La amenaza del ransomware ha alcanzado un nivel nuevo y alarmante. Según el Informe Global del Panorama de Amenazas 2026 recientemente publicado por Fortinet, el número de víctimas confirmadas de ransomware en todo el mundo aumentó a 7.831 en 2025, frente a las aproximadamente 1.600 víctimas registradas en el informe del año anterior.

La amenaza del ransomware ha alcanzado un nivel nuevo y alarmante. Según el Informe del Panorama Global de Amenazas 2026 recientemente publicado por Fortinet, el número de víctimas confirmadas de ransomware en todo el mundo saltó a 7.831 en 2025, frente a las aproximadamente 1.600 víctimas registradas en el informe del año anterior.

Esto supone un incremento interanual del 389%, un aumento que refleja hasta qué punto las herramientas criminales impulsadas por IA han cambiado las reglas del juego para los atacantes.

Este crecimiento brusco no ha ocurrido por accidente. La disponibilidad de herramientas delictivas listas para usar como WormGPT, FraudGPT y BruteForceAI ha hecho que sea más fácil que nunca para los ciberdelincuentes lanzar ataques sofisticados sin requerir profundos conocimientos técnicos.

Estas herramientas se venden abiertamente en los mercados de la dark web, dando incluso a los actores de amenazas de bajo nivel acceso a capacidades que antes estaban limitadas a grupos de hackers avanzados.

Como resultado, las campañas de ransomware se han vuelto más frecuentes, más dirigidas y más difíciles de detener.

Los analistas e investigadores de FortiGuard Labs de Fortinet identificaron estas tendencias aceleradas!a través de extensos datos de telemetría recopilados durante todo 2025, mapeando el comportamiento del atacante en todas las fases del marco MITRE ATT&CK.

Sus hallazgos confirman que la ciberdelincuencia ahora opera menos como una serie de ataques aleatorios y más como una operación criminal estructurada de extremo a extremo.

Los actores de amenazas cuentan con el apoyo de redes de corredores de acceso, operadores de botnets y agentes en la sombra que venden servicios bajo demanda, comprimiendo el tiempo que transcurre desde el acceso inicial hasta el compromiso total.

El informe también reveló que la ventana de tiempo hasta la explotación (TTE) se ha reducido drásticamente. Mientras que los datos anteriores señalaban un TTE promedio de 4,76 días, FortiGuard Labs ahora registra ventanas de TTE de tan solo 24 a 48 horas para vulnerabilidades críticas.

En un caso real, los intentos de explotación activa comenzaron a las pocas horas de que se revelara públicamente la vulnerabilidad React2Shell, resaltando la rapidez con la que los atacantes pueden actuar cuando la IA acelera sus pasos de reconocimiento y armamento.

El sector manufacturero fue el más afectado, con 1.284 víctimas confirmadas de ransomware, seguido por los servicios empresariales con 824 y el comercio minorista con 682.

Geográficamente, Estados Unidos registró la mayor concentración con 3.381 víctimas, seguido de Canadá con 374 y Alemania con 291.

Estas cifras reflejan que donde existen grandes volúmenes de datos sensibles y operaciones críticas, las organizaciones se convierten en los objetivos más atractivos y financieramente gratificantes.

Cómo el malware stealer impulsado por IA alimenta la cadena de ataque

Uno de los motores más significativos detrás del aumento del ransomware es el crecimiento explosivo del malware de robo de credenciales (stealer) y el ecosistema de la dark web construido a su alrededor.

La inteligencia de FortiRecon reveló que los registros de stealers ahora dominan la actividad de las bases de datos de la dark web, representando el 67,12% de todos los conjuntos de datos anunciados y compartidos, muy por delante de las combolists con un 16,47% y las credenciales filtradas con solo un 5,96%.

Este cambio indica que los atacantes han dejado atrás las simples filtraciones de contraseñas y se han movido hacia paquetes de datos más ricos y utilizables de inmediato.

El malware stealer como RedLine, Lumma y Vidar infectan silenciosamente los sistemas y luego recolectan no solo nombres de usuario y contraseñas, sino sesiones completas de navegador, cookies guardadas, datos de autorelleno y tokens almacenados.

La telemetría de FortiRecon confirmó que RedLine fue responsable de 911.968 infecciones, representando el 50,80% de toda la actividad de stealers, mientras que Lumma registró 499.784 infecciones con un 27,84%, y Vidar añadió otras 236.778 infecciones con un 13,19%.

Estos datos empaquetados dan a los atacantes todo lo que necesitan para suplantar inmediatamente a una víctima en línea sin necesidad de descifrar una sola contraseña.

La IA agéntica ha acelerado aún más este proceso, permitiendo que los atacantes automaticen la clasificación y explotación de conjuntos de datos robados a gran escala.

El informe de 2026 señala un aumento adicional del 79% en la disponibilidad de registros de stealers en comparación con 2025, sumándose al pico del 500% ya registrado el año anterior.

El resultado práctico es que las organizaciones se enfrentan a intrusiones basadas en credenciales que son más rápidas, más difíciles de detectar y tienen más probabilidades de evadir las defensas tradicionales de autenticación multifactor.

Se recomienda encarecidamente a las organizaciones auditar y rotar las credenciales regularmente, implementar una autenticación multifactor resistente al phishing y monitorear signos de actividad de infostealers en todos los endpoints.

Los equipos de seguridad deben tratar la exposición de registros de stealers como un incidente activo y no como una alerta de baja prioridad, y deben desplegar herramientas de detección conductual capaces de identificar actividad de sesión anormal.

Mantener el software y los sistemas parcheados dentro de las 24 a 48 horas posteriores a la divulgación de una vulnerabilidad crítica es ahora una expectativa básica, dada la rapidez con la que comienzan los intentos de explotación.