Todo lo que podemos esperar del ransomware de cara al año 2025, y cómo evitarlo
Los ataques de ransomware alcanzaron niveles sin precedentes en 2024.
Así lo indica el reciente informe sobre el ransomware 2024 de ThreatLabz, el equipo de investigación de Zscaler, empresa líder en seguridad en la nube. A lo largo del año, la nube de la compañía de ciberseguridad bloqueó más de 4,4 millones de ataques de ransomware, revelando tendencias clave y datos recientes sobre esta amenaza creciente.
Con la mirada puesta en 2025, los expertos de Zscaler anticipan una evolución significativa en el panorama del ransomware, impulsada por tácticas cada vez más sofisticadas y dirigidas por actores maliciosos. Desde ataques focalizados en grandes corporaciones hasta la adopción de IA generativa en campañas más convincentes, “la industria de ciberseguridad enfrenta desafíos sin precedentes”, asegura Brett Stone-Gross, director senior de inteligencia de amenazas en Zscaler. Este cambio en las estrategias de ataque, sumado a regulaciones más estrictas y al incremento de exfiltraciones masivas de datos, marca una nueva era en la lucha contra el ransomware.
Para ofrecer una perspectiva de cómo podría desarrollarse este panorama el próximo año, Zscaler presenta una serie de predicciones diseñadas para ayudar a las empresas a prepararse y fortalecer sus defensas de ciberseguridad contra amenazas emergentes:
1. Ataques de ransomware dirigidos a empresas multimillonarias. El éxito de grupos de ransomware como Dark Angels demuestra una tendencia hacia objetivos más específicos y de alto valor. Con una estrategia única de atacar un número reducido de empresas multimillonarias y extorsionarlas con rescates significativos, la decisión del grupo de implementar ransomware depende del impacto disruptivo que el cifrado de archivos tendría en la compañía afectada. Además, busca limitar las interrupciones comerciales para evitar el escrutinio público. Este grupo ha logrado extorsionar a empresas multimillonarias por sumas récord, como el rescate de 75 millones de dólares en 2024, el mayor pago de rescate conocido hasta la fecha. En 2025, es probable que otros actores de ransomware adopten tácticas similares, aumentando los ataques a compañías con grandes volúmenes de datos y la capacidad de pagar rescates considerables.
2. Aumento del uso de ingeniería social basada en voz. A medida que los ciberdelincuentes evolucionan sus tácticas, la ingeniería social basada en voz se ha convertido en una herramienta poderosa, representando un método de ataque que se aprovecha de la confianza humana. En 2025, se espera un aumento en los ataques facilitados por brokers de acceso inicial como Qakbot y Scattered Spider, que emplean vishing para engañar a los empleados y obtener acceso a entornos corporativos para exfiltrar datos y desplegar ransomware. Esta tendencia subraya las colaboraciones dentro del ecosistema cibercriminal y enfatiza la necesidad de tomar medidas de seguridad avanzadas y vigilancia constante para contrarrestar estas amenazas en evolución.
3. Inteligencia Artificial generativa: una nueva frontera en campañas de ransomware. La integración de la IA generativa está revolucionando la sofisticación de los ataques cibernéticos, permitiendo elaborar ataques más convincentes y planteando nuevos desafíos para las defensas de ciberseguridad. En 2025, la adopción de IA permitirá a los atacantes de ransomware crear campañas más efectivas, personalizadas y localizadas. Los actores maliciosos podrán utilizar esta tecnología para mejorar la gramática y ortografía de correos de phishing, así como para clonar voces que se adapten a acentos y dialectos locales, aumentando la credibilidad de sus ataques y el riesgo para las empresas.
