Aunque abril de 2025 trajo una disminución en la cantidad total de ataques de ransomware reportados, la intensidad y el impacto de los ataques registrados marcaron un nuevo nivel de preocupación global. Como cuando baja la marea y quedan al descubierto las rocas más afiladas, este mes “tranquilo” reveló amenazas más precisas y devastadoras, con sectores estratégicos como la salud, los gobiernos y las empresas privadas como principales víctimas.
¿Qué pasó con RansomHub?
Uno de los cambios más notables fue la desaparición momentánea de RansomHub, un grupo de ciberdelincuentes que venía siendo protagonista de numerosos ataques en meses anteriores. Desde el 31 de marzo, no han reportado nuevas víctimas en su portal de filtraciones. Algunos analistas creen que sus afiliados migraron a otros grupos, como Qilin, que curiosamente duplicó sus acciones en abril.
Radiografía del mes: 479 ataques, 39 confirmados
Comparitech registró un total de 479 ataques de ransomware en abril, de los cuales solo 39 fueron confirmados por las víctimas. Esto supone una baja respecto a meses anteriores: enero (530), febrero (973) y marzo (713). Sin embargo, no hay que dejarse engañar por las cifras. Muchas de estas amenazas no se hacen públicas, ya sea por temor al daño reputacional o por falta de leyes que obliguen a su divulgación.
De los ataques confirmados:
=> Recibir por Whatsapp las noticias destacadas
El sector salud: en la mira de los ciberdelincuentes
La salud no solo es un bien preciado, también es un blanco codiciado. En abril, se confirmaron seis ataques a organizaciones de salud en distintos países. El caso más alarmante fue el de DaVita Inc. en Estados Unidos, víctima del grupo Interlock, que asegura haber robado 1,5 TB de datos sensibles.
Otros hospitales afectados incluyen:
-
ChangShen Hospital (Taiwán) – 800 GB robados por NightSpire.
-
Doctors Hospital (Islas Caimán)
-
Gov. Juan F. Luis Hospital (Islas Vírgenes de EE. UU.)
-
Sasszemklinika (Hungría) – 101 GB robados por Qilin.
-
Saint James Hospital Group – 250 GB robados por INC.
Hasta ahora en 2025, se han confirmado 34 ataques al sector salud, con otros 115 en observación.
Gobiernos: un objetivo constante
Aunque los ataques confirmados a entidades gubernamentales bajaron de 12 en marzo a 9 en abril, siguen siendo un objetivo clave. Uno de los casos más destacados fue el de la Departamento de Calidad Ambiental de Oregón (DEQ), atacado por Rhysida, quien exigió 2,7 millones de dólares como rescate, suma que fue rechazada.
Otros casos relevantes:
-
Oficinas federales en Arizona, DuPage County y Hamilton County (EE.UU.)
-
Praga (República Checa), afectada por el grupo Cicada3301.
-
Badajoz (España) y el sistema de agua SIAPA (México).
-
Centros de bienestar social en Bélgica, con una exigencia de 70.000 € que fue denegada.
En lo que va del año, se han confirmado 49 ataques a gobiernos y hay 89 sospechosos.
Educación: menos ataques, pero igual de alarmantes
Solo tres instituciones educativas reportaron ataques en abril, frente a cinco en marzo. Pero cada incidente cuenta, y los afectados fueron:
-
Fall River Public Schools (EE.UU.), atacado por Medusa con una demanda de 400.000 dólares.
-
Tokai University (Japón).
-
Western New Mexico University, cuya web fue secuestrada por Qilin.
En total, hay 27 ataques confirmados al sector educativo en 2025, con 69 casos en seguimiento.
Empresas privadas: un descenso aparente
Las empresas reportaron 21 ataques confirmados en abril, una caída respecto a los 47 de marzo. Pero la sofisticación de los ataques va en aumento.
Ejemplos destacados:
-
Toppan Next Tech (Singapur), atacada por Akira. Se filtraron datos de más de 11.000 personas, incluyendo clientes de DBS Group y Bank of China.
-
Manchester Credit Union (Reino Unido), sufrió una interrupción de dos días tras un ataque fallido de Sarcoma.
-
FAKO-M Getränke GmbH (Alemania), también blanco de Sarcoma, que afirma haber robado 446 GB de datos.
En lo que va del año, ya hay 165 ataques confirmados a empresas, y se están vigilando más de 2.000 casos sospechosos.
Grupos más activos: Qilin y Akira lideran
El grupo Qilin se llevó el primer lugar con 67 ataques, muy por encima de los 45 registrados en marzo. Su creciente actividad podría estar relacionada con la pausa de RansomHub. Le siguen:
-
Akira – 62 ataques, con tres confirmados: Toppan Next Tech, Asolo Dolce S.p.A. (Italia) y Hitachi Vantara (EE.UU.).
-
Play – 50 ataques.
-
Lynx – 32 ataques.
-
NightSpire – 22 ataques, incluido un ataque a la japonesa Nippon Ceramic Co.
Una nueva cara en el panorama fue Silent, que realizó cuatro ataques, incluyendo a Fleet Canada Inc. y Versa Networks, con robos de 600 GB y 854 GB respectivamente.
Confirmado vs. no confirmado: ¿por qué importa?
La distinción entre un ataque confirmado y uno no confirmado no es solo semántica. Muchas veces, los grupos de ransomware anuncian ataques que nunca son reconocidos por las víctimas. Esto puede deberse a mentiras, falta de pruebas o simplemente al deseo de la empresa de mantener el caso en secreto.
En países como Estados Unidos, las leyes obligan a reportar brechas de seguridad. Pero en otras regiones, estas obligaciones no existen o son más laxas, lo que complica tener una visión global precisa.
Aunque abril trajo menos ataques, esto no debe interpretarse como un respiro. Los grupos evolucionan, se reorganizan, y los daños son cada vez más focalizados. Como un virus que muta para esquivar la vacuna, el ransomware sigue adaptándose. Y aunque la luz sobre RansomHub se haya apagado temporalmente, otros actores ya están tomando su lugar en escena.
Para usuarios, empresas y gobiernos, esto es un recordatorio de que la ciberseguridad no es opcional ni momentánea: es una responsabilidad continua.
Fuente: https://wwwhatsnew.com