Antes de entrar en cómo funciona un ataque de ransomware y qué puede hacer una empresa para defenderse, vale la pena mirar primero a quienes lo hacen posible. Porque detrás de cada ataque hay operadores, plataformas, afiliados y un ecosistema criminal que funciona con una eficiencia casi empresarial. Entender a los actores es entender el negocio, y sin eso cualquier análisis técnico se queda corto.
RaaS: el modelo que lo cambió todo
El salto llegó con Ransomware-as-a-Service (RaaS).
Aquí, los desarrolladores del malware proporcionan una plataforma completa: paneles de control, binarios, servicios de cifrado, webs de filtración y canales de soporte.
Los afiliados son quienes comprometen las empresas, despliegan el ataque y negocian los rescates. Las ganancias se reparten como si fuese un programa de partners criminal.
Resultado:
• Grupos más escalables.
• Reposicionamientos constantes si la marca se “quema”.
• Código y know-how reciclado entre familias.
• Ataques masivos en oleadas, sincronizados con nuevas vulnerabilidades.
Que desaparezca un nombre no significa que desaparezca la gente detrás.
Europa en su lista de favoritos
Europa es atractiva por una mezcla incómoda: datos sensibles, regulaciones duras, alta digitalización y un tejido empresarial repleto de compañías medianas con recursos ajustados.
El ransomware en la región está en máximos históricos, con España dentro del grupo más afectado.
Grupos en auge en 2025
El panorama cambia rápido, pero algunos nombres se repiten en informes europeos:
Qilin
• Uno de los grupos más activos del año.
• Casos muy visibles en España.
• Foco en industria y servicios.
• Amenaza habitual para empresas medianas.
INC Ransom
• Especializado en doble extorsión.
• Muy agresivo en la negociación y la exposición pública.
• Actividad destacada en Reino Unido, Francia y Alemania.
Grupos orientados a exfiltración masiva
• Enfoque menos en cifrado y más en robo/extorsión.
• Particularmente peligrosos para sectores con carga regulatoria alta.
Akira, Fog y otros mid-tier
• Muy presentes en estadísticas europeas.
• Apetito especial por empresas medianas y backups mal planteados.
• Demuestran que no hace falta ser una gran corporación para ser objetivo prioritario.
Mientras tanto, marcas históricas como LockBit o ALPHV/BlackCat han perdido visibilidad por operaciones policiales, pero su ADN sigue vivo en nuevas variantes y rebrandings.
Cómo trabajan realmente estos grupos
Detrás del ataque hay estructura:
• Brokers de acceso inicial: venden accesos a empresas ya comprometidas.
• Afiliados operativos: escalan privilegios, mueven lateralmente y roban datos.
• Desarrolladores: mantienen el malware y las plataformas de negociación.
• Equipos mediáticos: publican filtraciones, presionan y gestionan la web de víctimas.
• Negociadores: hablan con la víctima como si fuera un trato comercial.
Son organizaciones criminales, pero funcionan con procesos, especialización y eficiencia.
Por qué entender esto importa
Porque defenderse solo del cifrado es insuficiente.
Para protegerse hay que entender el modelo económico detrás: si se dificulta el acceso inicial, si se refuerzan backups inmutables, si se generan suficientes fricciones técnicas y legales, el ataque deja de ser rentable.
Y cuando un ataque deja de ser rentable, los afiliados pasan al siguiente objetivo.
La clave no es adivinar qué grupo te va a atacar, sino asumir que todos funcionan con incentivos similares.
Conocer cómo operan es el primer paso para romper su cadena de valor y volver el ataque demasiado caro para ellos y manejable para ti.
Si quieres ir más a fondo, tenemos una serie completa en LinkedIn dedicada a este tema.
Escrito por: David Delgado, Head of IT-SEC en edataconsulting