Coveware by Veeam presentó su Informe de Ransomware del Segundo Trimestre de 2025, en el que reportó un incremento de ataques basados en ingeniería social y un aumento en pagos por rescate impulsados por exfiltración de datos. La compañía indicó que los atacantes utilizan tácticas más dirigidas y prolongan la presión sobre las víctimas después de los incidentes iniciales.
Bill Siegel, director ejecutivo de Coveware by Veeam, señaló que los ataques ahora buscan afectar a las personas, los procesos y la reputación de los datos, además de comprometer respaldos. Según el informe, las organizaciones deben reforzar la concientización del personal y los controles de identidad, además de tratar la exfiltración como un riesgo prioritario.
El reporte identificó que tres grupos de ransomware, Scattered Spider, Silent Ransom y Shiny Hunters, lideraron las amenazas en el periodo. Estos grupos realizaron ataques dirigidos contra mesas de ayuda, empleados y proveedores, dejando atrás los ataques masivos y oportunistas para enfocarse en intrusiones más precisas.
Los pagos promedio y medianos por rescate se ubicaron en 1.13 millones de dólares y 400,000 dólares, respectivamente. Coveware atribuyó el incremento a grandes empresas que decidieron pagar después de incidentes con robo de datos, aunque la tasa general de pagos se mantuvo en 26 por ciento.
Sectores y métodos más afectados
El robo de datos superó al cifrado como principal método de extorsión, presente en 74 por ciento de los casos. Las campañas priorizaron la exfiltración y utilizaron tácticas de multi-extorsión y amenazas diferidas, manteniendo a las víctimas bajo presión incluso semanas después del ataque inicial.
Los sectores más afectados fueron servicios profesionales, salud y servicios al consumidor. Las empresas medianas, con entre 11 y 1,000 empleados, concentraron 64 por ciento de las víctimas, debido a que cuentan con defensas menos maduras frente a las amenazas actuales.
Los atacantes continúan aprovechando el compromiso de credenciales, el phishing y la explotación de servicios remotos como puntos de entrada. También utilizan vulnerabilidades en plataformas como Ivanti, Fortinet y VMware. Coveware destacó que han aumentado los ataques individuales o de “lobo solitario”, realizados con kits genéricos sin marca.
Variantes y tendencias en ransomware
En el trimestre, las variantes más comunes fueron Akira, Qilin y Lone Wolf. Silent Ransom y Shiny Hunters aparecieron por primera vez entre las cinco principales. La compañía señaló que estos nuevos actores reconfiguran el panorama y adoptan tácticas distintas para maximizar el impacto sobre las organizaciones.
Coveware by Veeam indicó que ha acompañado a miles de víctimas de ciber extorsión mediante servicios de respuesta rápida, negociación de rescates, pagos en criptomonedas y recuperación de datos. También señaló que ha recopilado patrones sobre el comportamiento de los atacantes que comparte con clientes para reducir riesgos y mejorar su postura de seguridad.
El informe se elaboró con datos de primera mano, análisis de expertos y estudios forenses de los casos gestionados. Coveware utiliza herramientas exclusivas como Recon Scanner para documentar tácticas, técnicas y procedimientos de los atacantes, lo que permite rastrear tendencias emergentes y generar inteligencia aplicable para enfrentar la evolución del ransomware.