversión general de ataques en pagos.

Kaspersky también advierte que los operadores de ransomware incorporan herramientas conocidas como EDR killers, diseñadas para neutralizar soluciones de detección y respuesta en endpoints antes de ejecutar el malware. Los atacantes usan componentes confiables, como controladores firmados, bajo una técnica conocida como Bring Your Own Vulnerable Driver. El objetivo es degradar la visibilidad defensiva y avanzar dentro de la red con menor probabilidad de ser detectados.

El acceso inicial se volvió un mercado propio. Los initial access brokers venden accesos corporativos previamente comprometidos para que otros grupos ejecuten la intrusión, roben información o desplieguen ransomware. Kaspersky identifica a RDP, VPN y RDWeb como vectores principales de ese mercado. RDWeb, usado para acceder por navegador a escritorios y aplicaciones remotas, aparece como objetivo más frecuente conforme las empresas restringen la exposición directa de RDP a internet.

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos incluye el phishing como vector de acceso inicial en su guía StopRansomware y recomienda capacitación para identificar y reportar intentos de engaño. También ha documentado grupos que obtienen accesos mediante credenciales RDP comprometidas, VPN vulnerables o corredores de acceso inicial.

El mapa de grupos activos muestra un ecosistema fragmentado. Qilin fue el grupo con mayor proporción de víctimas reportadas en sitios de filtración durante 2025, con 10.98% del total. Le siguieron Clop, con 10.16%; Akira, con 9.87%; Play, con 5.17%; Safepay, con 4.86%; INC Ransom, con 4.66%; Lynx, con 3.24%; RansomHub, con 3.12%; DragonForce, con 2.73%; y Medusa, con 1.99%. Otros grupos concentraron 43.22%, lo que refleja la dispersión del mercado criminal.

Accesos y privilegios

La infraestructura empresarial también amplía el impacto potencial de un ataque. BeyondTrust registró 1,273 vulnerabilidades de Microsoft en 2025, 6% menos que en 2024, aunque las vulnerabilidades críticas se duplicaron, de 78 a 157. La categoría de elevación de privilegios concentró 40% del total, con 509 fallas. Ese tipo de vulnerabilidad es relevante para el ransomware porque permite pasar de un acceso inicial limitado a privilegios más amplios dentro de servidores, estaciones de trabajo, identidades y aplicaciones corporativas.

La superficie de Microsoft es relevante para México por su presencia en correo, documentos, servidores, directorios, nube, colaboración y sistemas administrativos. Windows Server acumuló 780 vulnerabilidades en 2025, con 50 críticas; Microsoft Office registró 157 vulnerabilidades, más de tres veces las observadas en 2024; Azure y Dynamics 365 tuvieron 69 vulnerabilidades totales y sus fallas críticas aumentaron de 4 a 37.

Microsoft reportó además que 97% de los ataques de identidad fueron password spray, una técnica que prueba contraseñas comunes contra muchas cuentas para evadir bloqueos inmediatos. La compañía advirtió que los atacantes están apuntando a identidades de carga de trabajo, como aplicaciones, servicios y scripts que acceden a recursos en la nube, porque suelen operar con privilegios elevados y controles más débiles.

Para las empresas de la región, el ransomware funciona como un riesgo de continuidad, cumplimiento y gobierno de datos. El costo aparece en la interrupción de operaciones, la recuperación de sistemas, la exposición de información, la negociación con atacantes, la comunicación con clientes, las investigaciones forenses y la revisión de controles internos. Kaspersky y VDC Research estimaron que, sólo en manufactura, el ransomware pudo haber causado más de 18,000 millones de dólares en pérdidas durante los primeros tres trimestres del año.

rodrigo.riquelme@eleconomista.mx