Pagos de Ransomware 2025: Menos dinero, pero más ataques – Una paradoja de la ciberdelincuencia

El balance de los pagos en cadena por ransomware en 2025 revela una paradoja fascinante: mientras las sumas pagadas a los ciberdelincuentes disminuyen, la industria registra un aumento sin precedentes en la cantidad de ataques. Según un nuevo análisis de Chainalysis, los pagos en cadena por ransomware en el año pasado alcanzaron los 820 millones de dólares, un descenso del 8 por ciento respecto a los aproximadamente 892 millones de dólares en 2024.

Este desarrollo muestra una tendencia significativa: tras el máximo histórico de 1,23 mil millones de dólares en 2023, los pagos de rescate por ransomware caen por segundo año consecutivo. Pero esta buena noticia solo es la mitad de la historia. Los mecanismos subyacentes son mucho más complejos y plantean nuevas preguntas sobre el futuro de la ciberdelincuencia.

La caída en los pagos: por qué en 2025 los pagos en cadena por rescates disminuyeron

La reducción en los pagos no se debió a ataques menos exitosos, sino a una reestructuración fundamental del mercado de ransomware. La descentralización de las redes de ciberdelincuentes jugó un papel central. Mientras en años anteriores dominaban variantes de ransomware como REvil o DarkSide, ahora surgen numerosos grupos pequeños e independientes.

Esta fragmentación tiene dos efectos: primero, dificulta notablemente el rastreo de los flujos de pago. A los analistas de blockchain les resulta cada vez más difícil vincular transacciones específicas a operaciones de ransomware. Segundo, la proliferación de grupos más pequeños conduce a una estancación en los ingresos totales, como una consecuencia indirecta de las medidas reforzadas contra las redes de ransomware por parte de las autoridades en todo el mundo.

Curiosamente, sin embargo, si se analiza la media del rescate pagado, la situación es diferente. Aunque menos víctimas pagaron, el monto promedio aumentó un 368 por ciento: de 12.738 dólares en 2024 a 59.556 dólares en 2025. Esto indica que quienes pagaron enfrentaron demandas de rescate mucho más altas.

Número de ataques en récord: el otro lado de la tendencia del ransomware

El fenómeno paradójico se hace más evidente al observar las estadísticas de los ataques en sí. Las víctimas reportadas de ransomware en 2025 aumentaron un 50 por ciento respecto al año anterior, alcanzando un récord en la historia documentada del ransomware. A pesar de la disminución en los pagos, 2025 fue el año con más víctimas registradas.

Este aumento llevó a otra estadística notable: el rescate promedio en relación con las víctimas alcanzó un mínimo histórico del 28 por ciento. En otras palabras, la tasa de ataques creció dramáticamente, mientras que la tasa de éxito en el pago disminuyó. Los expertos atribuyen esto a la naturaleza cada vez más oportunista de las campañas modernas de ransomware.

Es importante señalar que los pagos totales finales podrían llegar hasta los 900 millones de dólares, una vez que se puedan vincular más casos mediante análisis de blockchain. Incluso con este margen, la diferencia entre 2024 y 2025 es mínima, lo que sugiere una fase de estancamiento en el negocio del ransomware, paradójicamente en medio de un crecimiento explosivo en la cantidad de ataques.

Cambio de estrategia de los ciberdelincuentes: de grandes corporaciones a empresas medianas

Uno de los cambios más significativos en el panorama del ransomware es el cambio en el objetivo de los atacantes. El análisis muestra que los ciberdelincuentes se están enfocando cada vez más en organizaciones pequeñas y medianas, en lugar de concentrarse en grandes empresas. Esta estrategia se basa en una lógica sencilla pero efectiva: las víctimas menores están estadísticamente más dispuestas a pagar los rescates exigidos.

Este cambio explica en parte el aumento en el número de ataques, a pesar de que los beneficios totales son menores. Los ataques a gran escala y espectaculares contra empresas Fortune 500 son menos frecuentes y menos rentables, ya que estas organizaciones están mejor protegidas y, gracias a sus recursos y seguros, menos propensas a pagar.

Geográficamente, Estados Unidos sigue siendo la región más afectada, seguida de Canadá, Alemania y el Reino Unido. Los objetivos más comunes en estas jurisdicciones son empresas manufactureras y proveedores de servicios financieros. Sin embargo, los actores de ransomware operan de manera altamente oportunista: eligen sus objetivos no tanto por sector, sino por servicios expuestos, configuraciones incorrectas y vulnerabilidades recién descubiertas.

A pesar de ello, en 2025 ocurrieron varios casos espectaculares que demuestran que las operaciones a gran escala no han desaparecido. El ataque a Jaguar Land Rover causó daños económicos estimados en 2,5 mil millones de dólares y es uno de los incidentes más costosos. Otro ataque del grupo Scattered-Spider paralizó la cadena minorista británica Marks & Spencer, generando pérdidas millonarias. Estos casos muestran que los principales grupos de ransomware aún son capaces de realizar operaciones a gran escala y altamente rentables.

El futuro de la amenaza del ransomware probablemente seguirá desarrollándose en esta línea: un mercado dominado por grupos descentralizados y pequeños, que apuestan a la masa en lugar de grandes proyectos, interrumpido por ataques raros pero devastadores de bandas especializadas en ciberdelincuencia.