4. Mayor transparencia debido a regulaciones de la SEC. Las nuevas reglas de la Comisión de Bolsa y Valores de los Estados Unidos, comúnmente conocida como la SEC, están transformando el panorama de la ciberseguridad al exigir informes de incidentes más estrictos. La transparencia y responsabilidad de las empresas ante las amenazas cibernéticas ha incrementado gracias a esta nueva normativa. De hecho, en 2025 se prevé un aumento en la divulgación de incidentes de ransomware por parte de las compañías, lo cual podría fomentar una cultura de defensas proactivas y fortalecer las prácticas de ciberseguridad en todos los sectores.
5. Incremento de ataques de exfiltración de datos de alto volumen. Los ciberdelincuentes se están inclinando cada vez más hacia la exfiltración de datos como táctica principal de extorsión, aprovechándose del temor a la exposición de datos para coaccionar el pago de rescates. De cara al próximo año, Zscaler anticipa un aumento de incidentes de exfiltración sin cifrado, permitiendo a los ataques de ransomware explotar el miedo de las empresas a la exposición de datos sensibles, lo cual afectará particularmente a aquellas que cuenten con grandes volúmenes de información. Durante el último año, ThreatLabz de Zscaler ha observado casos de víctimas que han perdido hasta 100 TB de datos.
6. Sector de salud: un objetivo principal para el ransomware. La industria de la salud sigue siendo especialmente vulnerable a los ataques de ransomware debido a sus sistemas de seguridad obsoletos y a la gran cantidad de datos sensibles. Las compañías que no prioricen estrategias de defensa, como zero trust, seguirán siendo objetivos de estos ciberataques, enfrentándose a brechas de seguridad y extorsiones recurrentes.
7. Colaboración entre fuerzas de seguridad y empresas privadas. La cooperación público-privada entre fuerzas de seguridad y empresas privadas será un factor clave para interrumpir las operaciones de ransomware globales, como los grandes brokers de acceso inicial y grupos de este malware. Esta alianza, así como el intercambio de inteligencia, permitirán enfrentar de manera más efectiva las redes de cibercrimen, cada vez más complejas.
En 2025, la amenaza del ransomware continuará evolucionando y las empresas deberán mantener estrategias de defensa multifacéticas. Por ello, Zscaler recomienda tres pasos clave para mitigar riesgos:
• Minimizar la superficie de ataque. Las arquitecturas zero trust reducen efectivamente la superficie de ataque al ocultar usuarios, aplicaciones y dispositivos detrás de un proxy en la nube, donde no son visibles ni detectables desde Internet. Similar a una centralita que dirige llamadas a destinos autorizados, zero trust solo permite conexiones desde usuarios o dispositivos autorizados a un destino particular.
• Preveer posibles intrusiones iniciales. Las empresas deben emplear una inspección exhaustiva de TLS/SSL, aislamiento de navegador, pruebas avanzadas en sandbox y controles de acceso basados en políticas para evitar que los usuarios accedan a páginas web maliciosas y detectar amenazas desconocidas antes de que lleguen a la red, minimizando así el riesgo desde el principio.
• Eliminar el movimiento lateral mediante segmentación de usuario-a-aplicación o aplicación-a-aplicación, limitando el acceso solo a destinos autorizados y previniendo la pérdida de datos. La centralización de la gestión de políticas de control de acceso actúa como un punto de control de seguridad para el tráfico de Internet, eliminando vías para el movimiento lateral. Además, las medidas de prevención de pérdida de datos online son esenciales para evitar intentos de robo de datos y asegurar que los datos estén protegidos tanto en tránsito como en reposo.
“La amenaza del ransomware está lejos de ser estática. Estas tendencias subrayan la necesidad de que las empresas se mantengan vigilantes, adaptables y proactivas en sus estrategias de defensa. Desde implementar arquitecturas zero trust hasta fomentar la colaboración internacional contra el cibercrimen, el camino a seguir requiere un enfoque multifacético. Al igual que las tácticas de ransomware se desarrollan, también debe hacerlo el compromiso colectivo de proteger los activos digitales y salvaguardar la integridad del entorno interconectado”, concluye Brett Stone-Gross.