Bogotá, julio 31 de 2025 – Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global
en soluciones de ciberseguridad, entrega el “Reporte de Ransomware del segundo trimestre de 2025”,
destacando que los grupos se volvieron carteles, que la IA está ya incluida en el actuar delincuencial y que
cambian las tasas de pago, entre otros factores relevantes.
En el último Informe de Inteligencia sobre Amenazas de Ransomware de Check Point Research, analizamos
cómo el ecosistema del ransomware se está transformando rápidamente. El cambio de este trimestre
incluye malware generado por IA, el colapso de la confianza en el descifrado, cárteles impulsados por
afiliados y un panorama de amenazas fragmentado, más difícil que nunca de rastrear. El ransomware sigue
siendo uno de los sectores más rentables y de mayor crecimiento en el mundo de la ciberdelincuencia.
Cambios en los grupos de ransomware
• Disrupciones en los grupos de ransomware como servicio (RaaS): Varios grupos importantes de
ransomware han desaparecido, dejando un ecosistema fragmentado.
• Ligero descenso en la extorsión pública de víctimas: Este trimestre se identificaron menos víctimas en sitios
web de filtración de datos, probablemente debido a la presión de las fuerzas del orden y a los cambios en las
tácticas de los atacantes.
• Cambio continuo hacia la extorsión por robo de datos: Los atacantes continúan abandonando el cifrado,
centrándose en el robo y la filtración de datos para forzar el pago.
• El grupo de ransomware Qilin lidera con nuevas herramientas de extorsión: Qilin fue el grupo más activo
en el segundo trimestre, utilizando métodos innovadores para presionar a las víctimas y aumentar el pago
de rescates.
El ransomware impulsado por IA ya no es una teoría
En 2025, los grupos de ransomware no están experimentando con IA, sino que la están poniendo en
práctica. A principios de este año, Check Point Research observó campañas reales que utilizaban IA
generativa para contenido de phishing, ofuscación de código y suplantación de identidad de víctimas. La IA
actúa como un multiplicador de fuerza para los ciberdelincuentes, eliminando barreras de entrada y
reduciendo la dependencia de desarrolladores altamente cualificados. Observamos negociaciones con apoyo
de IA y servicios innovadores.
El grupo de ransomware conocido como Global Group (también conocido como El Dorado o Blacklock)
anuncia "apoyo de negociación con IA" como parte de su oferta de Ransomware como Servicio (RaaS). Esto
probablemente ayuda a los atacantes a refinar sus tácticas de negociación para obtener pagos de rescate
más altos.
Los expertos creen que estas herramientas de IA incluyen:
• Bots que personalizan las comunicaciones de rescate según las respuestas de las víctimas
• Mensajes generados por IA diseñados para ser más persuasivos o amenazantes
• Perfiles psicológicos para ejercer presión estratégica sobre los responsables de la toma de decisiones
En el segundo trimestre, Qilin también se convirtió en un actor dominante al implementar novedosas
herramientas y servicios de extorsión diseñados para intensificar la presión sobre las víctimas y maximizar
los pagos. Estos incluyen ofrecer asistencia legal para revisar los datos robados, evaluar posibles infracciones
©2025 Check Point Software Technologies Ltd. All rights reserved | P. 2
regulatorias en la jurisdicción de la víctima y preparar la documentación para su presentación a las
autoridades pertinentes, como las agencias tributarias, las fuerzas del orden o los organismos reguladores
como el FBI.
Cárteles, no bandas: Ransomware como marca
El negocio del ransomware se está profesionalizando y descentralizando. El grupo DragonForce
ha sido pionero en un cambio y se autodenomina un "modelo de cártel de ransomware". A diferencia de las
operaciones tradicionales de Ransomware como Servicio (RaaS), donde los afiliados siguen una estrategia
central, DragonForce les permite operar de forma semi-independiente, ejecutando sus propias campañas,
eligiendo sus propios objetivos y personalizando las tácticas de extorsión.
Elementos clave del modelo de cártel:
• Herramientas de marca blanca: Los afiliados obtienen acceso a los desarrolladores avanzados de
ransomware de DragonForce, la infraestructura del sitio de fugas y los mecanismos de cifrado.
• Licencias de marca: Los ataques llevan el nombre de DragonForce, lo que les otorga notoriedad inmediata
y un valor intimidante, incluso si los operadores principales no estuvieron directamente involucrados.
• Independencia operativa: Esta configuración distribuye el riesgo a la vez que aumenta el alcance,
dificultando las eliminaciones y dificultando la atribución.
¿Cree que las tasas de pago bajas son una ventaja?
