El ransomware ya no es dominio exclusivo de hackers solitarios que escriben código personalizado. En 2025, los ataques de ransomware denunciados públicamente aumentaron un 47 %, hasta superar los 7200 incidentes, y los investigadores rastrearon 124 grupos distintos que operaban simultáneamente. El multiplicador de fuerza detrás de esta explosión es el ransomware como servicio (RaaS), un modelo de negocio que permite a cualquier persona con criptomonedas e intenciones delictivas lanzar ataques de ransomware a nivel empresarial. Este artículo analiza cómo funciona el modelo RaaS, quiénes son los principales actores, qué grupos dominan el panorama actual y, lo que es más importante, cómo los defensores pueden detectar la actividad de los afiliados antes de que comience el cifrado.
El ransomware como servicio (RaaS) es un modelo de negocio de ciberdelincuencia en el que los desarrolladores de ransomware, conocidos como operadores, crean, mantienen y alquilan plataformas de ransomware a otros delincuentes, conocidos como afiliados, que llevan a cabo los ataques reales, compartiendo los ingresos a través de suscripciones, cuotas únicas o repartos de beneficios basados en porcentajes.
El modelo refleja la distribución legítima de software como servicio (SaaS). Al igual que una empresa puede suscribirse a una cloud y utilizarla para gestionar su negocio, los afiliados a RaaS se suscriben a una plataforma de ransomware y la utilizan para llevar a cabo ataques. El operador se encarga del malware , la infraestructura, el procesamiento de pagos e incluso la atención al cliente. El afiliado se encarga de la selección de objetivos, el acceso inicial y la implementación.
Esta separación de tareas es lo que hace que RaaS sea tan peligroso. El ransomware tradicional requería que un solo actor o grupo poseyera toda la gama de habilidades, desde malware hasta la explotación de redes y la negociación del rescate. RaaS elimina ese requisito, lo que aumenta exponencialmente el número de posibles atacantes.
La magnitud del problema es considerable. En 2025, El volumen de ataques aumentó un 47 %. durante 2024, con 124 grupos distintos rastreados — un aumento del 46 % con respecto al año anterior. El ransomware ahora representa El 20 % de todos los incidentes de ciberdelincuencia., y el Marco MITRE ATT&CK clasifica la técnica principal de impacto del ransomware en T1486 — Datos cifrados para lograr un mayor impacto.
El ransomware tradicional implica un único agente malicioso o un grupo cerrado que desarrolla e implementa el malware fin. RaaS introduce una división del trabajo entre tres o más partes: operadores, afiliados y proveedores de servicios de apoyo. El resultado es una empresa criminal escalable que funciona más como una franquicia que como una operación en solitario, lo que reduce drásticamente la barrera de entrada y aumenta el volumen de ataques a los que se enfrentan las organizaciones en la actualidad.
Las plataformas RaaS operan con la misma disciplina operativa que las empresas SaaS legítimas. Comprender este modelo es fundamental para los defensores, ya que revela dónde existen oportunidades de detección a lo largo del ciclo de vida del ataque.
La velocidad de este ciclo de vida se ha reducido drásticamente. Según IBM, el tiempo medio desde el acceso inicial hasta la implementación del ransomware se redujo a 3,84 días en 2025, frente a los más de 60 días de 2019. Esta aceleración significa que los defensores tienen un margen de detección más reducido, pero aún así explotable.
Los operadores proporcionan a los afiliados herramientas completas: generadores de carga útil con opciones de personalización, paneles de control para el seguimiento de víctimas, procesamiento automatizado de pagos e infraestructura de comando y control. Algunas plataformas incluso ofrecen «atención al cliente» para ayudar a los afiliados a resolver problemas de implementación y negociar con las víctimas.
El reclutamiento se lleva a cabo principalmente a través de foros de la web oscura. El foro RAMP sirvió como mercado principal hasta que el FBI lo confiscó en enero de 2026, y sus más de 14 000 usuarios se dispersaron a canales de Telegram y redes privadas de referencia. Los requisitos de entrada varían desde depósitos de 0,05 BTC hasta pruebas de actividad previa en ataques.
