Estado del Ransomware en el primer trimestre de 2026: Menos grupos, ataques más rápidos, mayor impacto

Bogotá, mayo 11 de 2026 – La actividad de ransomware en el primer trimestre de 2026 se mantuvo cerca de máximos históricos, pero el panorama de amenazas está experimentando un cambio crucial: el poder se está concentrando en menos grupos de ransomware, pero más capaces. Según Check Point Research, esta concentración, junto con la aceleración de las capacidades de los atacantes y el uso emergente de la IA, aumenta drásticamente el impacto potencial de cada ataque, lo que hace que los incidentes de ransomware sean más perjudiciales, repetibles y costosos para las víctimas.

Principales hallazgos y su importancia

• 2122 organizaciones extorsionadas en el primer trimestre de 2026, lo que lo convierte en el segundo primer trimestre con mayor número de extorsiones registrado.

El ransomware ya no se manifiesta en picos ocasionales; se ha estabilizado en un nivel peligrosamente alto contra el que las organizaciones deben defenderse continuamente.

• Los 10 principales grupos de ransomware representaron el 71 % de todas las víctimas, un cambio drástico con respecto al ecosistema fragmentado de 2025.

Ahora, menos grupos impulsan la mayoría de los ataques, lo que aumenta la consistencia, la escala y la profesionalidad, y eleva el riesgo cuando una organización sufre una brecha de seguridad.

Qilin se mantuvo como el grupo más activo por tercer trimestre consecutivo, con 338 víctimas, mientras que The Gentlemen pasó de 40 víctimas en el cuarto trimestre de 2025 a 166 en el primer trimestre de 2026 (+315 %), convirtiéndose en el grupo revelación del trimestre.

El dominio sostenido demuestra que las operaciones de ransomware maduras son resistentes y difíciles de interrumpir, y cómo el acceso posicionado con anticipación, puede convertir a nuevos actores en amenazas importantes casi de la noche a la mañana, incluso en medio de la presión de las autoridades.

LockBit confirmó su regreso con 163 víctimas, reingresando al grupo líder mundial tras una interrupción previa.

Las acciones policiales ralentizan a los grupos, pero no los eliminan. Los supervivientes se reagrupan, se adaptan y regresan con estrategias modificadas y nuevas marcas. Estados Unidos continúa siendo el epicentro, concentrando el 49,6 % de todas las víctimas de ransomware a nivel mundial y manteniéndose como el país más atacado.

Nuevos datos basados ​​en el acceso: la geografía sigue al acceso, no a la intención

El ransomware ya no se rige únicamente por las preferencias del sector; uno de los factores que lo impulsan es el acceso. Check Point Research descubrió que las víctimas aparecen cada vez más en sectores donde ya existía infraestructura vulnerable, VPN expuestas o acceso preestablecido, en lugar de donde los atacantes tradicionalmente se centran basándose únicamente en el valor del sector.

Esto cambia el riesgo del ransomware, pasando de centrarse en «a quién quieren atacar los atacantes» a centrarse en «dónde ya tienen presencia». Incluso las organizaciones fuera de los sectores tradicionalmente «lucrativos» son ahora objetivos prioritarios si presentan vulnerabilidades no abordadas.

• Solo el 13 % de las víctimas de The Gentlemen residían en Estados Unidos, frente a un promedio del 49,6 % en el ecosistema.

• La concentración de víctimas aumentó en Asia-Pacífico y Latinoamérica, lo que refleja la existencia de acceso previo, no un cambio geopolítico en la motivación de los atacantes.

Suponiendo que el aislamiento regional esté peligrosamente desfasado, los atacantes se dirigen a donde tienen acceso, y el acceso geográficamente distribuido aumenta, no reduce, el riesgo global de ransomware.

¿Qué significa esto para el ransomware en 2026?

Los sectores de manufactura, servicios empresariales, salud e industria siguen siendo focos de ataques, no por su mayor riqueza, sino porque la vulnerabilidad a las interrupciones del servicio y la complejidad de los entornos amplifican el impacto una vez que se obtiene acceso.

El éxito del ransomware depende cada vez más de la interrupción operativa, no solo de la demanda de rescate. El coste de las interrupciones del servicio es ahora el arma más poderosa del atacante.

• Puede que no haya menos ataques, pero menos atacantes significan ataques más grandes y fiables.

• Los ataques son repetibles, escalables y dependen del acceso.

• Prevenir el acceso inicial es ahora más importante que reaccionar tras el cifrado.

Sergey Shykevich, gerente del Grupo de Inteligencia de Amenazas de Check Point Software, afirmó: “El ransomware en 2026 ya no es una cuestión de números, sino de concentración y aceleración. Cuando menos grupos, pero más capaces, impulsan la mayoría de los ataques, cada incidente tiene un mayor impacto operativo y financiero. Al mismo tiempo, la IA está empezando a acortar el ciclo de vida del atacante, desde el acceso hasta la explotación, lo que hace que las vulnerabilidades existentes sean más peligrosas que nunca. Las organizaciones deben pasar de reaccionar ante los incidentes de ransomware a reducir proactivamente la exposición cerrando las brechas de acceso, reforzando los controles de identidad y red, y limitando el movimiento lateral antes de que los ataques puedan ejecutarse a la velocidad de la máquina”.