El FBI advierte que el grupo Silent Ransom Group sigue atacando firmas de abogados en EE. UU. mediante phishing y suplantación de personal de IT. Los criminales utilizan accesos remotos o incluso se presentan físicamente en las oficinas para robar datos confidenciales a través de USB. Se recomienda bloquear puertos externos, usar autenticación multifactor y capacitar al personal para evitar estas extorsiones.

La empresa de tecnología educativa Instructure, propietaria de Canvas, llegó a un acuerdo con el grupo cibercriminal ShinyHunters tras el robo de 3.65 TB de datos de unas 9,000 instituciones. La compañía decidió pagar un rescate para evitar la filtración de 275 millones de registros y asegurar la destrucción de la información robada. Actualmente, trabajan en mejorar su seguridad y advierten sobre posibles campañas de phishing dirigidas a estudiantes y personal afectado.

Un negociador de ransomware se declara culpable tras filtrar detalles del seguro de víctimas a hackers de 'BlackCat' — el delincuente proporcionó a los atacantes una imagen precisa de cuánto podía pagar cada objetivo.

Ciberdelincuentes generan miles de emails fraudulentos en borradores de Outlook/Hotmail para extorsionar sin activar medidas antispam, accediendo mediante enlaces maliciosos o infostealers. Para solucionarlo, cambia la contraseña, activa autenticación en dos pasos, cierra sesiones, elimina reglas de reenvío y revoca accesos a apps.

 El ransomware The Gentlemen, surgido en julio de 2025 como RaaS tras una disputa con Qilin, ha atacado a 48 víctimas en América Latina usando extorsión dual (cifrado + robo de datos) con algoritmos XChaCha20 y Curve25519. Explotan vulnerabilidades en VPN FortiGate (CVE-2024-55591), servicios remotos y credenciales débiles, propagándose mediante movimiento lateral automatizado y desactivando defensas como Windows Defender. Dirigen ataques a Windows, Linux y ESXi, afectando bases de datos, respaldos y virtualización.

El panorama de amenazas de ransomware entró en una nueva fase en 2025. Lo que alguna vez fue un modelo de negocio delictivo altamente confiable, basado en cifrar los archivos de las víctimas y cobrar pagos de rescate, ahora enfrenta una presión financiera significativa. Las tasas de pago de rescates han alcanzado mínimos históricos, las demandas promedio han caído drásticamente y las organizaciones se están recuperando de los ataques de manera más efectiva

El panorama del ransomware sigue evolucionando con nuevos actores de amenazas que adoptan tácticas poco convencionales. Coinbase Cartel surgió en septiembre de 2025, logrando rápidamente 14 víctimas en su primer mes de operación. A diferencia de los grupos tradicionales de ransomware, este actor de amenazas se centra exclusivamente en la exfiltración de datos sin cifrar sistemas, lo que representa un cambio en las estrategias de los ciberdelincuentes. 

El grupo de amenazas ShinyHunters ha ampliado sus operaciones de extorsión con métodos de ataque sofisticados dirigidos a sistemas basados en la nube en múltiples organizaciones. Estos ciberdelincuentes utilizan phishing de voz y sitios web falsos de recolección de credenciales para robar información de inicio de sesión de los empleados. Una vez que obtienen acceso, extraen datos sensibles de aplicaciones de software en la nube y utilizan esta información para exigir pagos de rescate

Los actores de amenazas están atacando activamente instancias de MongoDB expuestas en internet en campañas automatizadas de ransomware a gran escala. Los ataques siguen un patrón consistente: los atacantes escanean bases de datos de MongoDB no protegidas accesibles en internet, eliminan los datos almacenados e insertan notas de rescate exigiendo el pago en Bitcoin. Evidencias recientes indican que estas campañas siguen siendo altamente rentables a pesar de que las demandas de rescate suelen ser modestas.

Una usuaria sufrió un robo de datos íntimos compartidos con su terapeuta, recibiendo un correo de extorsión que exigía hasta 500 euros para evitar su publicación en internet, alertando sobre los riesgos de ciberseguridad en sesiones psicológicas.

El fabricante de calzado y ropa deportiva Nike se ha convertido en la última víctima de WorldLeaks, un grupo de ransomware con motivación financiera conocido por ataques de extorsión de datos. El grupo anunció la brecha en su sitio de filtraciones en la darknet el 22 de enero, atribuyéndose la responsabilidad del incidente y amenazando con publicar los datos robados el 25 de enero de 2026