Una vez incorporados, los afiliados operan de forma independiente. Tienen acceso a creadores de cargas útiles, llevan a cabo sus propios ataques y, en algunos modelos, gestionan las negociaciones con las víctimas. Los operadores retienen a los mejores afiliados mediante cargas útiles mejoradas, mejores herramientas y mayores participaciones en los ingresos.
Comprender los precios de RaaS proporciona un contexto crítico de inteligencia sobre amenazas para los defensores que evalúan la escala y la accesibilidad de la amenaza.
El modelo de afiliados domina el panorama actual. Alinea los incentivos (los operadores solo ganan cuando los afiliados tienen éxito) y elimina por completo la barrera financiera de entrada, razón por la cual el ransomware como servicio ha permitido el aumento de los ataques a un ritmo sin precedentes.
La cadena de suministro de RaaS se extiende mucho más allá de la relación entre el operador y el afiliado. Un ecosistema criminal completo respalda el modelo, con servicios especializados en cada etapa.
Un agente de acceso inicial (IAB) es un actor malicioso especializado que compromete las redes corporativas y vende ese acceso a afiliados de RaaS. Los IAB actúan como eslabón de la cadena de suministro que permite a los afiliados menos cualificados eludir la fase más exigente técnicamente de un ataque.
Los IAB suelen cobrar entre 500 y 5000 dólares por acceso a la red, y los precios se basan en el tamaño de la organización objetivo, el sector y el nivel de acceso obtenido. Operan en foros de la web oscura y canales de Telegram, anunciando el acceso a organizaciones o sectores específicos.
Un ejemplo notable es TA584, que Proofpoint documentó en 2026 utilizando malware Tsundere Bot malware vender acceso a redes de Norteamérica, Reino Unido y Europa. El ecosistema de apoyo también incluye servicios como Shanya, un empaquetador como servicio que ayuda a los afiliados a evadir la detección de puntos finales. El alojamiento a prueba de balas, el lavado de criptomonedas y los servicios de negociación completan el ecosistema del cibercrimen como servicio.
Esto es importante para los defensores porque la ingeniería social y el reconocimiento llevados a cabo por los IAB pueden producirse semanas o meses antes del despliegue real del ransomware, lo que crea oportunidades de detección temprana.
Tabla: Comparación de responsabilidades, participaciones en los ingresos y perfiles de riesgo entre las tres funciones principales del ecosistema RaaS.
El panorama del RaaS en 2025-2026 está más fragmentado que nunca, con 124 grupos rastreados y una rápida migración de afiliados entre plataformas. Comprender qué grupos están activos actualmente —y qué modelos emplean— es esencial para calibrar las defensas.
Tabla: Grupos activos de ransomware como servicio rastreados entre el cuarto trimestre de 2025 y el primer trimestre de 2026, clasificados por cuota de mercado.
El ecosistema está en constante cambio. Black Basta a principios de 2025 después de que unas filtraciones en el chat interno revelaran sus operaciones: su líder, Oleg Nefedov, se enfrenta ahora a una notificación roja de la INTERPOL, y sus miembros se han dispersado entre Chaos, INC, Lynx, Cactus y Nokoyawa. RansomHub también se derrumbó, lo que solo provocó un breve descenso en los ataques antes de que sus afiliados migraran a plataformas competidoras.
Esta fragmentación genera riesgos de violación de datos para las organizaciones. Los analistas predicen que 2026 será el primer año en el que los nuevos actores de ransomware fuera de Rusia superarán en número a los que se encuentran dentro del país, lo que refleja la rápida globalización del ecosistema y la aparición de grupos de habla inglesa como Scattered Spider sus propias plataformas RaaS.
Las tácticas de extorsión han evolucionado desde el simple cifrado hasta campañas de presión en múltiples niveles, aunque la extorsión basada únicamente en datos está perdiendo eficacia en 2025-2026.
El panorama actual muestra un sorprendente cambio de tendencia. Según Sophos, solo el 50 % de los ataques dieron lugar a cifrado en 2025, frente al 70 % en 2024, ya que muchos grupos pasaron a estrategias basadas únicamente en la exfiltración de datos. Sin embargo, los datos de Coveware del cuarto trimestre de 2025 revelan que este enfoque está perdiendo su ventaja. Las tasas de pago por exfiltración de datos cayeron hasta aproximadamente el 25 %, y las tasas generales de pago de rescates alcanzaron un mínimo histórico de aproximadamente el 20 % en el cuarto trimestre de 2025.
