América Latina, la región más afectada por el ransomware: Kaspersky

Un nuevo informe de la compañía alerta sobre nuevas tácticas como la extorsión sin cifrado
y el uso de criptografía postcuántica que marcarán el rumbo de los ataques de ransomware
en 2026.
12 de mayo de 2026
América Latina se consolidó como la región más afectada por el ransomware a nivel global
en 2025, de acuerdo con un nuevo informe de Kaspersky. La compañía advierte que el
8.13% de las organizaciones en la región registró este tipo de ataques, superando a Asia-
Pacífico, África, Medio Oriente, la Comunidad de Estados Independientes y Europa. Este
panorama no solo confirma el aumento de la presión sobre las empresas latinoamericanas,
sino que también anticipa una evolución en las tácticas de los ciberdelincuentes hacia
esquemas más sofisticados, como la extorsión sin cifrado, el uso de criptografía
postcuántica y la distribución de datos comprometidos a través de canales de Telegram,
tendencias que marcarán el rumbo del ransomware en 2026.
En el marco del Día Internacional contra el Ransomware, que se conmemora el 12 de mayo,
Kaspersky presentó un informe con una visión general de las tendencias que marcaron
2025 y un análisis de lo que se espera en el panorama de amenazas para 2026. La
investigación revela que luego de América Latina, Asia-Pacífico es la región más afectada
con 8% de las empresas vulneradas por ataques de ransomware, seguida por África con
7.62%, Medio Oriente con 7.27%, la Comunidad de Estados Independientes con 5.91% y
Europa con 3.82% de instituciones perjudicadas.
A pesar de una ligera disminución en la proporción total de organizaciones afectadas por
ransomware en 2025 en comparación con 2024, los usuarios siguen enfrentando un riesgo
significativo, ya que los atacantes están industrializando sus operaciones, automatizando
métodos de intrusión y enfocándose cada vez más en robar y filtrar datos sensibles, en
lugar de limitarse a cifrar sistemas.
Los canales de Telegram y los foros de la dark web continúan funcionando como
plataformas para la distribución y venta de bases de datos y accesos comprometidos,
incluidos aquellos obtenidos como resultado de ataques de ransomware. Un importante foro
clandestino, RAMP, que también operaba como plataforma para que distintos actores de
amenazas promocionaran sus servicios de ransomware y publicaran actualizaciones
relacionadas, fue desmantelado por las autoridades en enero de 2026. Otro foro
clandestino, LeakBase, donde los actores maliciosos distribuían datos exfiltrados y
comprometidos, fue desmantelado en marzo de 2026. Sin embargo, aunque las agencias de

seguridad están cerrando activamente plataformas en la dark web y sitios de filtración de
datos, es probable que surjan portales similares con el tiempo.
Una de las tendencias observadas en 2025 es el continuo aumento de los llamados “killers”
de EDR (Endpoint Detection and Response), herramientas diseñadas específicamente para
desactivar las soluciones de seguridad en los dispositivos antes de ejecutar el malware.
Estos “EDR killers” se han convertido en un componente estándar de los ataques, lo que
refleja intrusiones más deliberadas y metódicas.
Los investigadores también señalaron la aparición de familias de ransomware que adoptan
estándares de criptografía postcuántica, una tendencia que Kaspersky ya había anticipado
previamente. Este desarrollo indica un cambio preocupante hacia métodos de cifrado que
podrían resistir futuros intentos de descifrado mediante computación cuántica.
El papel de los Initial Access Brokers (IABs) —intermediarios del cibercrimen que venden
accesos corporativos previamente comprometidos a través de foros clandestinos y
plataformas de mensajería— está en aumento. Los portales RDWeb (sitios web que
permiten controlar dispositivos de forma remota) se están convirtiendo en objetivos cada
vez más frecuentes, a medida que los grupos de ransomware continúan industrializando sus
ataques mediante modelos de “Access-as-a-Service”. Como resultado, la barrera de entrada
para lanzar ataques de ransomware sigue disminuyendo.
Grupos activos
Entre los grupos de ransomware más activos en 2025, con base en datos de sitios de
filtración de información, Kaspersky identificó a Qilin como el operador dominante bajo el
modelo de ransomware-as-a-service (RaaS), tras la interrupción de las operaciones de
RansomHub. Clop se ubicó como el segundo grupo más activo, seguido por Akira en tercer
lugar.

