ESET, compañía líder en ciberseguridad, advierte de que el ransomware sigue siendo una de las principales amenazas para las empresas españolas y que, lejos de desaparecer, continúa evolucionando hacia un modelo criminal cada vez más profesionalizado, escalable y difícil de anticipar.
El análisis de la actividad observada en España durante los primeros meses de 2026 muestra que, siempre teniendo en cuenta que estos datos podrían no ser 100% exactos debido mucha actividad relacionada con el ransomware nunca sale a la luz, Qilin ha sido el grupo de ransomware con mayor actividad dirigida a España en este periodo. Surgido en el último trimestre de 2022, Qilin se ha consolidado como uno de los principales exponentes del modelo de Ransomware-as-a-Service (RaaS), tanto a nivel nacional como internacional.
En segunda posición aparece The Gentlemen, un
grupo que, pese a anunciarse también bajo esquemas de RaaS, se caracteriza por
ataques más dirigidos y menos masivos. Su actividad en España repuntó
especialmente durante el mes de marzo, cuando publicó un número destacado de
víctimas en su blog. El tercer puesto lo ocupa Nightspire, una operación más
reciente que ha ido ganando protagonismo desde su aparición durante el primer
trimestre de 2025.
Ranking de grupos de ransomware con objetivos en España durante principios de 2026. Fuente: BreachHouse
“El ransomware ya no puede entenderse como un
ataque aislado que aparece de repente en una empresa. Detrás hay una industria
criminal con proveedores, afiliados, herramientas, mercados de credenciales y
servicios especializados. Esa profesionalización es precisamente lo que hace
que siga siendo una amenaza tan rentable y persistente”, señala Josep Albors, director de
investigación y concienciación de ESET España.
Industria, marketing, construcción y logística, entre los sectores más afectados
El análisis sectorial de los ataques observados en España refleja que las empresas del sector industrial se sitúan entre las más afectadas. Les siguen organizaciones vinculadas al marketing y la comunicación, la construcción e inmobiliaria, la logística y el transporte y las tecnologías de la información.
En el caso español conviven dos grandes dinámicas. Por un lado, campañas masivas que suelen afectar a pymes y micropymes con defensas más limitadas. Por otro, ataques dirigidos contra compañías de mayor tamaño o sectores concretos, en los que los delincuentes dedican más tiempo a estudiar el entorno de la víctima y maximizar la presión.
En ambos casos, la estrategia de extorsión es similar. Los atacantes ya no se limitan a cifrar los archivos de una empresa, sino que antes suelen robar información sensible y amenazan con publicarla si la víctima no paga. Esta doble extorsión convierte el incidente en una crisis de continuidad de negocio, reputación, cumplimiento normativo y confianza con clientes y proveedores.
Los datos observados muestran, además, que enero fue uno de los meses con mayor número de casos detectados en España. Este comportamiento resulta especialmente significativo porque, tradicionalmente, los periodos con más festivos o menor actividad laboral pueden convertirse en ventanas de oportunidad para los ciberdelincuentes.
Durante estos días, muchas organizaciones operan con equipos reducidos, menor supervisión y más retrasos en la respuesta ante alertas. Esta circunstancia puede facilitar que los atacantes pasen más tiempo dentro de los sistemas sin ser detectados.
El ransomware funciona como un negocio, no como un ataque improvisado
ESET recuerda que el ransomware actual opera bajo una lógica muy similar a la de una industria. En este ecosistema participan desarrolladores de malware, operadores de plataformas, afiliados encargados de ejecutar ataques, brokers de acceso inicial que venden credenciales robadas y proveedores de herramientas diseñadas para evadir o desactivar soluciones de seguridad.
Este modelo reduce la barrera de entrada para los delincuentes. Cada participante solo necesita especializarse en una parte concreta de la cadena. Un actor puede vender accesos a redes corporativas sin ejecutar el ataque final. Otro puede alquilar una plataforma de ransomware. Otro puede adquirir herramientas para desactivar soluciones EDR o XDR. El resultado es un mercado criminal flexible, competitivo y con capacidad para adaptarse rápidamente.
Los datos globales de ESET apuntan en la misma dirección. Según su telemetría, las detecciones de ransomware aumentaron un 13% en la segunda mitad de 2025 frente al semestre anterior, después de haber crecido un 30% durante la primera mitad del año. A su vez, el informe DBIR 2025 de Verizon situó el ransomware en el 44% de las brechas analizadas, frente al 32% del periodo anterior, mientras que el pago mediano de rescates bajó de 150.000 a 115.000 dólares.
Para ESET, esta aparente reducción del rescate medio no implica una menor amenaza, sino un cambio de estrategia. Más objetivos, ataques más escalables y rescates más ajustados pueden convertir el ransomware en un negocio de volumen, especialmente orientado a organizaciones más pequeñas o con menor madurez en ciberseguridad.
Uno de los aspectos que más preocupa es el crecimiento del mercado de herramientas diseñadas específicamente para desactivar soluciones de seguridad. Los llamados EDR killers buscan inutilizar tecnologías de detección y respuesta en endpoints, precisamente las que resultan clave para identificar comportamientos sospechosos dentro de una red comprometida.
Una amenaza que exige prevención, detección y respuesta continua
ESET subraya que la protección frente al ransomware no puede basarse únicamente en cumplir requisitos mínimos o confiar en que no haya habido incidentes previos. La compañía recomienda adoptar una estrategia de seguridad que combine prevención, inteligencia de amenazas, detección de comportamientos anómalos, respuesta rápida y planes sólidos de recuperación.
Entre las medidas clave destacan mantener copias de seguridad actualizadas y desconectadas, aplicar parches de seguridad de forma continua, proteger los accesos remotos, activar la autenticación multifactor, monitorizar credenciales expuestas en mercados ilícitos, formar a los empleados frente a técnicas de ingeniería social y contar con soluciones capaces de detectar intentos de movimiento lateral, escalada de privilegios o desactivación de herramientas de seguridad.