Los ataques de ransomware se desplomaron un 32 % intermensual en marzo de 2025, con un total de 600 incidentes reclamados, según el último informe Threat Pulse de NCC Group.

A pesar de la caída en comparación con febrero de 2025, la firma señaló que los casos de ransomware en marzo aumentaron un 46 % interanual.

Al comentar los hallazgos, Matt Hull, director de Inteligencia de Amenazas de NCC, describió la caída intermensual de marzo como una «pista falsa», ya que se produjo tras niveles sin precedentes de ataques en los meses anteriores.

«Como siempre, observamos que los actores de amenazas se diversifican y aprovechan métodos de ataque cada vez más complejos y sofisticados para mantenerse a la vanguardia, no solo para causar disrupciones masivas, sino también para captar la atención en el mundo del ransomware», advirtió Hull.

NCC Group vinculó esta alta proporción con el aumento de las tensiones geopolíticas entre EE. UU. y Canadá.

“Es probable que los ataques en Norteamérica sigan predominando, ya que el aumento de las tensiones políticas y la división entre Canadá y EE. UU. bajo el liderazgo del presidente Trump intensifican la fricción geopolítica. Esto sugiere un mayor riesgo de ciberataques dirigidos a Canadá y organizaciones internacionales relacionadas”, escribió la firma.

El actor de amenazas Babuk2 se atribuyó la mayor cantidad de ataques en marzo, con 84, lo que representa el 20 % del total.

El grupo, que surgió en enero de 2025, se ha atribuido un total de 145 ataques en el primer trimestre de 2025.

Sin embargo, NCC señaló que existen importantes dudas sobre la legitimidad de las afirmaciones de Babuk2. Esto se debe a que el grupo a menudo no proporciona pruebas fehacientes de una vulneración real.

Además, el grupo original Babuk2 ha declarado no tener ninguna conexión con la nueva operación.

Tanto la comunidad de seguridad como los actores de ransomware creen que Babuk 2.0 es un grupo fraudulento que recicla datos de filtraciones anteriores y los reclama como propios, según el informe.

Akira y RansomHub fueron los segundos grupos más activos en marzo, con 62 ataques reivindicados cada uno. Le siguió Safepay con 42 ataques.

La banda de ransomware Clop fue responsable del 19 % de los ataques de ransomware en el primer trimestre, lo que la convierte en el actor más prolífico.

En general, el 45 % de los ataques del trimestre se atribuyeron a cuatro grupos: Clop, Akira, RansomHub y Babuk2.

Los 10 principales actores de ransomware en el primer trimestre de 2025 según los ataques reivindicados. Fuente: NCC Group. Los ataques Clop se atribuyeron principalmente a la explotación exitosa de dos vulnerabilidades de día cero en el software Cleo a finales de 2024.

El informe señaló que los grupos de ransomware como servicio (RaaS) Akira y RansomHub operan estructuras de afiliados muy atractivas, lo que probablemente contribuyó al elevado número de ataques atribuidos por cada actor en el trimestre.

Akira opera con una estructura de comisiones de 80/20 a favor de los afiliados, mientras que para RansomHub es de 90/10.