Una nueva campaña de ransomware está poniendo en alerta máxima a las organizaciones. Un grupo de amenazas con motivación financiera conocido como Storm-1175 ha estado llevando a cabo ataques rápidos contra sistemas vulnerables expuestos en internet, desplegando el ransomware Medusa como golpe final. 

Una nueva y peligrosa campaña de ransomware ha surgido en Sudamérica, dirigiéndose a usuarios de Windows con una cepa cuidadosamente elaborada que imita de cerca al conocido ransomware Akira. Aunque ambos pueden parecer casi idénticos a simple vista, esta nueva amenaza se basa en un fundamento completamente diferente —uno que toma prestados elementos de otro ransomware notorio 

Google ha anunciado oficialmente la disponibilidad general de sus funciones de detección de ransomware y restauración de archivos para Google Drive. Lanzadas originalmente en versión beta en septiembre de 2025, estas mejoras en los controles de seguridad ofrecen a las organizaciones defensas más robustas contra ataques de malware que afectan tanto a equipos locales como a la sincronización en la nube. El modelo de inteligencia artificial que impulsa esta actualización incluye mejoras significativas en su rendimiento.

Un servidor mal configurado alojado en un proveedor de hosting a prueba de balas ruso ha expuesto el kit de herramientas operativo completo de un afiliado de TheGentlemen ransomware, incluyendo credenciales robadas de víctimas y tokens de autenticación en texto plano utilizados para establecer túneles de acceso remoto ocultos. El grupo TheGentlemen ransomware opera como un servicio de Ransomware-as-a-Service (RaaS), donde los afiliados llevan a cabo ataques utilizando herramientas compartidas

El grupo de ransomware Qilin está desplegando una cadena de infección sofisticada y de múltiples etapas a través de una DLL maliciosa msimg32.dll que puede desactivar más de 300 controladores de detección y respuesta en endpoints (EDR) de prácticamente todos los principales proveedores de seguridad. A medida que las organizaciones dependen cada vez más de las soluciones EDR, que ofrecen una visibilidad conductual mucho mayor que los antivirus tradicionales, los actores de amenazas han adaptado sus tácticas desarrollando asesinos de EDR 

 El ransomware The Gentlemen, surgido en julio de 2025 como RaaS tras una disputa con Qilin, ha atacado a 48 víctimas en América Latina usando extorsión dual (cifrado + robo de datos) con algoritmos XChaCha20 y Curve25519. Explotan vulnerabilidades en VPN FortiGate (CVE-2024-55591), servicios remotos y credenciales débiles, propagándose mediante movimiento lateral automatizado y desactivando defensas como Windows Defender. Dirigen ataques a Windows, Linux y ESXi, afectando bases de datos, respaldos y virtualización.

El grupo Ransomware Interlock está explotando una vulnerabilidad zero-day crítica (CVE-2026-20131, CVSS 10.0) en Cisco FMC, permitiendo ejecución remota de comandos con privilegios de root sin autenticación; Cisco lanzó un parche de emergencia para solucionarlo.

Aleksei Volkov, un ciudadano ruso de 26 años, ha sido condenado a 81 meses de prisión federal por operar como Initial Access Broker (IAB). Sus actividades ilícitas permitieron directamente a importantes sindicatos del cibercrimen, incluyendo al notorio grupo de ransomware Yanluowang, comprometer numerosas redes corporativas en los Estados Unidos.

Un nuevo análisis revela que 54 EDR Killers aprovechan la técnica BYOVD (Bring Your Own Vulnerable Driver) para deshabilitar software de seguridad mediante 34 controladores vulnerables, permitiendo a atacantes de ransomware evadir detecciones antes de cifrar archivos. Estos ataques explotan drivers legítimos pero vulnerables para obtener privilegios en modo kernel y neutralizar herramientas EDR, con grupos como DeadLock y herramientas comerciales como DemoKiller liderando su uso. Además, se identifican variantes basadas en scripts, anti-rootkits y herramientas sin driver como EDRSilencer, destacando la evolución de tácticas para burlar defensas.

Una campaña activa del grupo de ransomware Interlock está explotando una vulnerabilidad crítica de día cero (CVE-2026-20131) en el software Cisco Secure Firewall Management Center (FMC). Cisco reveló la falla el 4 de marzo de 2026; esta permite a atacantes remotos no autenticados ejecutar código Java arbitrario como root. Investigadores de inteligencia de amenazas de Amazon descubrieron que Interlock explotaba esta vulnerabilidad 36 días antes 

Un grupo de ransomware conocido como LeakNet ha estado desarrollando en silencio una estrategia de ataque más peligrosa. Hasta hace poco, el grupo registraba un promedio de tres víctimas al mes, pero nuevas evidencias muestran que está escalando rápidamente, incorporando herramientas que la mayoría de las defensas de seguridad no están preparadas para detectar.