Esta disminución del apalancamiento sugiere un posible retorno a los ataques centrados en el cifrado en 2026, con grupos como Akira y Qilin que ya están demostrando este enfoque. Los defensores deben prepararse para ambos vectores.
Los ataques RaaS aumentaron un 47 % en 2025 hasta alcanzar los 7200 incidentes denunciados públicamente, lo que supuso un coste medio de 4,91 millones de dólares por infracción para las organizaciones.
El panorama financiero muestra una dinámica compleja. El total de pagos por ransomware disminuyó un 35 % hasta alcanzar los 813,55 millones de dólares en 2024, a pesar del aumento en el volumen de ataques, y la mediana del rescate se redujo a 1 millón de dólares en 2025. Los principales vectores de ataque fueron las vulnerabilidades explotadas (32 %), las credenciales comprometidas (23 %) y phishing. El sector manufacturero sufrió un aumento de los ataques del 61 % interanual, lo que representa el 14 % de todos los ataques, mientras que el sector sanitario sufrió 445 ataques en 2025.
Scattered Spider utilizaron el ransomware DragonForce para interrumpir las operaciones minoristas de M&S durante semanas, lo que provocó unas pérdidas estimadas de 300 millones de libras esterlinas en beneficios operativos.
Lección: La ingeniería social y el compromiso de la identidad siguen siendo eficaces incluso contra programas de seguridad maduros. La segmentación de la red y la detección rápida de movimientos laterales son fundamentales para contener la actividad de los afiliados tras el acceso inicial.
Los operadores de Qilin exigieron un rescate de 50 millones de dólares tras filtrar 400 GB de datos de pacientes que afectaban a más de 900 000 personas. Se cancelaron más de 800 operaciones del Servicio Nacional de Salud (NHS) y se confirmó que la filtración había contribuido a la muerte de un paciente.
Lección: Las organizaciones sanitarias son objeto de ataques desproporcionados debido a sus operaciones críticas para la vida. La evaluación de la seguridad de los proveedores externos y la segmentación de la red no son opcionales.
Una sola credencial VPN comprometida sin autenticación multifactorial permitió a los afiliados de DarkSide cerrar el mayor oleoducto de combustible de EE. UU. durante seis días. Colonial pagó aproximadamente 5 millones de dólares en concepto de rescate, mientras que se robaron unos 100 GB de datos.
Lección: Las medidas básicas de seguridad (autenticación multifactorial en todos los accesos remotos, segmentación de la red, gestión de credenciales) evitan la mayoría de los vectores de acceso inicial de RaaS. Este único incidente provocó una reflexión a nivel nacional sobre la seguridad de las infraestructuras críticas.
Una coalición internacional de 10 países confiscó la infraestructura, el código fuente y las claves de descifrado de LockBit. LockBit había reclamado más de 2000 víctimas y extorsionado 120 millones de dólares o más. En el segundo semestre de 2024, los pagos se redujeron un 79 %.
Lección: Las intervenciones policiales perturban significativamente las operaciones individuales, pero contribuyen a la fragmentación del ecosistema. Los afiliados migran a otras plataformas, por lo que se requieren estrategias de respuesta a incidentes continuas y adaptables, en lugar de depender de un único evento disruptivo.
Un intervalo de detección de 4-5 días entre el acceso inicial y el cifrado permite la detección del comportamiento de la actividad de los afiliados a RaaS en las capas de red e identidad.
Con un tiempo medio de permanencia de entre cuatro y cinco días y un tiempo medio desde el movimiento lateral hasta el cifrado de 17 horas, los defensores tienen una oportunidad real de detener los ataques RaaS antes de que se descargue la carga útil. La clave está en pasar de estrategias basadas únicamente en la prevención a la detección de compromisos asumidos.
Los fundamentos de la prevención siguen siendo esenciales:
Pero la prevención por sí sola no es suficiente. Tanto la guía #StopRansomware de la CISA como el marco de trabajo sobre ransomware del NIST recomiendan defensas por capas en todas las funciones de seguridad.
