La ingeniería social impulsa un nuevo repunte del ransomware
- Endpoint
Los grupos de ransomware Scattered Spider, Silent Ransom y Shiny Hunters dominaron el trimestre, utilizando tácticas novedosas de suplantación de identidad dirigida al soporte técnico, empleados y proveedores externos. Los pagos por secuestro alcanzaron máximos históricos.
Coveware by Veeam ha publicado el informe de ransomware del segundo trimestre de 2025, destacando una escalada drástica en ataques dirigidos mediante ingeniería social y un aumento en los pagos de rescates impulsado por sofisticadas tácticas de exfiltración de datos.
Tres grupos importantes de ransomware, Scattered Spider, Silent Ransom y Shiny Hunters, dominaron el trimestre, empleando ingeniería social dirigida a infiltrarse en organizaciones de múltiples sectores. Estos grupos abandonaron los ataques masivos para realizar golpes de mayor precisión, utilizando tácticas novedosas de suplantación de identidad dirigida al soporte técnico, empleados y proveedores externos.
Tanto el pago medio como el pago promedio por rescate se dispararon a 1,13 millones de dólares (un 104% más respecto al primer trimestre) y 400.000 dólares (un aumento del 100%), respectivamente. Este incremento se atribuye a que organizaciones más grandes están pagando rescates incluso en incidentes donde solo se ha producido exfiltración de datos, mientras que la proporción total de organizaciones que pagan rescates se mantuvo estable en un 26%.
La exfiltración estuvo presente en el 74% de todos los casos, con muchas campañas que ahora priorizan el robo de datos sobre el cifrado tradicional. Las tácticas de multi-extorsión y las amenazas prolongadas van en aumento, manteniendo a las organizaciones en la mira después de la brecha inicial.
Los sectores más castigados han sido los servicios profesionales (19,7%), salud (13,7%) y los servicios al consumidor (13,7%). Las empresas medianas representaron el 64% de las víctimas, idóneas para los atacantes que buscan equilibrio entre el potencial de pago y unas defensas menos desarrolladas.
Nuevas técnicas y actores de amenazas
Las técnicas de ataque evolucionan, pero el factor humano sigue siendo la mayor vulnerabilidad. El compromiso de credenciales, el phishing y la explotación de servicios remotos siguen siendo las vías principales de acceso, con atacantes que eluden cada vez más los controles técnicos mediante ingeniería social. Estos grupos explotan regularmente vulnerabilidades en plataformas ampliamente utilizadas (Ivanti, Fortinet, VMware), y aumentan los ataques de “lobos solitarios”, extorsionistas experimentados que usan herramientas genéricas y sin identificar.
Las variantes de ransomware más destacadas del trimestre fueron Akira (19 %), Qilin (13 %) y Lone Wolf (9 %), mientras que Silent Ransom y Shiny Hunters entraron en el top cinco por primera vez.
“El segundo trimestre de 2025 marca un punto de inflexión en el panorama del ransomware, con la ingeniería social dirigida y la exfiltración de datos consolidándose como los métodos predominantes,” asegura Bill Siegel, CEO de Coveware by Veeam. “Los atacantes ya no solo buscan copias de seguridad: apuntan a los empleados, los procesos y la reputación de los datos. Las organizaciones deben priorizar la formación de sus empleados, reforzar los controles de identidad y tratar la exfiltración de datos como un riesgo urgente, y no como algo secundario.”
