Un informe de Kaspersky reveló un aumento sostenido del ransomware en América Latina, con Colombia entre los países más afectados. Las nuevas variantes incorporaron inteligencia artificial, modelos criminales como servicio y entradas por dispositivos IoT, complicando la prevención y la respuesta efectiva.
Imagen: Kaspersky
En el marco del Día Internacional contra el Ransomware, la firma de ciberseguridad Kaspersky publicó su informe anual sobre esta amenaza, en el que alertó sobre un incremento continuo y preocupante de los ataques en Colombia y en América Latina. Aunque el país no lideró el ranking regional en volumen absoluto, su porcentaje de usuarios afectados por ransomware llegó al 0,22%, posicionándolo como uno de los focos de crecimiento más acelerado.
El informe advirtió que, si bien esta cifra podría parecer baja, representa una realidad crítica: el ransomware moderno ya no busca atacar en volumen, sino en precisión y rentabilidad, orientándose a sectores clave, instituciones vulnerables y organizaciones con poca preparación técnica.
Un entorno ideal para el delito digital
América Latina, y en particular Colombia, ofreció un entorno propicio para la expansión del ransomware por varios factores:
- Procesos de digitalización acelerados por la pandemia, sin un aumento proporcional en medidas de seguridad.
- Brechas normativas en ciberseguridad, especialmente en sectores como salud, educación o gobiernos locales.
- Falta de capacitación continua para usuarios y empleados, lo que incrementó la efectividad del phishing y la ingeniería social.
- Uso extendido de dispositivos IoT mal protegidos, especialmente en entornos empresariales o públicos.
Según Kaspersky, el ransomware dejó de ser una amenaza exclusivamente tecnológica para convertirse en un riesgo operativo, reputacional y económico para cualquier organización conectada.
Del ataque técnico al modelo de negocio criminal
El ransomware evolucionó radicalmente en la última década. Lo que comenzó como una forma rudimentaria de extorsión digital, hoy funciona como una industria criminal sofisticada, con estructura de costos, reclutamiento, atención al cliente (para víctimas), y esquemas de afiliación.
Uno de los casos más representativos fue el del grupo FunkSec, surgido en 2024, que implementó un modelo de Ransomware-as-a-Service (RaaS). Esta modalidad permitió que cualquier usuario con intenciones maliciosas, incluso sin conocimientos técnicos, pudiera acceder a kits listos para usar, soporte personalizado, y participación en las ganancias obtenidas del rescate.
Además, FunkSec y otros actores adoptaron herramientas basadas en inteligencia artificial, capaces de generar contenido de phishing más creíble, evadir sistemas de detección tradicionales y automatizar la selección de víctimas según su perfil financiero, reputacional o regulatorio.
Nuevos puntos de entrada: IoT y superficies invisibles
El informe destacó también el uso creciente de vectores no tradicionales, como dispositivos IoT corporativos. Elementos aparentemente inofensivos como cámaras de vigilancia conectadas, impresoras multifunción o termostatos inteligentes fueron utilizados como puertas traseras para ingresar a redes empresariales.
En el caso de Colombia, se detectaron campañas que explotaron vulnerabilidades en routers domésticos usados por empleados en modalidad híbrida, así como servicios públicos con equipos desactualizados, facilitando el acceso inicial a los sistemas de información.
Esto significó un cambio de paradigma en la defensa: ya no basta con proteger el firewall y los servidores internos, ahora es necesario tener visibilidad completa sobre todos los dispositivos conectados, sus configuraciones y su actividad en tiempo real.
Automatización del delito: IA y modelos de lenguaje generativo
Otro hallazgo alarmante fue la aparición en la dark web de modelos de lenguaje generativo (LLM) entrenados para uso criminal. Estas plataformas, similares en estructura a herramientas legítimas como ChatGPT, permitieron:
- Redactar correos de phishing personalizados y sin errores gramaticales.
- Simular diálogos realistas para engañar a empleados vía chat o teléfono (vishing).
- Generar código malicioso funcional con instrucciones básicas.
Además, la incorporación de tecnologías low-code y RPA (automatización robótica de procesos) por parte de los atacantes acortó el ciclo de desarrollo de nuevas campañas, haciendo que los ataques fueran más rápidos, frecuentes y difíciles de rastrear.
Impacto financiero y operacional en empresas colombianas
El costo promedio de recuperación tras un ataque de ransomware en América Latina superó los USD 1,4 millones por incidente, considerando rescates, recuperación de datos, interrupción de servicios, multas regulatorias y daño reputacional.
En Colombia, se documentaron casos donde empresas de sectores como salud, seguros y manufactura estuvieron inactivas durante días, y donde la falta de planes de contingencia adecuados provocó pérdida definitiva de información y pagos significativos de rescates en criptomonedas.
Muchas víctimas optaron por no hacer públicos los ataques, generando un subregistro que dificulta la percepción real del problema, pero que no disminuye su gravedad.
Recomendaciones y respuesta estratégica
Kaspersky planteó una serie de recomendaciones alineadas con estándares internacionales de seguridad:
- Implementar herramientas de detección proactiva, como EDR y XDR, con análisis de comportamiento.
- Actualizar software y firmware en todos los dispositivos conectados, incluyendo los no tradicionales.
- Aplicar el principio de privilegios mínimos, limitando el acceso a sistemas sensibles.
- Crear copias de seguridad cifradas, offline y testeadas regularmente.
- Desarrollar simulaciones de respuesta a incidentes con todos los actores involucrados.
- Invertir en formación continua, tanto para equipos técnicos como para personal operativo.
La empresa también recordó que cuenta con herramientas gratuitas como Kaspersky Anti-Ransomware Tool para PyMEs, que pueden ser un primer paso en la protección básica contra amenazas activas.
El aumento sostenido del ransomware en Colombia reflejó una amenaza en evolución constante, impulsada por nuevas tecnologías, redes criminales más organizadas y brechas estructurales de ciberseguridad. Más allá de una preocupación técnica, el ransomware se convirtió en un desafío transversal para la economía digital, que afecta desde empresas pequeñas hasta infraestructuras críticas del Estado.
Frente a esta realidad, la única respuesta viable es la prevención sistemática, la cooperación entre sectores público y privado, y una cultura de ciberseguridad que supere los enfoques reactivos. La amenaza ya no es futura: está activa, es rentable para los atacantes y requiere acción inmediata.
