Alerta global: aumentan los ataques de ransomware con nuevas tácticas y respaldo estatal

La división de inteligencia en ciberseguridad de Palo Alto Networks, conocida como Unit 42, ha presentado su informe sobre las tendencias de extorsión y ransomware correspondientes al primer trimestre de 2025. El documento ofrece una visión detallada del panorama global de amenazas, sustentado tanto en datos cuantitativos como en el análisis cualitativo de incidentes reales.

Entre los hallazgos más inquietantes del estudio se encuentra la detección, por primera vez, de una colaboración directa entre bandas de ransomware y un actor estatal: el régimen de Corea del Norte. Esta alianza marca un punto de inflexión en la evolución del cibercrimen organizado. Según Unit 42, el grupo norcoreano habría participado activamente en campañas de extorsión, lo que sugiere una estrategia híbrida entre ciberdelincuencia y ciberespionaje.

“El hecho de que un gobierno esté involucrándose de forma activa en operaciones de ransomware representa una amenaza sin precedentes para el sector privado global”, advierte el informe.

Además del respaldo estatal, los expertos de Palo Alto Networks destacan un incremento en tácticas de engaño y presión psicológica. En algunos casos, los atacantes han llegado a enviar notas de rescate físicas al domicilio de altos ejecutivos, pese a no haber evidencias de una brecha real. Estas campañas de extorsión simulada se apoyan en datos falsificados, lo que demuestra una creciente sofisticación en los métodos de ingeniería social.

Objetivos claros y técnicas más agresivas de ransomware

La investigación también señala que Estados Unidos sigue siendo el país más afectado por este tipo de amenazas, seguido de Canadá, Reino Unido y Alemania. Por sectores, la industria manufacturera continúa siendo el blanco principal de los cibercriminales, pese a que también se han reportado ataques significativos contra empresas tecnológicas y del ámbito sanitario.

La investigación revela una inédita colaboración entre bandas criminales y gobiernos, además de sofisticadas formas de extorsión dirigidas a empresas de todo el mundo

Otro foco de preocupación es el uso creciente de herramientas conocidas como “EDR killers”, diseñadas para desactivar sensores de seguridad en endpoints. A esto se suma un aumento en los ataques contra infraestructuras en la nube, lo que pone en entredicho la preparación de muchas organizaciones frente a amenazas cada vez más distribuidas y sofisticadas.

Identidades falsas y amenazas internas: el nuevo rostro del espionaje corporativo

El informe también documenta un preocupante repunte en la creación de identidades ficticias mediante inteligencia artificial. Estas son utilizadas para suplantar trabajadores remotos y acceder a entornos corporativos con el fin de robar propiedad intelectual o códigos fuente. En varios incidentes, operativos norcoreanos habrían logrado infiltrarse en empresas internacionales simulando ser desarrolladores externos.

“Estamos viendo cómo las amenazas internas, impulsadas por identidades falsas, están convirtiéndose en un vector de ataque crucial para los adversarios más avanzados”, alerta Unit 42.

Recomendaciones de defensa

Frente a este panorama, Palo Alto Networks subraya la importancia de adoptar un enfoque integral de ciberseguridad. Entre sus propuestas destaca el uso de sus Cortafuegos de Próxima Generación y la plataforma Cortex para la detección y respuesta automatizada ante incidentes. Además, la compañía pone a disposición de las organizaciones su Evaluación de Preparación para Ransomware, una herramienta diseñada para identificar vulnerabilidades y fortalecer los puntos críticos de la infraestructura digital.

El informe concluye con una advertencia clara: el ransomware ha dejado de ser un negocio aislado de ciberdelincuentes para convertirse en un instrumento geopolítico. En este nuevo escenario, la colaboración entre actores estatales y criminales exige una respuesta igualmente coordinada por parte del sector público y privado.