Ransomware 2026: se mantiene en niveles récord y se concentra en pocos grupos

La actividad del ransomware se mantuvo elevada en el primer trimestre de 2026, continuando la tendencia observada durante el último año.

Según el informe "Estado del Ransomware del primer trimestre de 2026" de Check Point Research, el volumen total de ataques se mantuvo cerca de máximos históricos. Al mismo tiempo, la estructura del ecosistema del ransomware cambió sustancialmente. Tras dos años de creciente fragmentación, la actividad se está consolidando en torno a un número menor de grupos dominantes. Para las organizaciones, este cambio reduce el número de actores activos, pero aumenta el impacto potencial de los incidentes individuales.Principales hallazgos:

• 2122 organizaciones figuraban en sitios web de filtración de datos de ransomware en el primer trimestre de 2026, lo que representa el segundo primer trimestre con mayor número de casos registrado.
• Los 10 principales grupos de ransomware concentraron el 71 % de todas las víctimas, revirtiendo la fragmentación observada durante gran parte de 2025.
• Qilin se mantuvo como la operación de ransomware más activa por tercer trimestre consecutivo, con 338 víctimas.
• The Gentlemen emergió como el grupo revelación, aumentando su actividad de 40 víctimas en el cuarto trimestre de 2025 a 166 en el primer trimestre de 2026.
• LockBit confirmó su regreso, registrando 163 víctimas y reingresando al grupo de los principales a nivel mundial.

En conjunto, estas cifras demuestran que el volumen de ataques de ransomware se ha estabilizado en un nivel base elevado, mientras que el poder operativo se está concentrando en menos manos, pero más capaces.

El alto volumen de ataques es la nueva normalidad. Check Point Research rastreó más de 70 sitios activos de filtración de datos por ransomware durante el primer trimestre de 2026. Estos sitios registraron:

• Más de 700 víctimas al mes en promedio.
• Mínima fluctuación entre enero, febrero y marzo.

A primera vista, las cifras interanuales sugieren una ligera disminución en comparación con el primer trimestre de 2025. Sin embargo, esta comparación es engañosa. Las cifras del año pasado se vieron infladas por una única campaña de explotación masiva. Al eliminar esta anomalía, la actividad del ransomware en realidad aumentó interanualmente.

La conclusión para los líderes empresariales es clara: el ransomware ya no se caracteriza únicamente por picos puntuales. En cambio, la actividad se ha estabilizado en un nivel operativo persistentemente alto con un crecimiento constante, lo que crea un entorno de riesgo para el que las organizaciones deben prepararse.

De la fragmentación a la consolidación

El cambio más importante este trimestre no radica en la cantidad de ataques, sino en quiénes los llevaron a cabo.

• En el tercer trimestre de 2025, la actividad de ransomware se distribuyó entre un número récord de grupos.
• Para el primer trimestre de 2026, el número de grupos activos había disminuido.
• Al mismo tiempo, el porcentaje de víctimas reclamadas por los principales operadores superó el 70 %.

Este patrón es conocido. La presión de las fuerzas del orden, la interrupción de la infraestructura y el entorno competitivo tienden a dispersar a los actores más pequeños. Los grupos más fuertes sobreviven, absorben a sus afiliados desplazados y crecen. En el primer trimestre de 2026, grupos como Qilin, Akira, The Gentlemen y LockBit representaron en conjunto el 41 % de todas las víctimas, mientras que los 10 principales grupos de ransomware representaron el 71 % del total.

Para los defensores, la consolidación aumenta el riesgo. Las operaciones de ransomware de mayor envergadura tienden a ser:

• Más organizadas
• Más consistentes en sus operaciones
• Más resistentes a las interrupciones

El caso de éxito: The Gentlemen

Uno de los aumentos de actividad más notables durante el primer trimestre de 2026 se atribuyó a The Gentlemen, un grupo de ransomware que alcanzó el tercer puesto a nivel mundial a los pocos meses de su inicio de actividad.

Su crecimiento se vio impulsado por un acceso preposicionado a gran escala. En lugar de depender de una explotación lenta y oportunista, el grupo operaba con un amplio inventario de puntos de entrada de red comprometidos, lo que le permitía lanzar ataques de forma inmediata y masiva.

Su patrón de objetivos también destaca:

• Solo el 13 % de las víctimas extorsionadas públicamente residían en Estados Unidos, en comparación con un promedio del ecosistema del 49,6 %.
• La actividad se concentró en Asia-Pacífico y Latinoamérica, reflejando la distribución geográfica de los puntos de acceso comprometidos en lugar de un cambio en el panorama general de amenazas.

Esta disparidad no indica una evitación deliberada de objetivos en EE. UU., sino que refleja dónde el grupo ya tenía acceso establecido. Cada vez más, en algunos casos, los atacantes se dirigen a donde hay acceso disponible, no necesariamente donde las víctimas son más rentables.

El regreso de LockBit, con un cambio estratégico.