Proporción de víctimas por grupo de ransomware según sus sitios de filtración de datos (DLS), como

porcentaje del total de víctimas reportadas por todos los grupos en 2025.

Si bien varios de los principales grupos de ransomware cesaron operaciones en 2025,
continúan surgiendo nuevos actores. De cara a 2026, The Gentlemen se perfila como uno
de los grupos emergentes más relevantes debido a su rápido crecimiento, operaciones
estructuradas y un enfoque cada vez mayor en la extorsión centrada en datos. Es posible
que este grupo incluya atacantes previamente vinculados a otras operaciones importantes
de ransomware.
The Gentlemen ejemplifica un cambio más amplio en el ecosistema del ransomware,
alejándose de campañas caóticas y de alto ruido hacia modelos de extorsión más
escalables y con lógica empresarial, enfocados principalmente en el robo de información
sensible, así como en ejercer presión reputacional y regulatoria, en lugar de depender
exclusivamente del cifrado disruptivo de archivos.
“El ransomware ha evolucionado hasta convertirse en un ecosistema altamente organizado,
enfocado en monetizar datos robados, desactivar defensas y escalar ataques con una
eficiencia similar a la de un negocio. Los actores de amenazas se están adaptando
rápidamente, utilizando herramientas legítimas como armas, explotando infraestructuras de
acceso remoto e incluso adoptando criptografía postcuántica mucho antes de lo esperado.
El propósito del Día Mundial contra el Ransomware es generar conciencia global sobre las

amenazas que representa este tipo de ataques y promover mejores prácticas de prevención
y respuesta. Por ello, instamos a empresas y todos los usuarios a mantenerse protegidos,
implementar defensas en capas, invertir en respaldos de información y fortalecer sus niveles
de cultura digital para hacer frente a estos ataques”, comenta Fabio Assolini, investigador
líder en Seguridad para América Latina en Kaspersky.
En el Día Mundial contra el Ransomware y más allá, los expertos de Kaspersky
recomiendan a las organizaciones seguir estas buenas prácticas para protegerse frente a
este tipo de ataques:
● Activar la protección contra ransomware en todos los endpoints. Existe una
herramienta gratuita, Kaspersky Anti-Ransomware Tool for Business, que protege
computadoras y servidores frente a ransomware y otros tipos de malware, previene
exploits y es compatible con soluciones de seguridad ya instaladas.
● Mantener siempre actualizado el software en todos los dispositivos que se
utilicen para evitar que los atacantes exploten vulnerabilidades y se infiltren en su
red.
● Enfocar su estrategia de defensa en la detección de movimientos laterales y la
exfiltración de datos hacia internet. Es importante prestar atención al tráfico
saliente para identificar posibles conexiones de ciberdelincuentes a su red; así como
configurar copias de seguridad fuera de línea que no puedan ser manipuladas por
intrusos y asegurarse de poder acceder a ellas rápidamente cuando sea necesario o
en caso de emergencia.
● Las empresas de sectores no industriales pueden protegerse implementando
soluciones anti-APT y EDR, que permiten capacidades avanzadas para la
detección de amenazas, la investigación y la remediación oportuna de incidentes.
Asimismo, las organizaciones pueden proporcionar a sus equipos SOC acceso a la
información de inteligencia de amenazas más reciente y fortalecer continuamente
sus habilidades mediante capacitación profesional. Todo lo anterior está disponible
dentro de Kaspersky Next.
El reporte completo puede encontrarlo en Securelist.

Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil
millones de dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la
profunda inteligencia sobre amenazas y experiencia en seguridad de Kaspersky se transforma constantemente
en soluciones y servicios innovadores para proteger a individuos, empresas, infraestructuras críticas y gobiernos
en todo el mundo. El completo portafolio de seguridad de la empresa incluye protección líder para la vida digital
de dispositivos personales, productos y servicios de seguridad especializados para empresas, así como
soluciones Cyber Immune para combatir amenazas digitales sofisticadas y en evolución. Ayudamos a millones
de personas y a cerca de 200,000 clientes corporativos a proteger lo que más valoran. Más información en:
www.kaspersky.com