Los grupos de ransomware priorizan objetivos con alta dependencia operativa y capacidad de pago

En la última década, el ransomware ha pasado de ser un ataque masivo y oportunista a convertirse en un negocio criminal de precisión. Esta nueva corriente, conocida como “ransomware premium”, se dirige a organizaciones críticas cuyas operaciones no pueden detenerse sin generar pérdidas millonarias e incluso repercutir en vidas humanas. Un análisis reciente de Palo Alto Networks advierte que, aunque el volumen total de ataques aparente estabilidad, en realidad, la estrategia criminal ha mutado, dirigiéndose hacia menos víctimas pero más rentables para los cibercriminales, a través de intrusiones selectivas, silenciosas y prolongadas.

Entre los ejemplos que evidencian esta deriva hacia la profesionalización y personalización del ransomware figura el ciberataque con extorsión de 10 millones de euros sufrido el Ayuntamiento de Mallorca en 2024, o el que en 2021 afecto al oleoducto Colonial Pipeline de EE.UU. y que paralizó los suministros de combustible de la costa este de Estados Unidos. En estos casos, el coste del tiempo de inactividad y la sensibilidad de datos, sumado a la intimidación por parte de las organizaciones, amplificaron el impacto.

 

Ransomware más selectivo y apoyado en IA e ingeniería social

Un artículo reciente de Unit 42, ya alertaba de que los atacantes suelen comenzar con ingeniería social, vector inicial en el 36% de los incidentes, para dirigirse a cuentas privilegiadas (66%) y maximizar la exfiltración (60%). Movidos mayoritariamente por la ganancia económica (93%), son adversarios pacientes y creativos que combinan diferentes técnicas para pausar, refinar la intrusión y aumentar así el impacto y la rentabilidad.

Esta nueva ofensiva busca una victimología ofensiva, prioriza en aquellas organizaciones que dispongan de información sensible, alta dependencia operativa, exigencias regulatorias y, sobre todo, de recursos para afrontar un rescate elevado. En este contexto, sectores como salud, logística y transporte, manufactura y los servicios esenciales se sitúan en el foco principal de los ciberdelincuentes, ya que cualquier irrupción de sus operaciones puede generar una crisis a niveles escalables.

La nueva ola de ransomwre está marcada por la profesionalización a través de grupos organizados como Spoiled Scorpius (RansomHub) y Howling (Akira) quienes operan con roles especializados y adoptan modelos de ransomware-as-a-service (RaaS) que sistematizan la operación y amplían su alcance. En este modelo, la multi-extorsión es la norma, ya que además de cifrar los sistemas, los atacantes cifran datos y amenazan con publicarlos, incrementando la presión de amenaza en las victimas.

Ahora, el ransomware ya ha superado la “doble extorsión” anterior para pasar a la “tripe extorsión”. Los ciberdelincuentes han perfeccionado su estrategia combinando el cifrado y el robo de información con amenazas directas a clientes, proveedores o empleados; ataques DDoS durante las negociaciones; y la venta o subasta de accesos y datos sustraídos.

A esta situación se suma el uso de la IA para phishing hiperpersonalizado, suplantación de identidad y la automatización del reconocimiento de objetivos, lo que acelera, a niveles de máxima precisión, la intrusión sin perder el control del sistema en ningún momento.

El gran reto para las empresas contra el nuevo ransomware reside en la transformación de las herramientas tradicionales, y adoptar un enfoque moderno de seguridad, basado en IA, en los principios Zero Trust y Security by Design y en la plataformización, que les permita no solo defenderse de los ataques selectivos y personalizados, sino también ser conscientes de que su seguridad avanza al ritmo de su ambición.