ESET, compañía especializada en ciberseguridad, ha alertado de que el ransomware continúa siendo una de las amenazas más importantes para las empresas españolas. Según la firma, este tipo de ataques no solo mantiene su presencia, sino que evoluciona hacia estructuras criminales cada vez más profesionalizadas, sofisticadas y difíciles de detectar.
De acuerdo con el análisis realizado por la compañía sobre la actividad registrada en España durante los primeros meses de 2026 —teniendo en cuenta que muchas incidencias de ransomware nunca llegan a hacerse públicas—, el grupo Qilin ha sido el que mayor actividad ha dirigido contra organizaciones españolas en este periodo.
Qilin, surgido a finales de 2022, se ha convertido en uno de los principales representantes del modelo conocido como Ransomware-as-a-Service (RaaS), un sistema mediante el cual los desarrolladores del malware alquilan sus herramientas a otros ciberdelincuentes para ejecutar ataques tanto a nivel nacional como internacional.
En segundo lugar se sitúa The Gentlemen, un grupo que también opera bajo esquemas RaaS, aunque con una estrategia basada en ataques más selectivos y menos masivos. Su actividad en España experimentó un importante incremento durante el pasado mes de marzo, coincidiendo con la publicación de numerosas víctimas en su portal.
La tercera posición corresponde a Nightspire, una operación de ransomware más reciente que ha ido ganando relevancia desde su aparición en el primer trimestre de 2025 y que ya figura entre las amenazas más activas detectadas en el panorama español.
Ranking de grupos de ransomware con objetivos en España durante principios de 2026. Fuente: BreachHouse
“El ransomware ya no puede entenderse como un ataque aislado que aparece de repente en una empresa. Detrás hay una industria criminal con proveedores, afiliados, herramientas, mercados de credenciales y servicios especializados. Esa profesionalización es precisamente lo que hace que siga siendo una amenaza tan rentable y persistente”, señala Josep Albors, director de investigación y concienciación de ESET España.
Industria, marketing, construcción y logística, entre los sectores más afectados
El análisis sectorial de los ataques observados en España refleja que las empresas del sector industrial se sitúan entre las más afectadas. Les siguen organizaciones vinculadas al marketing y la comunicación, la construcción e inmobiliaria, la logística y el transporte y las tecnologías de la información.
En el caso español conviven dos grandes dinámicas. Por un lado, campañas masivas que suelen afectar a pymes y micropymes con defensas más limitadas. Por otro, ataques dirigidos contra compañías de mayor tamaño o sectores concretos, en los que los delincuentes dedican más tiempo a estudiar el entorno de la víctima y maximizar la presión.
En ambos casos, la estrategia de extorsión es similar. Los atacantes ya no se limitan a cifrar los archivos de una empresa, sino que antes suelen robar información sensible y amenazan con publicarla si la víctima no paga. Esta doble extorsión convierte el incidente en una crisis de continuidad de negocio, reputación, cumplimiento normativo y confianza con clientes y proveedores.
Los datos observados muestran, además, que enero fue uno de los meses con mayor número de casos detectados en España. Este comportamiento resulta especialmente significativo porque, tradicionalmente, los periodos con más festivos o menor actividad laboral pueden convertirse en ventanas de oportunidad para los ciberdelincuentes.
Durante estos días, muchas organizaciones operan con equipos reducidos, menor supervisión y más retrasos en la respuesta ante alertas. Esta circunstancia puede facilitar que los atacantes pasen más tiempo dentro de los sistemas sin ser detectados.
El ransomware funciona como un negocio, no como un ataque improvisado
ESET recuerda que el ransomware actual opera bajo una lógica muy similar a la de una industria. En este ecosistema participan desarrolladores de malware, operadores de plataformas, afiliados encargados de ejecutar ataques, brokers de acceso inicial que venden credenciales robadas y proveedores de herramientas diseñadas para evadir o desactivar soluciones de seguridad.
Este modelo reduce la barrera de entrada para los delincuentes. Cada participante solo necesita especializarse en una parte concreta de la cadena. Un actor puede vender accesos a redes corporativas sin ejecutar el ataque final. Otro puede alquilar una plataforma de ransomware. Otro puede adquirir herramientas para desactivar soluciones EDR o XDR. El resultado es un mercado criminal flexible, competitivo y con capacidad para adaptarse rápidamente.
Los datos globales de ESET apuntan en la misma dirección. Según su telemetría, las detecciones de ransomware aumentaron un 13% en la segunda mitad de 2025 frente al semestre anterior, después de haber crecido un 30% durante la primera mitad del año. A su vez, el informe DBIR 2025 de Verizon situó el ransomware en el 44% de las brechas analizadas, frente al 32% del periodo anterior, mientras que el pago mediano de rescates bajó de 150.000 a 115.000 dólares.
Para ESET, esta aparente reducción del rescate medio no implica una menor amenaza, sino un cambio de estrategia. Más objetivos, ataques más escalables y rescates más ajustados pueden convertir el ransomware en un negocio de volumen, especialmente orientado a organizaciones más pequeñas o con menor madurez en ciberseguridad.
Uno de los aspectos que más preocupa es el crecimiento del mercado de herramientas diseñadas específicamente para desactivar soluciones de seguridad. Los llamados EDR killers buscan inutilizar tecnologías de detección y respuesta en endpoints, precisamente las que resultan clave para identificar comportamientos sospechosos dentro de una red comprometida.
Una amenaza que exige prevención, detección y respuesta continua
ESET subraya que la protección frente al ransomware no puede basarse únicamente en cumplir requisitos mínimos o confiar en que no haya habido incidentes previos. La compañía recomienda adoptar una estrategia de seguridad que combine prevención, inteligencia de amenazas, detección de comportamientos anómalos, respuesta rápida y planes sólidos de recuperación.
Entre las medidas clave destacan mantener copias de seguridad actualizadas y desconectadas, aplicar parches de seguridad de forma continua, proteger los accesos remotos, activar la autenticación multifactor, monitorizar credenciales expuestas en mercados ilícitos, formar a los empleados frente a técnicas de ingeniería social y contar con soluciones capaces de detectar intentos de movimiento lateral, escalada de privilegios o desactivación de herramientas de seguridad.
