La amenaza del ransomware ha alcanzado un nivel nuevo y alarmante. Según el Informe Global del Panorama de Amenazas 2026 recientemente publicado por Fortinet, el número de víctimas confirmadas de ransomware en todo el mundo aumentó a 7.831 en 2025, frente a las aproximadamente 1.600 víctimas registradas en el informe del año anterior.

Investigadores han detectado un ransomware defectuoso que destruye archivos en lugar de cifrarlos, imposibilitando su recuperación incluso tras pagar el rescate.

El ransomware Kyber ataca sistemas Windows y servidores VMware ESXi con variantes que usan cifrado post-cuántico Kyber1024 (aunque en ESXi es falso, empleando ChaCha8/RSA-4096). Rapid7 detectó dos versiones: una para ESXi (cifra almacenes de datos y modifica interfaces) y otra para Windows (escrita en Rust, elimina copias de seguridad y apaga VMs Hyper-V). Ambas comparten infraestructura de rescate y afectaron a un contratista de defensa estadounidense. Los archivos cifrados reciben extensiones ".xhsyw" (ESXi) o «.#~~~» (Windows).

Un nuevo grupo de ransomware denominado Vect 2.0 ha surgido en el panorama global de ciberamenazas, operando como una plataforma completa de Ransomware-as-a-Service (RaaS) que ataca sistemas Windows, Linux y VMware ESXi. El grupo apareció por primera vez en diciembre de 2025 y escaló rápidamente su actividad hasta febrero de 2026, reportando al menos 20 víctimas en diversos países e industrias críticas.

Los atacantes de ransomware ya no dependen únicamente de herramientas ampliamente conocidas para robar datos. Afiliados vinculados al grupo de ransomware Trigona han adoptado un enfoque más calculado, desarrollando su propia herramienta personalizada de exfiltración de datos, que les proporciona mayor precisión, velocidad y control sobre el proceso de robo de información. 

Las estafas relacionadas con la declaración de la renta aumentan en primavera, aprovechando el plazo de la Agencia Tributaria para presentar el IRPF, con campañas de phishing, malware y ransomware como principales amenazas.

La mayoría de las organizaciones creen estar preparadas para ataques de ransomware, pero fallan en la recuperación real debido a copias de seguridad no fiables o lentas. Los atacantes comprometen los respaldos al acceder a redes compartidas, credenciales y privilegios, cifrando o eliminando datos críticos. El costo de la inactividad (hasta U$S5.600 por minuto) agrava el problema. La solución exige copias inmutables, aislamiento y pruebas bajo condiciones reales, ya que la ciberresiliencia va más allá de las copias de seguridad.

Un negociador de ransomware se declara culpable tras filtrar detalles del seguro de víctimas a hackers de 'BlackCat' — el delincuente proporcionó a los atacantes una imagen precisa de cuánto podía pagar cada objetivo.

Los actores de amenazas están ahora utilizando QEMU, un emulador de máquinas y virtualizador de código abierto legítimo, como una puerta trasera encubierta para robar credenciales y distribuir ransomware sin activar alertas de seguridad en los endpoints. Este preocupante cambio en el comportamiento de los atacantes destaca cómo herramientas de software confiables y de libre disponibilidad están siendo convertidas en potentes armas de evasión dentro de entornos empresariales. QEMU, que es ampliamente utilizado

Una nueva campaña de ransomware está poniendo en alerta máxima a las organizaciones. Un grupo de amenazas con motivación financiera conocido como Storm-1175 ha estado llevando a cabo ataques rápidos contra sistemas vulnerables expuestos en internet, desplegando el ransomware Medusa como golpe final. 

