El chantaje digital está experimentando una transformación significativa. Aunque el ransomware sigue siendo una de las herramientas preferidas por los ciberdelincuentes, cada vez son más relevantes las campañas centradas en el robo de información y la amenaza de hacerla pública. Esta estrategia busca explotar las consecuencias económicas, reputacionales y regulatorias que una filtración de datos puede causar a las organizaciones afectadas.
Esta tendencia se refleja en un estudio reciente elaborado por Unit 42, la división de inteligencia de amenazas de Palo Alto Networks, que advierte sobre un cambio importante en el panorama global de la ciberseguridad. Según el informe 2026 Global Incident Response Report, durante 2025 el porcentaje de incidentes de extorsión que incluyeron el cifrado de sistemas se redujo hasta el 78 %, una cifra inferior a los niveles superiores al 90 % registrados de forma continua en los cuatro años anteriores.
Entre los grupos analizados por Unit 42 que han evolucionado desde ataques tradicionales de ransomware hacia modelos principalmente basados en la sustracción de datos y extorsión se encuentran Bling Libra, también conocido como ShinyHunters, especializado en entornos de software como servicio (SaaS), y Hazy Scorpius, identificado también como CLOP, que ha aprovechado una vulnerabilidad detectada en Oracle EBS.
El informe también destaca el papel creciente de la inteligencia artificial en este tipo de amenazas. Esta tecnología permite a los atacantes localizar vulnerabilidades con mayor rapidez, automatizar partes de sus campañas y acelerar los procesos de extracción de información, incrementando tanto la velocidad como la escala de las operaciones de extorsión digital.
Analizando esta marcada disminución en el uso del cifrado, la unidad de inteligencia de amenazas de Palo Alto Networks identifica cuatro factores principales que la impulsan:
- La mejora en las capacidades de copia de seguridad y recuperación, que facilita restaurar sistemas de forma rutinaria y eficiente.
- La madurez creciente de las soluciones de protección de endpoints y la eficacia de los mecanismos automatizados para interrumpir ataques.
- La velocidad aumentada en la exfiltración de datos: según datos de Unit 42, los atacantes pueden pasar del acceso inicial al robo completo de información en apenas 72 minutos.
- El incremento de la presión regulatoria, donde las multas por incumplimiento, las demandas colectivas y el daño reputacional sistémico se han convertido en herramientas de presión más efectivas para los atacantes que la propia interrupción operativa.
En cuanto a sectores, en 2025, las campañas centradas exclusivamente en la exfiltración de datos afectaron principalmente a empresas de servicios profesionales, sanidad y atención al consumidor, concentrándose especialmente en organizaciones medianas, que representaron el 64% de las víctimas.
Aunque la industria manufacturera continúa siendo el sector más afectado en términos generales, el sector de la construcción experimentó un incremento interanual del 44% en ataques basados únicamente en el robo de datos. Estas compañías son particularmente atractivas para los atacantes debido al valor de sus planes financieros, información de licitaciones y otros datos sensibles.
El coste medio por incidentes de extorsión por robo de datos alcanza ya los 5,08 millones de dólares (4,4 millones de euros), cifra que puede superar los 10 millones de dólares (8,6 millones de euros) en casos de brechas de gran escala.
Reforzar la protección de los datos, una prioridad estratégica
Frente a esta evolución del escenario de amenazas, los expertos de Palo Alto Networks recomiendan a las organizaciones fortalecer sus capacidades de prevención y detección de filtraciones de información, revisar los accesos a aplicaciones SaaS, implementar mecanismos de autenticación resistentes al phishing y acelerar los procesos de respuesta ante incidentes.
La convergencia entre extorsión digital, presión regulatoria e inteligencia artificial marcará la evolución de la ciberdelincuencia en los próximos meses, obligando a las organizaciones a replantear sus estrategias de protección más allá del modelo tradicional de ransomware.