Conclusiones clave:

  • 85 grupos activos de ransomware y extorsión observado en el tercer trimestre de 2025, lo que refleja el ecosistema de ransomware más descentralizado hasta la fecha.
  • 1,590 víctimas reveladas en 85 sitios de filtraciones, mostrando una actividad alta y sostenida a pesar de la presión de las fuerzas del orden.
  • 14 nuevas marcas de ransomware lanzado este trimestre, lo que demuestra la rapidez con la que las filiales se reconstituyen tras las retiradas.
  • La reaparición de LockBit con la versión 5.0 señala una posible recentralización tras meses de fragmentación.

En el tercer trimestre de 2025, Check Point Research registró un récord de 85 grupos activos de ransomware y extorsión , la más alta jamás observada. Lo que antes era un mercado concentrado dominado por unos pocos gigantes del ransomware como servicio (RaaS) se ha dividido en docenas de operaciones más pequeñas y de corta duración.

Esta proliferación de sitios de fugas representa un cambio estructural fundamental. Las mismas presiones en materia de cumplimiento de la ley y del mercado que perturbaron a los grandes grupos de RaaS han alimentado una oleada de actores oportunistas y descentralizados, muchos de ellos dirigidos por antiguas filiales que ahora operan de forma independiente.

Lea el informe completo sobre ransomware del tercer trimestre de 2025

Un récord de 85 grupos activos

En más de 85 sitios de filtraciones monitoreados, los operadores de ransomware publicaron:

  • 1.592 nuevas víctimas en el tercer trimestre de 2025.
  • Un promedio de 535 divulgaciones por mes.
  • Un cambio de poder importante: los diez grupos principales representaron solo el 56% de las víctimas, frente al 71% de principios de este año.

Los actores más pequeños ahora registran menos de diez víctimas cada uno, lo que refleja un aumento de las operaciones independientes fuera de las jerarquías tradicionales de la RaaS. Muchos surgieron del colapso de RansomHub, 8Base y BianLian. Catorce nuevos grupos comenzaron a publicar solo en el tercer trimestre, con lo que el total de 2025 asciende a 45.

La fragmentación a este nivel erosiona la previsibilidad, que alguna vez fue una ventaja para los profesionales de la ciberseguridad. Cuando dominaban las grandes marcas de RaaS, los equipos de seguridad podían hacer un seguimiento del comportamiento de los afiliados y de la reutilización de la infraestructura. Ahora, docenas de sitios de filtraciones efímeras hacen que la atribución sea efímera y que la inteligencia basada en la reputación sea mucho menos confiable.

Porcentaje del total de víctimas según los 10 principales grupos de ransomware, primer trimestre de 2025

Lea el informe completo sobre ransomware del tercer trimestre de 2025.

El impacto limitado de la aplicación de la ley

Varios ataques de alto perfil realizados este año contra grupos como RansomHub y 8Base no han reducido significativamente el volumen de ransomware. Los afiliados desplazados por estas operaciones simplemente migran o cambian de marca.

El problema es estructural. Las iniciativas de aplicación de la ley suelen desmantelar la infraestructura o apoderarse de los dominios, no de las filiales que ejecutan los ataques. Cuando una plataforma cae, esos operadores se dispersan y se reagrupan en cuestión de días. El resultado es un ecosistema más amplio y resiliente que refleja las comunidades financieras descentralizadas o de código abierto más que una jerarquía criminal tradicional.

Esta difusión también socava la credibilidad del mercado del ransomware. Las tripulaciones más pequeñas y efímeras no tienen ningún incentivo para cumplir los acuerdos de rescate o proporcionar claves de descifrado. Las tasas de pago, que se estiman entre el 25 y el 40 por ciento, siguen disminuyendo a medida que las víctimas pierden la confianza en las promesas de los atacantes.

El regreso y la recentralización de LockBit

En septiembre de 2025, LockBit 5.0 marcó el regreso de una de las marcas más duraderas de la ciberdelincuencia.

Su administrador, LockBitSupp, había anticipado su regreso durante meses tras el derribo de 2024 en el marco de la Operación Cronos. La nueva versión ofrece:

  • Variantes actualizadas de Windows, Linux y ESXi.
  • Cifrado más rápido y evasión mejorada.
  • Portales de negociación únicos por víctima.