Una nueva y peligrosa campaña de ransomware ha surgido en Sudamérica, dirigiéndose a usuarios de Windows con una cepa cuidadosamente elaborada que imita de cerca al conocido ransomware Akira. Aunque ambos pueden parecer casi idénticos a simple vista, esta nueva amenaza se basa en un fundamento completamente diferente —uno que toma prestados elementos de otro ransomware notorio 

Google ha anunciado oficialmente la disponibilidad general de sus funciones de detección de ransomware y restauración de archivos para Google Drive. Lanzadas originalmente en versión beta en septiembre de 2025, estas mejoras en los controles de seguridad ofrecen a las organizaciones defensas más robustas contra ataques de malware que afectan tanto a equipos locales como a la sincronización en la nube. El modelo de inteligencia artificial que impulsa esta actualización incluye mejoras significativas en su rendimiento.

Un servidor mal configurado alojado en un proveedor de hosting a prueba de balas ruso ha expuesto el kit de herramientas operativo completo de un afiliado de TheGentlemen ransomware, incluyendo credenciales robadas de víctimas y tokens de autenticación en texto plano utilizados para establecer túneles de acceso remoto ocultos. El grupo TheGentlemen ransomware opera como un servicio de Ransomware-as-a-Service (RaaS), donde los afiliados llevan a cabo ataques utilizando herramientas compartidas

El grupo de ransomware Qilin está desplegando una cadena de infección sofisticada y de múltiples etapas a través de una DLL maliciosa msimg32.dll que puede desactivar más de 300 controladores de detección y respuesta en endpoints (EDR) de prácticamente todos los principales proveedores de seguridad. A medida que las organizaciones dependen cada vez más de las soluciones EDR, que ofrecen una visibilidad conductual mucho mayor que los antivirus tradicionales, los actores de amenazas han adaptado sus tácticas desarrollando asesinos de EDR 

 El ransomware The Gentlemen, surgido en julio de 2025 como RaaS tras una disputa con Qilin, ha atacado a 48 víctimas en América Latina usando extorsión dual (cifrado + robo de datos) con algoritmos XChaCha20 y Curve25519. Explotan vulnerabilidades en VPN FortiGate (CVE-2024-55591), servicios remotos y credenciales débiles, propagándose mediante movimiento lateral automatizado y desactivando defensas como Windows Defender. Dirigen ataques a Windows, Linux y ESXi, afectando bases de datos, respaldos y virtualización.

El grupo Ransomware Interlock está explotando una vulnerabilidad zero-day crítica (CVE-2026-20131, CVSS 10.0) en Cisco FMC, permitiendo ejecución remota de comandos con privilegios de root sin autenticación; Cisco lanzó un parche de emergencia para solucionarlo.

Aleksei Volkov, un ciudadano ruso de 26 años, ha sido condenado a 81 meses de prisión federal por operar como Initial Access Broker (IAB). Sus actividades ilícitas permitieron directamente a importantes sindicatos del cibercrimen, incluyendo al notorio grupo de ransomware Yanluowang, comprometer numerosas redes corporativas en los Estados Unidos.

Un nuevo análisis revela que 54 EDR Killers aprovechan la técnica BYOVD (Bring Your Own Vulnerable Driver) para deshabilitar software de seguridad mediante 34 controladores vulnerables, permitiendo a atacantes de ransomware evadir detecciones antes de cifrar archivos. Estos ataques explotan drivers legítimos pero vulnerables para obtener privilegios en modo kernel y neutralizar herramientas EDR, con grupos como DeadLock y herramientas comerciales como DemoKiller liderando su uso. Además, se identifican variantes basadas en scripts, anti-rootkits y herramientas sin driver como EDRSilencer, destacando la evolución de tácticas para burlar defensas.

Una campaña activa del grupo de ransomware Interlock está explotando una vulnerabilidad crítica de día cero (CVE-2026-20131) en el software Cisco Secure Firewall Management Center (FMC). Cisco reveló la falla el 4 de marzo de 2026; esta permite a atacantes remotos no autenticados ejecutar código Java arbitrario como root. Investigadores de inteligencia de amenazas de Amazon descubrieron que Interlock explotaba esta vulnerabilidad 36 días antes