Lecciones clave de los principales ataques de ransomware en los últimos meses
Los mayores ataques de ransomware de 2025 han demostrado que esta amenaza sigue siendo crítica para organizaciones de todos los sectores. Incidentes como el ataque a Change Healthcare, que comprometió los datos de casi 190 millones de personas, y el ataque a Jaguar Land Rover, que obligó a detener líneas de producción y provocó pérdidas de cientos de millones de dólares, evidencian que un solo incidente puede afectar tanto a la continuidad operativa como a la confidencialidad de la información.
Más allá de estos casos concretos, estos ataques reflejan tendencias preocupantes: el acceso inicial sigue siendo un punto crítico, la persistencia prolongada y el movimiento lateral permiten a los atacantes ampliar su alcance, y el ransomware ya no se limita a cifrar sistemas. Cada vez más, forma parte de campañas que combinan disrupción operativa, robo de datos y presión mediante la amenaza de exposición pública. Según nuestras predicciones de ciberseguridad para 2026, el cripto-ransomware tradicional se está convirtiendo cada vez más en una herramienta dentro del arsenal del atacante, en lugar de ser el objetivo final. Los ataques modernos se centran con mayor frecuencia en la exfiltración de información y la extorsión, utilizando el ransomware para intensificar la presión. Este cambio obliga a las organizaciones a replantearse cómo detectan, contienen y responden a este tipo de incidentes.
El acceso inicial vulnerable y la persistencia marcan la diferencia
Una de las principales lecciones de 2025 es que la mayoría de los ataques comienzan por fallos de acceso que se podrían haber evitado. Las credenciales comprometidas y la falta de autenticación multifactor (MFA) son vectores recurrentes que permiten a los atacantes entrar en la red y moverse sin ser detectados.
Implantar MFA, auditar permisos y formar a los usuarios frente al phishing y la suplantación de identidad son pasos clave para reducir la probabilidad de un acceso inicial exitoso. Además, la monitorización de endpoints y la correlación de eventos permiten detectar patrones de movimiento lateral e identificar actividad sospechosa antes de que escale hasta convertirse en un incidente grave. A menudo, los atacantes permanecen en silencio durante días o semanas, lo que les permite preparar acciones más dirigidas. Por ello, identificar y neutralizar estos movimientos de forma temprana resulta crucial para contener amenazas avanzadas. Aunque el cripto-ransomware pueda perder protagonismo relativo en ciertos contextos, sigue siendo una herramienta habitual entre los ciberdelincuentes, y la evolución futura de estas amenazas continúa siendo difícil de predecir con certeza.
El ransomware evoluciona: del cifrado a la exfiltración y la extorsión
La segunda lección se centra en la evolución del ransomware hacia la doble extorsión, combinando la disrupción operativa con el robo de datos y la amenaza de exposición pública. Creemos que el cripto-ransomware tradicional irá perdiendo peso a medida que las organizaciones han mejorado de forma significativa sus capacidades de copia de seguridad y recuperación. Hoy, la verdadera palanca de los atacantes está en robar información y amenazar con hacerla pública, llegando en ocasiones a implicar a las aseguradoras para intensificar la presión.
Para hacer frente a este nuevo escenario, se recomienda una estrategia de defensa por capas, que incluya:
- Protección de endpoints basada en comportamiento: permite detectar actividad inusual, aislar sistemas comprometidos y limitar el movimiento lateral de los atacantes antes de que cause daños generalizados.
- Seguridad del perímetro de red: es necesaria para detener el malware en el punto de entrada, evitando que se propague a sistemas internos y comprometa información sensible.
- Control de identidad y acceso: reforzar la verificación de identidad con MFA y aplicar principios de acceso zero trust (ZTNA) garantiza que, incluso si las credenciales se ven comprometidas, los atacantes no puedan acceder automáticamente a cuentas, información sensible o servicios críticos.
Este enfoque integrado ayuda a limitar tanto la propagación del ataque como la pérdida de datos sensibles, mitigando así los impactos operativos, legales y reputacionales. La clave no reside solo en restaurar sistemas, sino en detectar y prevenir la exfiltración de datos antes de que pueda producirse la extorsión.
La evolución del ransomware hacia la exfiltración de datos y la extorsión mediante su exposición pública nos obliga a replantear la ciberseguridad desde una perspectiva de prevención y preparación. Anticiparse implica reforzar la identidad para reducir el riesgo de accesos iniciales no autorizados, utilizar la seguridad de red para ganar visibilidad del tráfico y detectar movimientos sospechosos antes de que el ataque se propague, y apoyarse en la protección de endpoints para identificar comportamientos anómalos y contener amenazas en sus fases iniciales.
Además, la tendencia hacia el robo de información demuestra que las organizaciones deben prepararse para posibles filtraciones, no solo para ataques de cifrado. Esto incluye asegurar la cadena de suministro: elegir proveedores que también protejan sus datos, ya que la información que gestionan forma parte de la tuya, y aplicar controles de seguridad coherentes en todos los puntos por los que fluye la información. Anticipar estos escenarios y combinar la prevención con planes de respuesta ante exposiciones no deseadas ayuda a minimizar los impactos operativos, legales y reputacionales y garantiza la continuidad del negocio incluso frente a amenazas cada vez más sofisticadas.
Descubre más sobre cómo proteger a tu organización frente al ransomware en nuestras tendencias de ciberseguridad para 2026: https://www.watchguard.com/wgrd-solutions/security-trends/ransomware