Tabla: Asignación de MITRE ATT&CK para tácticas, técnicas y procedimientos comunes de los afiliados a RaaS con enfoques de detección recomendados.
Con un tiempo medio de permanencia de cuatro a cinco días, cada hora entre el acceso inicial y el cifrado representa una oportunidad. La detección y respuesta de la red identifica los patrones de balizamiento C2, el movimiento lateral a través de SMB y RDP, y las operaciones de preparación de datos antes de que comience el cifrado.
La detección y respuesta ante amenazas a la identidad detecta patrones de uso indebido de credenciales que las herramientas basadas en firmas no detectan: Kerberoasting , pass-the-hash, ataques golden ticket y operaciones DCSync.
La detección de amenazas basadas en el comportamiento es especialmente importante cuando se eluden los controles de los puntos finales. Grupos como Reynolds aprovechan técnicas de «traiga su propio controlador vulnerable» (BYOVD) y servicios como el empaquetador como servicio de Shanya se centran específicamente en la evasión de EDR. Los equipos de búsqueda de amenazas que se centran en las anomalías de la red y la identidad detectan lo que las estrategias basadas únicamente en los puntos finales pasan por alto.
El modelo RaaS exige una defensa en profundidad en toda la cadena de ataque, no solo en el punto final. El sector está pasando de estrategias basadas únicamente en la prevención a la detección de compromisos que aprovecha la ventana previa al cifrado.
Los enfoques modernos eficaces combinan la detección y respuesta de red con el análisis del comportamiento de las identidades, las capacidades de respuesta automatizada y la automatización del SOC para contener los ataques durante el periodo de detección. La detección de amenazas basada en IA se mantiene al día con las operaciones RaaS aceleradas por IA, que comprimen los plazos de los ataques de meses a días.
La filosofía Vectra AI «asumir el compromiso» Vectra AI se alinea directamente con la ventana de detección de RaaS. En lugar de basarse únicamente en la prevención del acceso inicial, Attack Signal Intelligence en detectar los comportamientos de los atacantes (balizas C2, movimientos laterales, escalada de privilegios y almacenamiento de datos) en entornos de red, identidad, cloud y SaaS. Esta observabilidad unificada proporciona la claridad de señal que los equipos de seguridad necesitan para detener a los afiliados de RaaS antes de que comience el cifrado.
El ransomware como servicio ha transformado el panorama de amenazas, pasando de actores individuales a una industria criminal escalable con funciones especializadas, economía competitiva e innovación rápida. El panorama para 2025-2026, con 124 grupos activos, tasas de pago en caída y modelos de cártel emergentes, apunta a un ecosistema en transición, pero no en declive.
Para los defensores, la realidad operativa es clara. Los afiliados a RaaS siguen patrones de comportamiento predecibles: obtienen acceso, se mueven lateralmente, escalan privilegios, preparan datos y despliegan cargas útiles. El margen de detección de cuatro a cinco días entre el acceso inicial y el cifrado no es una vulnerabilidad. Es una oportunidad.
Las organizaciones que pasan de estrategias basadas únicamente en la prevención a la detección de compromisos, combinando análisis del comportamiento de la red, detección de amenazas de identidad y respuesta automatizada, se posicionan para detectar la actividad de los afiliados antes de que comience el cifrado. Los atacantes se han industrializado. La defensa debe evolucionar en consecuencia.
El ransomware como servicio es un modelo de negocio de ciberdelincuencia en el que los desarrolladores de ransomware (operadores) crean y mantienen plataformas de ransomware que otros delincuentes (afiliados) pueden utilizar para lanzar ataques. El modelo refleja los negocios legítimos de SaaS, en los que los afiliados pagan mediante suscripciones, cuotas únicas o acuerdos de reparto de ingresos. Los operadores se encargan malware , la infraestructura, el procesamiento de pagos y el soporte técnico. Los afiliados se encargan de la selección de objetivos, el acceso inicial y la implementación. Esta división del trabajo es la razón por la que en 2025 se rastrearon 124 grupos distintos: la barrera de entrada nunca ha sido tan baja.
