El nuevo informe de Google Threat Intelligence Group (GTIG), elaborado a partir de la experiencia directa de los equipos de respuesta a incidentes de Mandiant Consulting, dibuja un panorama que rompe con la idea de que más ataques equivalen automáticamente a más beneficios para los delincuentes. Según el análisis, 2025 registró una cifra récord de víctimas publicadas en sitios de filtración de datos, pero, aun así, la rentabilidad global del ransomware parece haber disminuido.
La explicación apunta a varios factores. Por un lado, las organizaciones han mejorado sus prácticas de ciberseguridad y su capacidad de recuperación. Por otro, pagar un rescate ya no garantiza que el problema desaparezca ni que los datos robados no terminen igualmente expuestos. Ese contexto está obligando a los grupos criminales a reajustar sus estrategias.
Más presión sobre pequeñas empresas y más peso del robo de datos
Uno de los cambios más relevantes detectados por GTIG es el desplazamiento del foco. Si las grandes corporaciones se han vuelto objetivos más complejos, los atacantes están optando ahora por golpear en mayor volumen a organizaciones más pequeñas, donde las defensas suelen ser menos robustas y la capacidad de respuesta, más limitada.
A esto se suma otra tendencia de fondo: el auge de la extorsión basada en el robo de datos. El informe señala que el 77% de las intrusiones analizadas en 2025 incluyeron exfiltración de información, frente al 57% registrado en 2024. El dato sugiere que los ciberdelincuentes consideran cada vez más fiable amenazar con publicar documentación sensible que depender exclusivamente del cifrado de sistemas para forzar el pago.
Nuevas tácticas de entrada y cambios en las herramientas
El estudio también identifica una evolución clara en las tácticas de ataque. Frente al uso más intensivo de fuerza bruta y credenciales robadas que se observó el año anterior, en 2025 los actores de ransomware recurrieron con más frecuencia a la explotación de vulnerabilidades en infraestructuras expuestas como vía de acceso inicial.
En paralelo, se mantiene el uso intensivo de herramientas legítimas y utilidades públicas, una práctica que dificulta la detección al camuflar la actividad maliciosa entre procesos aparentemente normales. No obstante, GTIG aprecia una caída en algunas categorías concretas, como ciertas herramientas de gestión remota y marcos de postexplotación como CobaltStrike. Entre las familias más activas, destaca REDBIKE, presente en casi el 30% de los casos atendidos por Mandiant.
En conjunto, el informe deja una conclusión clara: el ransomware no se está debilitando, sino adaptando. Ya no depende sólo de bloquear sistemas, sino de explotar vulnerabilidades, robar información y presionar con mayor rapidez a víctimas más expuestas. Esa mutación obliga a mirar más allá del rescate y a reforzar no sólo la protección, sino también la capacidad de detección y respuesta.
