Secuestrar datos y pedir miles de dólares en rescate se ha vuelto una constante en el panorama digital de América Latina. En la primera mitad de 2025, los ciberataques de ransomware aumentaron un 47%, con 3.627 incidentes registrados frente a los 2.472 del mismo periodo en 2024, según datos de Comparitech.
El fenómeno no solo lo protagonizan los grupos tradicionales: la expansión de nuevas bandas especializadas ha intensificado la amenaza en la región y el resto del mundo.
Nuevos grupos de ransomware ponen en alerta a empresas y gobiernos
Entre los actores emergentes sobresalen Interlock, Warlock y SafePay, responsables de la ola de ataques en los últimos meses. Sus métodos y selección de objetivos reflejan la evolución del ransomware, con estrategias que combinan ingeniería social, explotación de vulnerabilidades y sofisticadas maniobras de extorsión.
Desde el portal de ciberseguridad, Welivesecurity, analizaron las técnicas de estas agrupaciones, señalando su impacto creciente sobre empresas, organismos públicos y sectores críticos de la economía.
Interlock: cómo funciona y a quién ataca este grupo de cibercriminales
La irrupción de Interlock data de finales de 2024 y se consolidó rápidamente con más de 20 ataques dirigidos a compañías de salud, gobiernos y centros educativos.
De acuerdo con la propia Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA), este grupo despertó alarma por emplear la técnica de ingeniería social “ClickFix”.
El método consiste en desplegar ventanas emergentes y falsos Captcha que inducen al usuario a ejecutar scripts maliciosos. Esto da acceso a la red interna para cifrar sistemas y exfiltrar grandes volúmenes de datos, como ocurrió con el proveedor de atención renal DaVita, víctima de la sustracción de 1,5 terabytes de información entre marzo y abril.
Warlock: ataques a empresas con vulnerabilidades y doble extorsión
Por su parte, Warlock (también conocido como Gold Salem o Storm-2603) emergió en marzo de 2025 bajo el esquema de “ransomware as a service”. En apenas meses, registró más de 60 ataques a empresas tecnológicas, financieras y de telecomunicaciones, especialmente en Estados Unidos, Japón y el Reino Unido.
Su especialidad radica en explotar vulnerabilidades críticas de Microsoft SharePoint, conocidas como ToolShell (CVE-2025-49706, CVE-2025-49704, CVE-2025-53770, CVE-2025-53771), para obtener acceso inicial. Luego aplica la táctica de doble extorsión: cifra los archivos y amenaza con divulgar la información robada si no recibe el pago exigido en dólares.
La expansión de SafePay consolidó aún más la tendencia. Este grupo, que irrumpió en el segundo semestre de 2024, intensificó su actividad en 2025, con más de 200 ataques tan solo en el primer trimestre.
SafePay, el ransomware que más creció en 2025 y su impacto en Latino América
Utiliza credenciales robadas y servicios expuestos (como VPN vulnerables) para infiltrarse en las redes empresariales. Una vez adentro, mueve información y credenciales lateralmente para maximizar el impacto antes de emitir la nota de rescate.
Sus principales víctimas se encuentran en Estados Unidos (103 casos confirmados), Alemania, Australia, Reino Unido y países latinoamericanos como México, Colombia y Argentina, afectando especialmente a industrias de manufactura, tecnología, educación y salud.
El informe de ciberseguridad subrayó que estos grupos han perfeccionado el modelo de doble extorsión: primero secuestran los datos, luego amenazan con publicarlos si no se cubre el rescate. Esto plantea riesgos financieros, legales y reputacionales a las organizaciones.
La dinámica del cibercrimen en América Latina muestra un avance constante, con grupos que adaptan sus tácticas según los movimientos de las defensas y del mercado negro digital.
La comunidad internacional ha respondido con alertas y nuevas estrategias de defensa. La CISA emitió comunicados para advertir sobre la actividad de Interlock y los riesgos asociados a los ataques actuales.
Consejos para protegerse de los secuestros de datos
Organizaciones de ciberseguridad recomiendan medidas como la autenticación multifactor (MFA), la realización de copias de seguridad periódicas, la actualización de parches de seguridad y la capacitación continua del personal. Según expertos citados por welivesecurity, estas prácticas disminuyen la probabilidad de ataques exitosos y ayudan a minimizar el impacto en caso de incidentes.
La ola de ransomware que afecta a América Latina refleja un fenómeno global que trasciende fronteras y sectores. La colaboración internacional y la inversión en prevención se presentan como los principales desafíos para el futuro inmediato, ante un escenario donde los ciberataques son cada vez más rápidos, rentables y dañinos para empresas y entidades públicas.
Últimas Noticias
Nuevo sistema robótico de reciclaje le da una segunda vida a las baterías de coches eléctricos
El proyecto, denominado CircuBAT, reunió a siete instituciones de investigación y 24 empresas para abordar este reto de transición energética
Cómo usar la IA de Google Maps para reportes de tráfico, reservas y ayuda en ruta
La nueva actualización de la aplicación convierte la IA de Google en copiloto digital, permitiendo comandos por voz y mejoras en la navegación
Actores ganadores del Oscar firman acuerdo con empresa de IA para que use sus voces
Matthew McConaughey y Michael Caine se unen a una lista de estrellas de Hollywood cuyas voces estarán presentes en contenidos generados por inteligencia artificial
Cómo decorar tu hogar en Navidad usando equipos electrónicos
Con los avances en proyectores, ahora puedes transformar paredes o techos en auténticos escenarios festivos
Cómo es la nueva función de Google Drive que transforma los PDF en resúmenes de audio
La nueva función permitirá transformar documentos extensos en grabaciones sintetizadas
