En marzo de 2024, un afiliado del grupo de ransomware BlackCat tomó un foro de cibercriminales para expresar su descontento. Habían perpetrado un ataque contra Change Healthcare, uno de los mayores casos de filtración de datos en la historia de Estados Unidos, pero nunca recibieron su parte del pago de un rescate de 22 millones de dólares. Los operadores de BlackCat se habían llevado el dinero y desaparecido, dejando atrás un aviso falso de confiscación del FBI en su sitio de filtración como una forma de cubrir su huida.
La queja se asemeja a una disputa entre contratistas. Si se eliminara el elemento criminal, lo que queda es un esquema que cualquier ejecutivo empresarial podría reconocer: arreglos comerciales que incluyen cadenas de suministro, precios, competencia y clientes que esperan recibir lo que pagaron. El ransomware actual opera bajo esta lógica.
Desde una perspectiva externa, los ataques parecen una simple intrusión con una nota de rescate: alguien accede, bloquea y roba archivos críticos, deja una demanda cruda y espera su recompensa. Sin embargo, esto es una simplificación incompleta de un fenómeno complejo. Si una organización ve un incidente de ransomware solo como una irrupción aleatoria, sus defensas podrían estar mal diseñadas. A menudo, mucho de lo que hace que un ataque sea posible y exitoso ocurre lejos de la vista.
Detrás del «escaparate» del ransomware se esconde una especie de operación de franquicia, con mercados de trabajo y herramientas, servicios de suscripción, proveedores y acuerdos de nivel de servicio. Esta estructura facilita la intrusión antes de que llegue la nota de rescate. Los participantes del ecosistema del ransomware solo necesitan ser competentes en su función específica. Por ejemplo, el desarrollador de la plataforma de ransomware no interviene en el entorno de la víctima para obtener sus recompensas; el afiliado simplemente paga una cuota por acceso utilizando credenciales que no recolectó.
Este enfoque ha permitido que el ransomware se expanda de forma similar a la lógica de una franquicia, dividiendo la responsabilidad entre los participantes. ESET, una empresa de ciberseguridad, ha reportado un aumento del 13% en los incidentes de ransomware en la segunda mitad de 2025 en comparación con los seis meses anteriores, tras un incremento del 30% en la primera mitad de ese mismo año. Además, el informe de investigaciones de violaciones de datos de Verizon de 2025 indica que la participación de las violaciones relacionadas con ransomware pasó del 32% al 44%.
El funcionamiento del ransomware a gran escala se puede observar en la competencia entre grupos hackers. Sin embargo, las fuerzas del orden han aumentado sus esfuerzos para interrumpir estas operaciones. A pesar de sus esfuerzos, la eliminación de un grupo ransomware no detiene el mercado; al revés, provoca un cambio en la competencia. Cuando grupos como LockBit y BlackCat fueron interrumpidos en 2024, sus afiliados se trasladaron principalmente a RansomHub.
En el panorama actual, los ataques de ransomware han evolucionado de simples exigencias de rescate a técnicas más sofisticadas de doble extorsión, donde los atacantes roban datos de las empresas antes de cifrarlos. La rápida adaptación de las estrategias de los atacantes se asemeja a la competencia biológica, donde cada parte debe adaptarse para mantenerse a flote.
Las herramientas de detección y respuesta han mejorado, lo que ha llevado a la creación de un mercado clandestino para herramientas diseñadas para deshabilitarlas, con los delincuentes buscando constantemente maneras de eludir las defensas. Este comportamiento refleja la llamada «Carrera de la Reina Roja», donde los atacantes y defensores se ven obligados a evolucionar continuamente.
Un cambio significativo en el cibercrimen es la accesibilidad que ofrecen herramientas como la inteligencia artificial, facilitando a los nuevos entrantes unirse al mercado. La elaboración de malwares se ha vuelto tan accesible que los límites ahora se centran en la intención, más que en habilidades técnicas complejas.
Para las organizaciones, es crucial no solo ver el ransomware como un ataque aislado, sino como una industria en constante cambio. Comprender cómo evolucionan las dinámicas entre las herramientas de defensa y los anti-herramientas es fundamental. Las empresas deben preguntarse sobre su capacidad para resistir ataques de técnicas emergentes y los actores de ransomware que buscan su sector. La actualización continua del mapeo del panorama de amenazas es vital para anticipar posibles intrusiones y fortalecer las defensas.
Fuente: WeLiveSecurity by eSet.
