Los datos se roban con más frecuencia, pero se pagan menos y con menor frecuencia. Pero es demasiado pronto para relajarse: ahora los delincuentes informáticos están buscando traidores dentro de su empresa.
En medio de una creciente conciencia y esfuerzos coordinados entre los profesionales de la seguridad de la información, el número de empresas que aceptan pagos de rescate, alcanzó mínimos históricos. Según Coveware, en el tercer trimestre de 2025, solo el 23% de las organizaciones atacadas aceptaron condiciones de chantaje. Esto continúa la tendencia a la baja en la proporción de dichos pagos observada desde 2019, a pesar de los aumentos repentinos a corto plazo.
Los expertos atribuyen la disminución no sólo a una mayor protección técnica, sino también a un cambio de actitud hacia los pagos: las víctimas se niegan cada vez más a pagar incluso si se han robado datos. Los reguladores y los organismos encargados de hacer cumplir la ley también están pidiendo más activamente que no se hagan concesiones. Tal cambio, según Coveware, limita gravemente la financiación de operaciones criminales y socava la viabilidad esquemas de extorsión.
Al mismo tiempo, se registró un cambio en las tácticas de los atacantes. En la mayoría de los casos, ahora no sólo cifran archivos, sino que también descargan información confidencial, amenazando con publicarla. En el tercer trimestre, más del 76% de los ataques fueron acompañados robo de datos. Además, en situaciones en las que la información fue robada exclusivamente sin cifrado, el nivel de consentimiento para el pago cayó al 19%, esta es la cifra mínima para todo el período de observación.
El desempeño financiero de los delincuentes también está disminuyendo. En el tercer trimestre el promedio fue "solo" de 377 mil dólares. La causa probable es una revisión de los enfoques de incidentes por parte de las grandes empresas. En lugar de realizar pagos, invierten cada vez más en una mejor protección para evitar incidentes similares en el futuro.
Algunos grupos, en particular Akira y Qilin, se han adaptado a esta situación cambiante y han pasado a PyMEs. Según las estimaciones de Coveware, estos dos grupos fueron responsables del 44% de todos los ataques registrados en el tercer trimestre. Las empresas medianas siguen mostrando una mayor disposición a llegar a acuerdos, lo que las convierte en un objetivo atractivo en medio de la disminución de la rentabilidad en el gran sector corporativo.
Los vectores de acceso inicial más utilizados fueron la piratería remota y la explotación de vulnerabilidades de software. Al mismo tiempo, la proporción de ataques basados en técnicas de ingeniería social sigue creciendo. Según Coveware, a medida que aumenta la resiliencia de las grandes empresas, los delincuentes lo intentarán cada vez más involucrar a los empleados internos, ofreciendo cantidades significativas de dinero para acceder a la infraestructura.
En un ejemplo reciente que involucró a un empleado de la BBC, un miembro de la banda de ransomware Medusa contactó a un empleado de una organización y le ofreció una comisión del 15% del pago del rescate a cambio de acceso a la red a través de su computadora de trabajo. El objetivo era comprometer los sistemas de la organización y obtener un rescate por sus datos.
Fuente: SecurityLabs