Por primera vez, las tasas de pago globales por ransomware han disminuido entre un 25 % y un 27 %, según
Coveware. ¿Qué ha cambiado?
Factores que impulsan esta caída:
• Mayor resiliencia: Cada vez más organizaciones invierten en copias de seguridad, segmentación y
respuesta a incidentes, lo que les da la confianza para rechazar las demandas de rescate.
• Desconfianza en los atacantes: Las víctimas dudan cada vez más de que pagar resulte en claves de
descifrado funcionales o la eliminación de datos.
• Presión política: Gobiernos como los de EE. UU. y Australia están proponiendo o imponiendo prohibiciones
al pago de rescates, lo que redefine el cálculo del riesgo. Sin embargo, el ransomware no desaparecerá
pronto.
En cambio, los atacantes modifican constantemente sus métodos:
• Diversos tipos de triple extorsión: Las amenazas ahora van más allá del cifrado e incluyen el robo de datos
y ataques directos a clientes, empleados o socios.
• Subastas de datos: Los datos robados se venden en sitios de filtraciones o subastas en la dark web,
monetizando las filtraciones incluso sin que las víctimas paguen.
• Ataques de reputación: Algunos grupos lanzan ataques DDoS o contactan con medios y organismos
reguladores para presionar públicamente a las víctimas a pagar.
El panorama está cambiando del cifrado a cambio de un rescate a la extorsión por cualquier medio
necesario.
“El dominio del ransomware ya no se concentra en unos pocos nombres. En cambio, estamos presenciando
una fragmentación del ecosistema, lo que representa un gran desafío para los defensores”, dijo Ángel
Salazar, Gerente de Ingeniería de Seguridad de Canales en América Latina de Check Point Software.
Solo en el segundo trimestre de 2025, LockBit, que alguna vez fue el grupo de RaaS más prolífico, sufrió
nuevos contratiempos operativos y perdió afiliados. RansomHub, otro grupo muy conocido cerró y Cactus y
otros grupos de nivel medio han desaparecido o se han dividido en ramas más pequeñas.
©2025 Check Point Software Technologies Ltd. All rights reserved | P. 3
Pero en lugar de una disminución en la actividad de ransomware, estamos observando un aumento de
actores nuevos o renombrados, muchos de los cuales reutilizan bases de código y herramientas filtradas,
pero las implementan con mayor sigilo.
Al estar difusa la línea entre grupos y malware reciclado, los defensores no pueden confiar en los IOC o TTP
tradicionales. La detección se retrasa: Los grupos más pequeños pasan desapercibidos, y a menudo solo
aparecen después de brechas de seguridad exitosas.
Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo
de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo
que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado
por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs.
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA que protege a más de
100.000 empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los ámbitos para mejorar la eficiencia y precisión de la
ciberseguridad a través de su Plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva a las
amenazas y tiempos de respuesta más ágiles e inteligentes. La plataforma integral incluye soluciones cloud compuestas por Check Point Harmony
para proteger el entorno laboral, Check Point CloudGuard para asegurar la cloud, Check Point Quantum para proteger la red y Check Point Infinity
Core Services para operaciones y servicios de seguridad colaborativos.
©2025 Check Point Software Technologies Ltd. Todos los derechos reservados.
Aviso legal sobre declaraciones prospectivas
Este comunicado de prensa contiene declaraciones prospectivas. Las declaraciones prospectivas generalmente se refieren a eventos futuros o a nuestro
desempeño financiero u operativo futuro. Las declaraciones prospectivas incluidas en este comunicado de prensa incluyen, pero no se limitan a, declaraciones
relacionadas con nuestras expectativas respecto al crecimiento futuro, la expansión del liderazgo de Check Point Software en la industria, la mejora del valor
para los accionistas y la entrega de una plataforma de ciberseguridad líder en la industria a clientes de todo el mundo. Nuestras expectativas y creencias sobre
estos temas pueden no materializarse, y los resultados o eventos futuros están sujetos a riesgos e incertidumbres que podrían hacer que los resultados reales o
los eventos difieran significativamente de los proyectados.
Las declaraciones prospectivas contenidas en este comunicado de prensa también están sujetas a otros riesgos e incertidumbres, incluyendo aquellos descritos
con mayor detalle en nuestros archivos ante la Comisión de Bolsa y Valores (SEC), incluyendo nuestro Informe Anual en el Formulario 20-F presentado ante la
SEC el 2 de abril de 2024. Las declaraciones prospectivas en este comunicado de prensa se basan en la información disponible para Check Point Software a la
fecha de este documento, y Check Point Software renuncia a cualquier obligación de actualizar cualquier declaración prospectiva, salvo que lo exija la ley.
