La empresa de tecnología educativa Instructure, propietaria de Canvas, llegó a un acuerdo con el grupo cibercriminal ShinyHunters tras el robo de 3.65 TB de datos de unas 9,000 instituciones. La compañía decidió pagar un rescate para evitar la filtración de 275 millones de registros y asegurar la destrucción de la información robada. Actualmente, trabajan en mejorar su seguridad y advierten sobre posibles campañas de phishing dirigidas a estudiantes y personal afectado.

A diferencia del ransomware tradicional que cifra datos, se ha descubierto una nueva técnica llamada GhostLock. Esta metodología logra interrumpir la operatividad de una organización sin necesidad de cifrar bytes en el disco, sino explotando el comportamiento estándar de archivos compartidos de Windows para bloquear el acceso a los archivos.

La ICO multó con casi 1 millón de libras a la matriz de South Staffordshire Water por fallos graves de seguridad tras un ataque de ransomware de Cl0p en 2022. La brecha, no detectada durante dos años, expuso datos personales y bancarios de más de 600,000 personas debido al uso de software obsoleto y monitoreo insuficiente. La empresa admitió su responsabilidad y afirmó estar invirtiendo en mejorar su resiliencia cibernética.

Investigadores de Rapid7 detectaron que el grupo iraní MuddyWater simuló ser la banda de ransomware Chaos para encubrir una operación de ciberespionaje. Los atacantes utilizaron phishing y manipulación social para robar credenciales y extraer datos sensibles sin cifrar archivos ni pedir rescate. Esta táctica de bandera falsa busca desviar la atención de los defensores y dificultar la atribución del ataque al estado iraní.

La amenaza del ransomware ha alcanzado un nivel nuevo y alarmante. Según el Informe Global del Panorama de Amenazas 2026 recientemente publicado por Fortinet, el número de víctimas confirmadas de ransomware en todo el mundo aumentó a 7.831 en 2025, frente a las aproximadamente 1.600 víctimas registradas en el informe del año anterior.

Investigadores han detectado un ransomware defectuoso que destruye archivos en lugar de cifrarlos, imposibilitando su recuperación incluso tras pagar el rescate.

Un nuevo grupo de ransomware denominado Vect 2.0 ha surgido en el panorama global de ciberamenazas, operando como una plataforma completa de Ransomware-as-a-Service (RaaS) que ataca sistemas Windows, Linux y VMware ESXi. El grupo apareció por primera vez en diciembre de 2025 y escaló rápidamente su actividad hasta febrero de 2026, reportando al menos 20 víctimas en diversos países e industrias críticas.

Los atacantes de ransomware ya no dependen únicamente de herramientas ampliamente conocidas para robar datos. Afiliados vinculados al grupo de ransomware Trigona han adoptado un enfoque más calculado, desarrollando su propia herramienta personalizada de exfiltración de datos, que les proporciona mayor precisión, velocidad y control sobre el proceso de robo de información. 

La mayoría de las organizaciones creen estar preparadas para ataques de ransomware, pero fallan en la recuperación real debido a copias de seguridad no fiables o lentas. Los atacantes comprometen los respaldos al acceder a redes compartidas, credenciales y privilegios, cifrando o eliminando datos críticos. El costo de la inactividad (hasta U$S5.600 por minuto) agrava el problema. La solución exige copias inmutables, aislamiento y pruebas bajo condiciones reales, ya que la ciberresiliencia va más allá de las copias de seguridad.

Un negociador de ransomware se declara culpable tras filtrar detalles del seguro de víctimas a hackers de 'BlackCat' — el delincuente proporcionó a los atacantes una imagen precisa de cuánto podía pagar cada objetivo.

Los actores de amenazas están ahora utilizando QEMU, un emulador de máquinas y virtualizador de código abierto legítimo, como una puerta trasera encubierta para robar credenciales y distribuir ransomware sin activar alertas de seguridad en los endpoints. Este preocupante cambio en el comportamiento de los atacantes destaca cómo herramientas de software confiables y de libre disponibilidad están siendo convertidas en potentes armas de evasión dentro de entornos empresariales. QEMU, que es ampliamente utilizado

Una nueva campaña de ransomware está poniendo en alerta máxima a las organizaciones. Un grupo de amenazas con motivación financiera conocido como Storm-1175 ha estado llevando a cabo ataques rápidos contra sistemas vulnerables expuestos en internet, desplegando el ransomware Medusa como golpe final. 

Una nueva y peligrosa campaña de ransomware ha surgido en Sudamérica, dirigiéndose a usuarios de Windows con una cepa cuidadosamente elaborada que imita de cerca al conocido ransomware Akira. Aunque ambos pueden parecer casi idénticos a simple vista, esta nueva amenaza se basa en un fundamento completamente diferente —uno que toma prestados elementos de otro ransomware notorio 

Un servidor mal configurado alojado en un proveedor de hosting a prueba de balas ruso ha expuesto el kit de herramientas operativo completo de un afiliado de TheGentlemen ransomware, incluyendo credenciales robadas de víctimas y tokens de autenticación en texto plano utilizados para establecer túneles de acceso remoto ocultos. El grupo TheGentlemen ransomware opera como un servicio de Ransomware-as-a-Service (RaaS), donde los afiliados llevan a cabo ataques utilizando herramientas compartidas