Más ataques, menos pagos: ¿está cambiando el modelo de negocio del ransomware?

El ransomware continúa siendo una de las principales amenazas para las empresas en todo el mundo, pero las dinámicas económicas detrás de este delito digital parecen estar cambiando.

Un análisis reciente de la firma de inteligencia blockchain Chainalysis revela una tendencia que podría marcar un punto de inflexión en este tipo de ciberataques: mientras el número de incidentes sigue creciendo, la proporción de empresas que pagan rescates está disminuyendo.

Esta aparente contradicción sugiere que el modelo de negocio que durante años sostuvo al ransomware podría estar enfrentando nuevas presiones, impulsadas por una mayor preparación de las organizaciones, mejoras en las estrategias de respuesta y una cooperación más estrecha entre gobiernos y empresas para combatir la ciberdelincuencia.

Más ataques, pero menor proporción de pagos

De acuerdo con el informe, los ataques de ransomware reportados aumentaron significativamente durante el último año, reflejando la expansión y diversificación de los grupos criminales dedicados a este tipo de operaciones.

Sin embargo, el monto total de pagos registrados en criptomonedas cayó alrededor de 8% en 2025, alcanzando aproximadamente 820 millones de dólares.

Sigue leyendo: Cómo reforzar la ciberseguridad ante la creciente actividad delictiva

Además, la proporción de víctimas que aceptan pagar el rescate también se redujo. Mientras que en años anteriores una parte importante de las organizaciones optaba por negociar con los atacantes para recuperar el acceso a sus sistemas, hoy cada vez más empresas están eligiendo no realizar pagos, incluso ante la presión operativa que generan los ataques.

Este cambio está alterando los incentivos económicos del ransomware, una actividad que durante la última década se consolidó como uno de los negocios más lucrativos dentro del ecosistema del cibercrimen.

Mayor resiliencia frente a la extorsión digital

Uno de los factores detrás de esta tendencia es el fortalecimiento de las estrategias de ciberseguridad empresarial. Muchas organizaciones han incrementado sus inversiones en herramientas de monitoreo, sistemas de respaldo de información y planes de recuperación ante incidentes.

El desarrollo de protocolos de respuesta más estructurados permite a las empresas restaurar operaciones sin depender necesariamente de los atacantes para descifrar sus sistemas.

De igual manera, el creciente uso de respaldos aislados y arquitecturas de seguridad más segmentadas ha reducido el impacto de algunos ataques.

A esto se suma la presión regulatoria y reputacional. En ciertos países, las autoridades han comenzado a desalentar o incluso restringir el pago de rescates, ya que estas transacciones financian la continuidad de las redes criminales.

Un ecosistema criminal en transformación

Aunque los ingresos por ransomware muestran señales de desaceleración, el ecosistema detrás de estos ataques continúa evolucionando.

El informe señala que el número de grupos activos ha aumentado, impulsado en parte por modelos de “ransomware como servicio”, donde desarrolladores especializados ofrecen herramientas listas para ejecutar ataques a otros actores criminales.

Esta estructura ha fragmentado el panorama del ransomware en decenas de grupos más pequeños, lo que dificulta la atribución de ataques y complica las estrategias de defensa.

Al mismo tiempo, los ciberdelincuentes están explorando nuevas tácticas para presionar a las víctimas, como la doble extorsión, que combina el bloqueo de sistemas con la amenaza de publicar información confidencial.

Te recomendamos: Ciberseguridad industrial: el nuevo frente de riesgo para manufactura y logística

Implicaciones para las empresas

El hecho de que menos organizaciones estén pagando rescates podría representar una señal positiva en la lucha contra el ransomware.

Sin embargo, el aumento en el número de ataques confirma que esta amenaza sigue siendo un riesgo significativo para las empresas que dependen de sistemas digitales para operar.

En sectores donde la continuidad operativa es crítica —como manufactura, transporte o logística—, incluso interrupciones breves pueden generar costos significativos. Por ello, la prevención, la detección temprana y la capacidad de recuperación rápida se están consolidando como pilares fundamentales de la resiliencia empresarial.

En este contexto, el ransomware podría estar entrando en una nueva fase: una donde el volumen de ataques continúa creciendo, pero donde la rentabilidad para los ciberdelincuentes depende cada vez más de su capacidad para adaptarse a organizaciones mejor preparadas para resistir la extorsión digital.