En el transcurso del año 2025, la industria del cibercrimen experimentó una paradoja significativa: mientras que el número de organizaciones afectadas por el secuestro de datos se incrementó en un 44%, las ganancias totales de los delincuentes se estancaron en aproximadamente 850 millones de dólares, una cifra similar a la del periodo anterior. Esta tendencia sugiere un cambio de postura en las víctimas, quienes han comprendido que realizar el pago no asegura la recuperación de la información ni previene futuras vulneraciones.
La fragmentación del mercado criminal
Estas revelaciones forman parte de un exhaustivo reporte elaborado por TRM Labs, firma especializada en el seguimiento de activos ilícitos en la blockchain y colaboración con cuerpos de seguridad globales. Ari Redbord, quien se desempeña como director global de política de la entidad, destaca la situación actual:
“Lo que vemos en 2025 es un ecosistema de secuestro digital más fragmentado que nunca, pero esa fragmentación también está creando vulnerabilidades reales”.
El fenómeno del ransomware ha evolucionado hacia un esquema de franquicias. Bajo esta modalidad, los desarrolladores del software malicioso perciben un 20% de los beneficios, mientras que los afiliados —quienes ejecutan el ataque— se quedan con el 80% restante. Esta estructura ha propiciado un aumento explosivo de nuevos actores; solo en 2025 se detectaron 93 grupos emergentes, lo que representa un alza del 94% en comparación con 2024. Aunque operaciones internacionales lograron desmantelar gigantes como LockBit y BlackBasta, sus miembros simplemente se dispersaron en células más pequeñas. Según Redbord,
“la táctica de desmantelar un grupo criminal ya no es suficiente contra un ecosistema de 161 variantes”.
Errores tácticos y expansión en América Latina
Esta división del ecosistema criminal ha provocado que los atacantes cometan errores logísticos. Antiguos operadores que operaban impunemente desde Rusia ahora han sido detectados en naciones que mantienen tratados de cooperación con Estados Unidos y la Unión Europea. Un ejemplo notable citado en el informe es el de un afiliado de la banda Bl00dy, cuya ubicación fue rastreada hasta Ghana mediante su conexión a internet, demostrando que la protección geográfica está desapareciendo.
En el contexto regional, América Latina se ha convertido en un escenario crítico. Entre agosto de 2024 y junio de 2025, se contabilizaron más de 1,1 millones de intentos de ataque, lo que equivale a un promedio de 3.000 incidentes diarios, según cifras de Kaspersky. El ranking de los países más afectados es liderado por Brasil con 549.000 casos, seguido por México con 237.000, además de una fuerte incidencia en Argentina, Chile y Colombia. Redbord enfatiza que estas naciones son
“mercados activos, tanto como objetivos como parte creciente de la red de afiliados”
, añadiendo que la estructura criminal
“está distribuida por diseño y la geografía cada vez importa menos”.
Ataques a sectores críticos y puntos de quiebre
Las organizaciones criminales concentran sus esfuerzos en sectores vitales como gobiernos, hospitales y empresas de servicios públicos. En Argentina, el ataque sufrido por el PAMI en 2023 es un recordatorio de los riesgos: se tuvo que recurrir a procesos manuales para recetas y derivaciones médicas, exponiendo datos de millones de personas. Por su parte, en Perú, el grupo Nightspire vulneró en 2025 un centro de salud pediátrico, alegando la posesión de 30 gigabytes de información sensible.
Sin embargo, la justicia ha encontrado un flanco débil: los proveedores de servicios que asisten a los criminales. Para operar, estas bandas compran accesos ilícitos y alquilan servidores en jurisdicciones poco cooperativas. Al ser estos intermediarios menos precavidos que los propios atacantes, se vuelven blancos más sencillos para las investigaciones judiciales.
Rastreo financiero y filtraciones masivas
El seguimiento del dinero se ha sofisticado. Aunque bandas como Akira —que lideró la recaudación en 2025 con 150 millones de dólares— intentaron ocultar sus huellas mediante intercambios constantes entre criptomonedas, los analistas de TRM Labs lograron identificar cinco cambios distintos en su metodología de lavado.
A esto se suma la crisis de confianza interna provocada por filtraciones de datos. En febrero de 2025, se difundieron 197.000 mensajes privados de BlackBasta, revelando identidades y métodos. Posteriormente, en mayo, LockBit sufrió una brecha similar. A inicios de 2026, la intervención del foro RAMP facilitó el cruce de registros con datos de la blockchain, permitiendo localizar a múltiples delincuentes.
Para concluir, Ari Redbord señala que
“cuando se combina la atribución de identidad en múltiples grupos con la inteligencia que proviene de filtraciones e incautaciones, las fuerzas del orden tienen una oportunidad de desarticular estas redes a una escala que no habíamos visto antes”
. El experto sentencia con una advertencia sobre el futuro inmediato:
“La pregunta para 2026 es si esa ventana se va a usar”.
Fuente: Fuente