La reaparición de LockBit en el primer trimestre de 2026 confirma que el grupo se ha recuperado operativamente tras la importante interrupción de sus operaciones policiales en 2024.

Si bien la actividad general se duplicó con creces en comparación con el trimestre anterior, el cambio más notable fue geográfico. Históricamente centrado en Estados Unidos, las víctimas recientes de LockBit se distribuyeron de manera más uniforme entre Europa, Latinoamérica y otras regiones.

Este cambio sugiere un esfuerzo deliberado por reducir la exposición a jurisdicciones con una aplicación de la ley más estricta, manteniendo al mismo tiempo su escala. Para las organizaciones globales, esto refuerza un punto crucial: la diversificación geográfica de los atacantes aumenta el riesgo, no lo reduce.

Distribución geográfica y sectorial: Cómo el acceso determina el impacto

La actividad de ransomware en el primer trimestre de 2026 muestra que, en algunos casos, el impacto tanto sectorial como geográfico está determinado por el acceso previo de los atacantes.

Los sectores con alta sensibilidad a las interrupciones del servicio y entornos complejos continuaron experimentando ataques frecuentes, entre ellos:

• Manufactura
• Servicios empresariales
• Salud
• Sectores industriales

En muchos casos, las víctimas se encontraban en sectores donde ya existía infraestructura vulnerable, VPN expuestas o acceso preestablecido, en lugar de sectores donde los atacantes manifestaron una clara preferencia.

El mismo patrón, impulsado por el acceso, se observó geográficamente:

• Estados Unidos representó casi la mitad de todas las víctimas reportadas (49,6 %), lo que concuerda con su amplia presencia empresarial, y las economías desarrolladas occidentales conformaron la clara mayoría de los objetivos.
• Tailandia representó el 10,8 % de las víctimas vinculadas a un único grupo dominante de ransomware (The Gentlemen), lo que la sitúa por primera vez entre los países más atacados.
• Play concentró el 85,1 % de su actividad en organizaciones con sede en Estados Unidos, lo que demuestra cómo los grupos individuales pueden centrarse intensamente en un país determinado.

En conjunto, estas tendencias muestran que el riesgo del ransomware no depende tanto del sector o la ubicación de forma aislada, sino más bien de la exposición subyacente creada por la tecnología implementada, la conectividad y las vías de acceso disponibles.

Qué significa esto para las organizaciones

El ransomware en 2026 se define por la concentración, no por el volumen. Ahora, menos grupos impulsan la mayoría de los ataques, y estos operadores son más capaces, cuentan con más recursos y son más difíciles de neutralizar.

Para las organizaciones, esto cambia la ecuación de riesgo:

• Pueden ocurrir menos incidentes, pero cada uno conlleva un mayor impacto potencial.
• Los ataques son más repetibles y se basan en el acceso.
• La prevención y la contención son más importantes que la mera reacción.
  

En términos prácticos, la defensa significa:

Deteniendo el ransomware en la capa de acceso a la red y la nube

Los ataques de ransomware y extorsión suelen ingresar a través de infraestructura expuesta, servicios en la nube o rutas de acceso remoto. Esto se aborda mediante la seguridad de red híbrida en malla, que aplica una prevención de amenazas consistente basada en IA en redes, nubes, centros de datos y usuarios remotos.

Funcionalidades como los firewalls de red, SASE Internet Access y CASB bloquean las descargas maliciosas, el phishing, los exploits y el ransomware antes de que lleguen a los dispositivos. Si se produce una infección, los controles de confianza cero en SASE Private Access limitan el impacto del ransomware al restringir a los atacantes únicamente el acceso a los datos de un usuario comprometido.

Reduciendo la exposición al ransomware antes de su explotación

Dado que los ataques de ransomware son cada vez más rápidos y dirigidos, reducir la exposición antes de su explotación es fundamental. Este es el objetivo del pilar de Gestión de la Exposición, que ayuda a las organizaciones a identificar qué activos, vulnerabilidades, configuraciones incorrectas y rutas de acceso pueden ser explotadas por los atacantes.

Al correlacionar la información en tiempo real sobre el ransomware con la exposición interna y validar las vías de remediación seguras, los equipos de seguridad pueden cerrar los vectores de ataque más probables con antelación y reducir la probabilidad de interrupción de la actividad empresarial.

Protección de los usuarios como principal punto de entrada

Muchos ataques de ransomware aún comienzan con la interacción del usuario, como correos electrónicos de phishing, enlaces maliciosos o credenciales comprometidas. Workspace Security aborda este riesgo protegiendo a los usuarios en correo electrónico, navegadores, aplicaciones SaaS y dispositivos.

Mediante la detección basada en IA y la inteligencia global sobre amenazas, Workspace Security bloquea los vectores de distribución, previene el uso indebido de credenciales e interrumpe la actividad de comando y control, lo que ayuda a las organizaciones a contener el ransomware antes de que se propague o cifre sistemas críticos.