El ransomware sigue siendo una de las amenazas más persistentes y dañinas del panorama cibernético actual. Así lo refleja el informe “Estado del ransomware 2025” elaborado por Delinea, que ofrece una radiografía detallada del impacto de estos ataques en organizaciones de todo el mundo y alerta sobre la creciente sofisticación de las tácticas utilizadas por los delincuentes, impulsadas por inteligencia artificial.
El 69 % de las organizaciones encuestadas fue víctima de al menos una vulneración por ransomware en el último año, y más de una cuarta parte sufrió múltiples ataques. A pesar de que el porcentaje de empresas que optan por pagar el rescate se ha reducido al 57 %, el impacto operativo es enorme: el 75 % de las víctimas tarda hasta dos semanas en recuperar su actividad y solo el 18 % logra restablecerse en menos de 24 horas.
En la mayoría de los casos, el ransomware no solo cifra datos, sino que se acompaña de estrategias de doble extorsión, donde los atacantes roban información confidencial y amenazan con publicarla o venderla. Según el informe, el 60 % de los incidentes con ransomware en 2024 implicaron el robo de datos, lo que reduce la utilidad de las copias de seguridad como única medida de mitigación.
La IA como arma de doble filo
El informe pone el foco en el papel clave de la inteligencia artificial, tanto para los atacantes como para los defensores. Los grupos de ransomware están adoptando GenAI para crear malware, suplantar identidades en campañas de phishing con voz y vídeo, y generar sitios falsos altamente realistas. Delinea advierte que estos avances reducen las barreras de entrada para atacantes poco sofisticados, pero también permiten ataques más dirigidos y automatizados.
A su vez, el 90 % de los equipos de seguridad ya utiliza IA en sus operaciones, especialmente en centros SOC para clasificar alertas, analizar indicadores de compromiso (IoC) o detectar intentos de phishing. La IA también se aplica cada vez más en herramientas de gestión de identidades y accesos (IAM/PAM) para automatizar la asignación de privilegios o auditar sesiones en busca de comportamientos anómalos.
Los sectores de tecnología, manufactura y sanidad fueron los más atacados, según Delinea Labs. En el ámbito sanitario, donde los sistemas no pueden permitirse interrupciones, los ataques tienen consecuencias especialmente graves: desde el robo de historiales médicos hasta el aplazamiento de procedimientos quirúrgicos. Un ejemplo citado en el informe fue el ciberataque a Synnovis en Reino Unido, que dejó secuelas operativas durante más de tres meses.
Las buenas prácticas aún no calan
A pesar de la creciente conciencia, sólo un 34 % de las organizaciones aplica el principio de mínimo privilegio, una medida clave para frenar la escalada de privilegios de los atacantes. Las tácticas tradicionales como mantener copias de seguridad, actualizar sistemas o aplicar políticas de contraseñas, aunque necesarias, no están siendo suficientes por sí solas para contener el fenómeno.
El informe recuerda que el ransomware como servicio (RaaS) y el auge de los initial access brokers han democratizado el delito y ampliado el mercado negro de credenciales privilegiadas. El acceso a servicios preempaquetados permite que actores sin grandes conocimientos técnicos lancen ataques cada vez más efectivos.
Asegurando que la superficie de ataque no ha dejado de crecer con el trabajo híbrido, los entornos multicloud y el IoT, y que “los atacantes lo saben y están un paso por delante si no actualizamos nuestras defensas”, la conclusión de Delinea es clara: es necesario pasar de una postura reactiva a una estrategia preventiva, donde la seguridad de la identidad, la segmentación de accesos y la aplicación del modelo de confianza cero sean prioridades.
