La forma en que operan los ciberdelincuentes está cambiando de manera notable. Aunque el ransomware sigue presente, cada vez es más habitual que los atacantes prescindan del cifrado de sistemas y opten directamente por robar información sensible y amenazar con hacerla pública para presionar a las organizaciones.
Así lo confirma un estudio reciente de Unit 42, el equipo de inteligencia de amenazas de Palo Alto Networks, que detecta un giro relevante en el panorama global de ciberseguridad. Según el informe Global Incident Response Report 2026, en 2025 los incidentes de extorsión que incluyeron cifrado descendieron al 78%, frente a cifras superiores al 90% registradas en los cuatro años anteriores.
Entre los grupos que lideran esta transición figuran Bling Libra (ShinyHunters), con foco en plataformas SaaS, y Hazy Scorpius (CLOP), que ha explotado vulnerabilidades como la de Oracle EBS, priorizando el robo de datos frente al secuestro de sistemas.
La exfiltración gana terreno impulsada por la IA
La inteligencia artificial está acelerando este cambio, facilitando la detección de vulnerabilidades, la automatización de campañas y la reducción del tiempo necesario para extraer información. Según Unit 42, los atacantes pueden completar el robo de datos en apenas 72 minutos desde el acceso inicial.
La caída del ransomware basado en cifrado responde a varios factores. Por un lado, las organizaciones han mejorado notablemente sus capacidades de copia de seguridad y recuperación, reduciendo la eficacia de estos ataques. También influye la mayor madurez de las soluciones de seguridad en endpoints y la automatización de la respuesta ante incidentes.
A ello se suma un elemento clave: la presión regulatoria. Las multas, las demandas y el impacto reputacional han convertido la filtración de datos en un mecanismo de extorsión más potente que la simple interrupción operativa.
Sectores más afectados y aumento del impacto económico
En 2025, las campañas centradas exclusivamente en la exfiltración de datos se dirigieron principalmente a empresas de servicios profesionales, sanidad y consumo, con especial incidencia en compañías medianas, que representaron el 64% de las víctimas.
Aunque la industria manufacturera continúa siendo la más afectada en términos globales, el sector de la construcción registró un crecimiento del 44% en este tipo de ataques. El atractivo radica en el valor de su información financiera, documentos de licitación y otros datos sensibles.
El impacto económico de estos incidentes sigue al alza. El coste medio supera los cinco millones de dólares, pudiendo rebasar los 10 millones en casos de brechas de gran escala.
Ante esta evolución, los expertos recomiendan reforzar la protección del dato, mejorar la detección de filtraciones, revisar accesos a aplicaciones SaaS e implementar autenticación resistente al phishing, además de agilizar la respuesta ante incidentes.
La convergencia entre extorsión digital, regulación e inteligencia artificial definirá el futuro de la ciberamenaza, obligando a las organizaciones a replantear sus estrategias de seguridad más allá del ransomware tradicional.