Los precios de RaaS varían mucho en función del modelo y la calidad de la plataforma. Las suscripciones mensuales comienzan en torno a los 40 dólares por el acceso básico. Las licencias únicas oscilan entre los 500 y los 84 000 dólares para los kits premium con capacidades avanzadas de evasión. Los programas de afiliados no requieren ningún coste inicial, pero se llevan entre el 20 % y el 40 % de los pagos de rescate. Algunos programas requieren un depósito (por ejemplo, 0,05 BTC) para poder participar. Comprender estos precios ayuda a los responsables de seguridad a comunicar a las partes interesadas de la empresa por qué los ataques impulsados por RaaS son tan frecuentes: la barrera financiera para lanzar un ataque es mínima en comparación con el rendimiento potencial.
No. Crear, distribuir o utilizar ransomware es ilegal en prácticamente todas las jurisdicciones. Los operadores y afiliados de RaaS se enfrentan a severas sanciones penales, incluidas largas penas de prisión. En diciembre de 2025, dos profesionales de la ciberseguridad estadounidenses se declararon culpables de desplegar el ransomware ALPHV/BlackCat, lo que demuestra que las fuerzas del orden persiguen activamente a todos los participantes en la cadena de suministro de RaaS. Operaciones internacionales como la Operación Cronos contra LockBit muestran una creciente cooperación transfronteriza en la aplicación de la ley.
El ransomware tradicional implica a un único actor o grupo que desarrolla e implementa el malware . RaaS separa estas funciones: los operadores crean y mantienen la plataforma, mientras que los afiliados, que pueden tener conocimientos técnicos limitados, llevan a cabo los ataques reales. Esta división del trabajo aumenta drásticamente el número de posibles atacantes. Mientras que las campañas de ransomware tradicionales pueden implicar a un puñado de operadores cualificados, una sola plataforma RaaS puede permitir a cientos de afiliados llevar a cabo campañas independientes simultáneamente.
Un agente de acceso inicial (IAB) es un actor malicioso especializado que compromete las redes corporativas y vende ese acceso a afiliados de RaaS. Los IAB suelen cobrar entre 500 y 5000 dólares por cada acceso a la red, y operan en foros de la web oscura y canales de Telegram. Actúan como eslabón de la cadena de suministro que permite a los afiliados menos cualificados eludir por completo la fase inicial de compromiso. El foro RAMP fue un mercado IAB principal hasta su incautación por parte del FBI en enero de 2026, tras lo cual la actividad se dispersó a canales privados y plataformas de mensajería cifrada.
El RaaS ha reducido las barreras de entrada para los ciberdelincuentes al eliminar la necesidad de contar con conocimientos técnicos especializados en malware . Los afiliados reciben herramientas, infraestructura y asistencia ya preparadas, lo que permite a operadores con distintos niveles de habilidad llevar a cabo ataques sofisticados. Los aspectos económicos son muy atractivos: los programas de afiliados no requieren ninguna inversión inicial y ofrecen entre un 60 % y un 80 % de participación en los ingresos. En combinación con los IAB que venden acceso a redes ya preparadas, toda la cadena de ataque puede montarse sin necesidad de tener profundos conocimientos técnicos. Esto contribuyó a un aumento del 47 % en los ataques de ransomware denunciados públicamente en 2025.
La defensa requiere un enfoque por capas en toda la cadena de ataque. Implemente la autenticación multifactorial (MFA) en todos los accesos remotos y cuentas con privilegios. Mantenga copias de seguridad cifradas y fuera de línea que se comprueben periódicamente. Implemente la segmentación de la red para limitar el movimiento lateral. Corrija rápidamente las vulnerabilidades conocidas: las vulnerabilidades explotadas representan el 32 % de las causas fundamentales del ransomware. Utilice herramientas de detección de comportamiento (NDR e ITDR) para identificar la actividad de los afiliados durante el intervalo de cuatro a cinco días entre el acceso inicial y el cifrado. Denuncie los incidentes a las fuerzas del orden, lo que supone un ahorro de aproximadamente un millón de dólares por incidente. Siga la guía #StopRansomware de la CISA para obtener orientación completa.