Este cambio de estrategia viene acompañado de una nueva tendencia: la extorsión basada puramente en el robo de datos, dejando en un segundo plano el tradicional cifrado de archivos para asegurar pagos de forma más ágil y recurrente.
El análisis detallado por los expertos de Google sugiere que la rentabilidad general de las operaciones de ransomware está disminuyendo, lo que obliga a los atacantes a buscar nuevos modelos de negocio. Aunque en 2025 se registró un número récord de víctimas en los sitios de filtración de datos (DLS), la mejora en las prácticas de ciberseguridad y una capacidad de recuperación mayor de las organizaciones han hecho que las grandes empresas sean objetivos mucho más difíciles y menos rentables. Por este motivo, los actores maliciosos han optado por aumentar el volumen de ataques contra organizaciones más pequeñas, compensando la menor cuantía de los rescates con una ejecución más sencilla y masiva.
El auge del robo de datos frente al cifrado tradicional
Uno de los datos más alarmantes del informe de GTIG es el crecimiento exponencial de las intrusiones que incluyen el robo de información sensible. Mientras que en 2024 esta táctica se observaba en el 57% de los casos, en 2025 la cifra se disparó hasta alcanzar el 77%. Esta evolución indica que los atacantes perciben la extorsión por robo de datos como un método mucho más fiable y rápido para garantizar los pagos. Al amenazar con filtrar secretos comerciales o datos de clientes en la red, los atacantes ejercen una presión psicológica que a menudo resulta más efectiva que el bloqueo técnico de los sistemas.
Menor rentabilidad por el éxito de la prevención
A pesar de la agresividad de los ataques, el estudio arroja una nota positiva para la industria de la seguridad: la rentabilidad de las bandas de ransomware parece estar en declive. Este fenómeno se atribuye directamente a la adopción de protocolos de defensa más avanzados y a la concienciación de las empresas, que ahora cuentan con copias de seguridad más eficaces y planes de respuesta ante incidentes.
Esta mejora en la resiliencia de las víctimas está forzando a los ciberdelincuentes a evolucionar constantemente sus tácticas, técnicas y procedimientos (TTPs) para tratar de encontrar nuevas vulnerabilidades en el eslabón más débil de la cadena: la pequeña empresa.
Recomendaciones estratégicas para organizaciones vulnerables
Ante este cambio de objetivo, el Google Threat Intelligence Group recomienda a las pequeñas empresas reforzar sus perímetros de seguridad y, sobre todo, poner el foco en la protección de los datos. La investigación íntegra de GTIG subraya que ya no basta con tener sistemas de recuperación de archivos, sino que es vital monitorizar cualquier exfiltración de información hacia el exterior.
Conocer la evolución de estas tácticas es el primer paso para que las pymes dejen de ser un objetivo fácil en un ecosistema digital donde la extorsión se ha vuelto más sofisticada y selectiva.
