La duración media de un ataque de ransomware se ha reducido a apenas 25 minutos, según el informe global de Unit 42, la división de inteligencia de amenazas de Palo Alto Networks. Una cifra que, más allá del impacto técnico, refleja la transformación radical que ha experimentado el cibercrimen en los últimos dos años. Impulsados por herramientas de inteligencia artificial y estrategias de extorsión múltiples, los ciberdelincuentes han convertido el ransomware en una amenaza que actúa a velocidad industrial.
En 2025, el ransomware ya no es solo una cuestión de cifrado de archivos. El informe de Palo Alto Networks, presentado este octubre, describe una evolución hacia lo que denomina cuádruple extorsión: cifrado, robo de datos, ataques DDoS y acoso directo a empleados o clientes. Una combinación que busca maximizar la presión sobre las víctimas y que ha obligado a las empresas a revisar sus estrategias de defensa, especialmente en sectores críticos o con alta exposición pública.
El 86 % de los incidentes analizados en 2024 implicaron interrupciones operativas, pérdidas reputacionales o ambas. Pero lo que más llama la atención es la velocidad. Lo que antes requería días de preparación y ejecución, ahora se completa en menos de media hora. “Los atacantes automatizan el reconocimiento, la exfiltración y el cifrado. En muchos casos, el aviso de rescate llega cuando ya no hay margen de maniobra”, señala el informe.
La automatización, combinada con técnicas de ingeniería social y abuso de credenciales válidas, permite a los atacantes moverse lateralmente dentro de las redes corporativas con una rapidez difícil de contener. Una vez dentro, buscan datos sensibles, bloquean sistemas y lanzan campañas de presión sobre directivos y empleados. El objetivo ya no es solo el rescate económico, sino también el daño reputacional y la desestabilización.
Aunque el cifrado sigue presente, solo representa una parte del repertorio. En el 60 % de los casos, los atacantes también roban información confidencial y amenazan con publicarla. A esto se suman ataques de denegación de servicio, que agravan la disrupción operativa, y acciones de acoso dirigidas a personas concretas dentro de la organización. En conjunto, estas tácticas conforman lo que Palo Alto Networks ha bautizado como “las olimpiadas de la extorsión”.
El proceso suele seguir una secuencia reconocible: acceso inicial mediante phishing o credenciales comprometidas, movimiento lateral, identificación de activos valiosos, bloqueo de sistemas y notificación del ataque. Si la víctima accede a pagar, el rescate se exige en criptomonedas, lo que permite a los atacantes mantener el anonimato. En algunos casos, incluso restauran el acceso como parte del acuerdo, aunque no siempre ocurre.
Frente a este panorama, la compañía propone una serie de medidas para reforzar la resiliencia cibernética. Entre ellas, bloquear ataques en cualquier fase, detectar comportamientos anómalos, investigar el origen del incidente y contener su propagación. Herramientas como Cortex XDR y Cortex XSIAM, según Palo Alto Networks, permiten automatizar parte de estas tareas y reducir el tiempo de respuesta.
Sin embargo, la tecnología por sí sola no basta. La velocidad de los ataques exige también una revisión de los protocolos internos, la formación continua del personal y una arquitectura de seguridad que contemple escenarios de extorsión múltiple. El ransomware ya no es un incidente aislado, sino un fenómeno sistémico que afecta a la continuidad operativa, la reputación corporativa y la confianza de los clientes.
En contraste con años anteriores, donde el foco estaba en la recuperación tras el ataque, ahora la atención se desplaza hacia la detección temprana y la contención inmediata. La lógica del tiempo ha cambiado. En un entorno donde 25 minutos pueden marcar la diferencia entre una amenaza contenida y una crisis reputacional, la ciberseguridad deja de ser un asunto técnico para convertirse en una cuestión estratégica.
A medida que los atacantes perfeccionan sus métodos, las organizaciones se ven obligadas a adoptar una postura más proactiva. No se trata solo de evitar el ataque, sino de asumir que puede ocurrir y estar preparados para responder con rapidez y precisión. En ese sentido, la inteligencia artificial, utilizada tanto por atacantes como por defensores, se convierte en un terreno de competencia decisivo.
La pregunta ya no es si habrá un ataque, sino cuánto tiempo se tardará en detectarlo. Y, sobre todo, si se podrá contener antes de que se complete el ciclo de extorsión. En este nuevo escenario, cada minuto cuenta.