El panorama de amenazas de ransomware entró en una nueva fase en 2025. Lo que alguna vez fue un modelo de negocio delictivo altamente confiable, basado en cifrar los archivos de las víctimas y cobrar pagos de rescate, ahora enfrenta una presión financiera significativa. Las tasas de pago de rescates han alcanzado mínimos históricos, las demandas promedio han caído drásticamente y las organizaciones se están recuperando de los ataques de manera más efectiva

Una nueva cepa de ransomware identificada como “Payload” ha surgido como una grave amenaza para organizaciones de múltiples sectores, combinando técnicas de cifrado robustas con capacidades antiforenses avanzadas. El grupo detrás de este malware ha estado activo desde al menos el 17 de febrero de 2026 —el mismo día en que se compiló su binario para Windows— 

Un preocupante avance ha surgido a principios de 2026, ya que IBM X-Force descubrió una cepa de malware probablemente generada por IA que han denominado “Slopoly”, desplegada durante un ataque de ransomware por el grupo de amenazas con motivación financiera Hive0163. Este grupo se centra principalmente en el robo de datos a gran escala y en el despliegue de ransomware, utilizando un arsenal cada vez mayor de herramientas personalizadas para mantenerse persistente

Las empresas pagan más rescates por ciberataques con IA, que aumentaron la sofisticación de los ataques de ransomware. Según un estudio de S-RM y FGS Global, el 24,3% de las empresas atacadas en 2025 pagó rescate (frente al 14,4% en 2024). Sectores como el industrial son los más afectados, con casos como Jaguar Land Rover o Marks & Spencer. Los pagos oscilan entre 10.000 y 1 millón de dólares, con un promedio de 296.000 dólares. La IA ayuda a los ciberdelincuentes a personalizar amenazas y aumentar la presión. Además, crece la fragmentación de grupos criminales (67 en 2026) y los ataques se expanden a Asia-Pacífico.

Veeam ha corregido 7 fallos críticos en su software Backup & Replication que permitían ejecución remota de código, incluyendo vulnerabilidades con puntuaciones CVSS de hasta 9.9 como CVE-2026-21666 y CVE-2026-21708. Las versiones afectadas son 12.3.2.4165 y anteriores, solucionadas en la versión 12.3.2.4465 y 13.0.1.2067. La compañía advierte que los atacantes podrían explotar estos fallos en sistemas sin parchear, especialmente tras su divulgación, y recomienda actualizar urgentemente para evitar riesgos como ransomware, dado que Veeam ha sido blanco de ciberdelincuentes en el pasado.

En una gran operación internacional contra el cibercrimen, agencias de aplicación de la ley de 72 países han desmantelado con éxito más de 45.000 direcciones IP maliciosas y servidores. Coordinada por INTERPOL, «Operación Synergia III» se centró en la infraestructura crítica detrás de devastadoras campañas de ransomware, malware y phishing en todo el mundo. La operación, que se desarrolló del 18 de julio de 2025 al 31 de enero de 2026, destaca una colaboración transfronteriza sin precedentes

Una vulnerabilidad crítica en Apache ActiveMQ ha sido explotada activamente por actores de amenazas, lo que ha llevado al despliegue completo del ransomware LockBit en una red empresarial. Los atacantes aprovecharon la CVE-2023-46604, una falla de ejecución remota de código en el broker de mensajería ActiveMQ, para infiltrarse en un servidor Windows expuesto y, finalmente, cifrar sistemas a través del Protocolo de Escritorio Remoto (RDP),

El sector financiero sigue siendo un objetivo principal para los ciberdelincuentes, ya que protege no solo grandes sumas de dinero, sino también datos personales sensibles, sistemas de pago y la confianza económica. Informes recientes destacan amenazas en aumento, con un 65% de las organizaciones financieras afectadas por ransomware en 2024, la tasa más alta entre todas las industrias, mientras que los costos promedio de recuperación, excluyendo los rescates, alcanzaron los 2,73 millones de dólares.

Cartas de notificación sobre la fuga de datos de Conduent enviadas a millones de personas mientras un grupo de ransomware afirma haber robado 8 terabytes en uno de los mayores incidentes en EE.UU. Las cartas comenzaron a llegar este mes a los afectados, detallando una importante filtración de datos en Conduent Business Services, LLC, un contratista tecnológico gubernamental que procesa pagos, reclamaciones de salud y servicios administrativos para clientes en todo el país.