Al menos una docena de víctimas fueron golpeadas en el primer mes. La campaña demuestra una renovada madurez técnica y confianza de los afiliados.

Para los atacantes, unirse a una marca reconocible como LockBit aporta algo que las tripulaciones más pequeñas no pueden ofrecer: reputación. Es más probable que las víctimas paguen cuando creen que van a recibir las claves de descifrado, confianza que mantienen cuidadosamente los grandes programas de RaaS.

Si LockBit logra atraer a los afiliados que buscan estructura y credibilidad, podría recentralizar una parte importante de la economía del ransomware. La centralización tiene un doble efecto. Facilita el seguimiento, pero aumenta la escala potencial de los ataques coordinados.

Nota de rescate de LockBit 5.0 por un ataque

DragonForce y el rendimiento de la potencia

Fuerza del dragón ilustra otra estrategia de supervivencia: la visibilidad a través de la marca. En septiembre, el grupo reivindicó públicamente la existencia de coaliciones con LockBit y Qilin en foros clandestinos. No se ha verificado ninguna infraestructura compartida y las alianzas parecen más simbólicas que operativas.

Sin embargo, estas medidas ponen de relieve la evolución del ransomware hacia un marketing de estilo corporativo. DragonForce se promociona con:

  • Anuncios de asociaciones de afiliados.
  • Servicios de auditoría de datos para analizar los datos robados y mejorar el apalancamiento de la extorsión.
  • Relaciones públicas dirigidas a proyectar fortaleza y confiabilidad.

Los mensajes del grupo reflejan un mercado competitivo en el que la imagen y la credibilidad son tan valiosas como la velocidad de cifrado.

Ejemplo de auditoría de DragonForce

Tendencias geográficas e industriales

Las metas globales para el tercer trimestre de 2025 reflejaron en gran medida las de los trimestres anteriores, pero con cambios regionales y sectoriales distintos.

  • Los Estados Unidos representaron aproximadamente la mitad de todas las víctimas denunciadas y siguieron siendo el objetivo principal de los actores con motivaciones financieras.
  • Corea del Sur entró en el top ten mundial por primera vez, casi en su totalidad debido a la campaña centrada de Qilin contra las firmas financieras.
  • Europa se mantuvo muy activa, y Alemania y el Reino Unido fueron objeto de una presión sostenida por parte de Safepay e INC Ransom.

Lea el informe completo sobre ransomware del tercer trimestre de 2025

Desde el punto de vista industrial:

  • Fabricación y servicios empresariales cada uno representó alrededor del 10 por ciento de los casos registrados.
  • Asistencia sanitaria se mantuvo estable en un 8 por ciento, aunque algunos grupos, como Play, evitan el sector para reducir el escrutinio.

Estos cambios muestran cómo el ransomware se guía más por la lógica empresarial que por la ideología. Los actores buscan sectores y regiones con datos de alto valor y baja tolerancia al tiempo de inactividad.

El camino por delante

El tercer trimestre de 2025 confirma la resiliencia estructural del ransomware. La aplicación de la ley y la presión del mercado ya no reducen el volumen global, sino que simplemente modifican el panorama. Cada desmantelamiento dispersa a los actores que rápidamente resurgen con nuevos nombres o se unen a colectivos emergentes.

El regreso de LockBit añade otro nivel de complejidad, lo que plantea la cuestión de si el ransomware está entrando en un nuevo ciclo de consolidación. Si LockBit restablece su dominio, puede recuperar cierta previsibilidad, pero también volver a activar campañas coordinadas y a gran escala que no puedan ejecutar equipos más pequeños.

Para los profesionales de la ciberseguridad, la conclusión es clara. El seguimiento de las marcas ya no es suficiente. Los analistas deben monitorear movilidad de afiliados , superposición de infraestructuras , y incentivos económicos — las fuerzas subyacentes que sustentan el ransomware incluso cuando sus rostros se fragmentan.

🔗 Lea el informe completo sobre ransomware del tercer trimestre de 2025 →

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.