Un reciente análisis exhaustivo del Google Threat Intelligence Group (GTIG) ha puesto bajo la lupa a REDBIKE, identificándola como la familia de ransomware con mayor incidencia en las intervenciones de seguridad. Según los registros de Mandiant, esta amenaza ha estado involucrada en casi el 30 por ciento de los incidentes atendidos, consolidándose como un eje central en las maniobras de las bandas de cibercrimen. El reporte destaca una transformación profunda en las estrategias operativas de estos grupos digitales, quienes ahora dirigen sus ataques hacia organizaciones con infraestructuras defensivas más vulnerables.
Un cambio estratégico hacia las pequeñas empresas
Al observar la evolución de las amenazas informáticas proyectadas para el año 2025, el GTIG evidencia que los ciberdelincuentes han diversificado sus objetivos. Ya no solo buscan vulnerar a las multinacionales, sino que han puesto su mirada en empresas de menor tamaño. Esta transición, fundamentada en datos de alcance global, se debe a que las grandes corporaciones han robustecido sus perímetros de seguridad, convirtiendo a las compañías pequeñas en blancos más accesibles debido a su percepción de tener menos barreras de protección.
A pesar de que durante el 2025 se registró un número récord de víctimas expuestas en los sitios de filtración de datos, conocidos técnicamente como Data Leak Sites (DLS), el beneficio económico directo para los atacantes ha experimentado una caída significativa. Este fenómeno se atribuye a una notable mejoría en los protocolos de ciberseguridad corporativa y a una respuesta más eficiente de las organizaciones al momento de restaurar sus operaciones tras una intrusión.
La extorsión mediante el robo de información
Una de las revelaciones más impactantes del informe del GTIG es el desplazamiento de la táctica tradicional de cifrar sistemas hacia la sustracción de información confidencial. Durante el último año, el 77 por ciento de los incidentes incluyeron el robo de datos, una cifra considerablemente superior al 57 por ciento documentado en el 2024. Esta tendencia confirma que la extorsión basada en la amenaza de vender o publicar datos robados está ganando terreno frente al bloqueo técnico de los archivos para exigir un rescate.
Respecto a los métodos de intrusión inicial, los expertos de Google señalan un cambio de enfoque: los atacantes ahora priorizan la explotación de vulnerabilidades en infraestructuras conectadas directamente a internet. Este comportamiento marca una diferencia con el patrón observado en el 2024, donde predominaban tácticas de fuerza bruta y el uso ilegítimo de credenciales obtenidas previamente.
Herramientas y efectividad del cibercrimen
Aunque se mantiene el uso de herramientas nativas del sistema y utilidades de acceso público para infiltrarse, se ha detectado una reducción en el empleo de ciertos marcos de trabajo. El informe resalta una baja en el uso de herramientas de gestión remota y de plataformas de postexplotación como CobaltStrike, las cuales eran sumamente populares en ciclos anteriores.
La estrategia de migrar hacia la publicación de información robada tiene como fin último maximizar la presión psicológica sobre las víctimas. Al evitar el cifrado masivo, los delincuentes pueden evadir los sistemas de defensa más modernos diseñados específicamente para detectar el ransomware convencional, permitiendo que un mayor volumen de ataques resulten exitosos para sus fines extorsivos.
En conclusión, el reporte de Google advierte que, si bien la sofisticación de las defensas y la recuperación de datos han mermado la rentabilidad de estas campañas, los actores maliciosos no cesan en su adaptación. Grupos que utilizan variantes como REDBIKE siguen liderando la actividad delictiva, aprovechando vulnerabilidades críticas y herramientas públicas para mantener su vigencia en el ecosistema de las amenazas digitales.
Fuente: Fuente