Secuestrar datos y pedir miles de dólares en rescate se ha vuelto una constante en el panorama digital de América Latina. En la primera mitad de 2025, los ciberataques de ransomware aumentaron un 47%, con 3.627 incidentes registrados frente a los 2.472 del mismo periodo en 2024, según datos de Comparitech.
El fenómeno no solo lo protagonizan los grupos tradicionales: la expansión de nuevas bandas especializadas ha intensificado la amenaza en la región y el resto del mundo.
Entre los actores emergentes sobresalen Interlock, Warlock y SafePay, responsables de la ola de ataques en los últimos meses. Sus métodos y selección de objetivos reflejan la evolución del ransomware, con estrategias que combinan ingeniería social, explotación de vulnerabilidades y sofisticadas maniobras de extorsión.
Desde el portal de ciberseguridad, Welivesecurity, analizaron las técnicas de estas agrupaciones, señalando su impacto creciente sobre empresas, organismos públicos y sectores críticos de la economía.
La irrupción de Interlock data de finales de 2024 y se consolidó rápidamente con más de 20 ataques dirigidos a compañías de salud, gobiernos y centros educativos.
De acuerdo con la propia Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA), este grupo despertó alarma por emplear la técnica de ingeniería social “ClickFix”.
El método consiste en desplegar ventanas emergentes y falsos Captcha que inducen al usuario a ejecutar scripts maliciosos. Esto da acceso a la red interna para cifrar sistemas y exfiltrar grandes volúmenes de datos, como ocurrió con el proveedor de atención renal DaVita, víctima de la sustracción de 1,5 terabytes de información entre marzo y abril.
Por su parte, Warlock (también conocido como Gold Salem o Storm-2603) emergió en marzo de 2025 bajo el esquema de “ransomware as a service”. En apenas meses, registró más de 60 ataques a empresas tecnológicas, financieras y de telecomunicaciones, especialmente en Estados Unidos, Japón y el Reino Unido.
Su especialidad radica en explotar vulnerabilidades críticas de Microsoft SharePoint, conocidas como ToolShell (CVE-2025-49706, CVE-2025-49704, CVE-2025-53770, CVE-2025-53771), para obtener acceso inicial. Luego aplica la táctica de doble extorsión: cifra los archivos y amenaza con divulgar la información robada si no recibe el pago exigido en dólares.
La expansión de SafePay consolidó aún más la tendencia. Este grupo, que irrumpió en el segundo semestre de 2024, intensificó su actividad en 2025, con más de 200 ataques tan solo en el primer trimestre.
Utiliza credenciales robadas y servicios expuestos (como VPN vulnerables) para infiltrarse en las redes empresariales. Una vez adentro, mueve información y credenciales lateralmente para maximizar el impacto antes de emitir la nota de rescate.
Sus principales víctimas se encuentran en Estados Unidos (103 casos confirmados), Alemania, Australia, Reino Unido y países latinoamericanos como México, Colombia y Argentina, afectando especialmente a industrias de manufactura, tecnología, educación y salud.
El informe de ciberseguridad subrayó que estos grupos han perfeccionado el modelo de doble extorsión: primero secuestran los datos, luego amenazan con publicarlos si no se cubre el rescate. Esto plantea riesgos financieros, legales y reputacionales a las organizaciones.
La dinámica del cibercrimen en América Latina muestra un avance constante, con grupos que adaptan sus tácticas según los movimientos de las defensas y del mercado negro digital.
La comunidad internacional ha respondido con alertas y nuevas estrategias de defensa. La CISA emitió comunicados para advertir sobre la actividad de Interlock y los riesgos asociados a los ataques actuales.
Organizaciones de ciberseguridad recomiendan medidas como la autenticación multifactor (MFA), la realización de copias de seguridad periódicas, la actualización de parches de seguridad y la capacitación continua del personal. Según expertos citados por welivesecurity, estas prácticas disminuyen la probabilidad de ataques exitosos y ayudan a minimizar el impacto en caso de incidentes.
La ola de ransomware que afecta a América Latina refleja un fenómeno global que trasciende fronteras y sectores. La colaboración internacional y la inversión en prevención se presentan como los principales desafíos para el futuro inmediato, ante un escenario donde los ciberataques son cada vez más rápidos, rentables y dañinos para empresas y entidades públicas.
