El ransomware The Gentlemen, surgido en julio de 2025 como RaaS tras una disputa con Qilin, ha atacado a 48 víctimas en América Latina usando extorsión dual (cifrado + robo de datos) con algoritmos XChaCha20 y Curve25519. Explotan vulnerabilidades en VPN FortiGate (CVE-2024-55591), servicios remotos y credenciales débiles, propagándose mediante movimiento lateral automatizado y desactivando defensas como Windows Defender. Dirigen ataques a Windows, Linux y ESXi, afectando bases de datos, respaldos y virtualización.

El panorama de amenazas de ransomware entró en una nueva fase en 2025. Lo que alguna vez fue un modelo de negocio delictivo altamente confiable, basado en cifrar los archivos de las víctimas y cobrar pagos de rescate, ahora enfrenta una presión financiera significativa. Las tasas de pago de rescates han alcanzado mínimos históricos, las demandas promedio han caído drásticamente y las organizaciones se están recuperando de los ataques de manera más efectiva

El panorama del ransomware sigue evolucionando con nuevos actores de amenazas que adoptan tácticas poco convencionales. Coinbase Cartel surgió en septiembre de 2025, logrando rápidamente 14 víctimas en su primer mes de operación. A diferencia de los grupos tradicionales de ransomware, este actor de amenazas se centra exclusivamente en la exfiltración de datos sin cifrar sistemas, lo que representa un cambio en las estrategias de los ciberdelincuentes. 

El grupo de amenazas ShinyHunters ha ampliado sus operaciones de extorsión con métodos de ataque sofisticados dirigidos a sistemas basados en la nube en múltiples organizaciones. Estos ciberdelincuentes utilizan phishing de voz y sitios web falsos de recolección de credenciales para robar información de inicio de sesión de los empleados. Una vez que obtienen acceso, extraen datos sensibles de aplicaciones de software en la nube y utilizan esta información para exigir pagos de rescate

Los actores de amenazas están atacando activamente instancias de MongoDB expuestas en internet en campañas automatizadas de ransomware a gran escala. Los ataques siguen un patrón consistente: los atacantes escanean bases de datos de MongoDB no protegidas accesibles en internet, eliminan los datos almacenados e insertan notas de rescate exigiendo el pago en Bitcoin. Evidencias recientes indican que estas campañas siguen siendo altamente rentables a pesar de que las demandas de rescate suelen ser modestas.

Una usuaria sufrió un robo de datos íntimos compartidos con su terapeuta, recibiendo un correo de extorsión que exigía hasta 500 euros para evitar su publicación en internet, alertando sobre los riesgos de ciberseguridad en sesiones psicológicas.

El fabricante de calzado y ropa deportiva Nike se ha convertido en la última víctima de WorldLeaks, un grupo de ransomware con motivación financiera conocido por ataques de extorsión de datos. El grupo anunció la brecha en su sitio de filtraciones en la darknet el 22 de enero, atribuyéndose la responsabilidad del incidente y amenazando con publicar los datos robados el 25 de enero de 2026

En una impactante traición a la confianza de la industria, dos antiguos profesionales de la ciberseguridad se han declarado culpables de cargos federales por lanzar ataques de ransomware contra empresas estadounidenses. La pareja, cuyo trabajo diario implicaba ayudar a las empresas a responder a los hackeos y negociar rescates, admitió haber trabajado como ciberdelincuentes a escondidas en un plan para extorsionar millones de dólares a las víctimas. 

El grupo ransomware ALPHV/BlackCat comienza a publicar sitios web de víctimas individuales en la internet pública, con los datos filtrados disponibles de forma que sean fáciles de buscar por los propios empleados y víctimas (por ejemplo, huéspedes de un hotel)