Luego de un crecimiento interanual de 100 por ciento en el número de casos de ramsonware observados entre 2024 y 2025, México podría integrarse este año al “top 10” de los mercados-víctimas en este tipo de delito en el mundo, con sectores gobierno, educación y manufactura como los tres más codiciados por la delincuencia cibernética, la cual eleva cada vez más su nivel de sofisticación.
En su informe “Tendencias Ramsonware” la firma especializada IQSEC anticipa para 2026 un escenario de alta presión para las organizaciones mexicanas, al anticipar un incremento sostenido de accesos iniciales basados en contraseñas robadas, campañas de suplantación cada vez más creíbles, facilitadas por mercados clandestinos que comercializan identidades digitales a escala global, así como un mayor número de casos de phishing impulsados por automatización con “ataques más rápidos, coordinados y competitivos”.
La delincuencia organizada detrás de este delito, también presentará cambios, con grupos bien identificados desplazando a otros de los primeros lugares entre los delincuentes con mayor actividad a nivel global, “como reflejo de la naturaleza dinámica del ecosistema del ransomware”.
Alejandro Romero director general de Cyberpeace, empresa también dedicada a ciberseguridad, anticipó que en 2026 los ataques evolucionarán hacia modelos de extorsión por datos, impulsados por IA capaces de generar malware adaptable y campañas masivas de engaño digital, con México como objetivo relevante para los delincuentes digitales.
De acuerdo con el informe de IQSEC, el ransomware en México pasó de 37 casos documentados por la empresa en 2024 a 74 en 2025 cifra que, si bien quedó muy lejos de los 3 mil 703 registrados en Estados Unidos (el país más atacado del mundo), sí representa un incremento de 100 por ciento.
Es necesario considerar que en la escala mundial, México pasó de ocupar el lugar 16 entre los más atacados por este tipo de delito en 2024 al lugar número 11 en 2025, por lo cual se estima que el mercado mexicano podría integrarse al “top 10” en 2026.
“Este comportamiento confirma un incremento del interés de los actores de amenaza sobre el país, especialmente si se observa que el ecosistema criminal está en franca expansión”.
Prueba de ello es que en 2024 había 103 grupos delictivos plenamente identificados y activos en este tipo específico de ataque y para 2025, se identificaron 146 grupos, lo que representa un incremento de 41.7 por ciento. “El ransomware se consolida como un modelo criminal profesionalizado, más que como eventos aislados”.
Hasta diciembre de 2025, a nivel mundial las industrias más atractivas para el ransomware fueron la construcción; el sector salud, el sector legal, manufactura, educación, bienes raíces, finanzas, logística, alimentos y bebidas y tecnologías de la información.
En México los sectores más afectados por el ransomware fueron gobierno, educación, manufactura, tecnologías de la información y bienes de consumo, con grupos denominados: Quilin Agenda Ransomware Group; Kazu; CLOP; LockBit Gang y SafePay Ransomware Group como las principales organizaciones delictivas identificadas.
Desde el punto de vista de Alejandro Romero, luego de que México cerró el 2025 como uno de los años más desafiantes para la ciberseguridad, los aprendizajes más importantes fueron que ninguna organización queda fuera del radar de la ciberdelincuencia.
“Empresas grandes y pequeñas, escuelas y dependencias públicas, vivieron incidentes que afectaron sus operaciones y reputación, “demostrando que la ciberseguridad dejó de ser un tema técnico para convertirse en un asunto estratégico de negocio”.
Además, la proliferación de ataques de ingeniería social, desde phishing hiper-personalizado hasta deepfakes de voz y video, han evidenciado la necesidad de reforzar la cultura de seguridad y la capacitación continua del personal y por eso, en 2026 se presenta un panorama aún más sofisticado.
Se espera que en este año, los ciberataques evolucionen hacia modelos de extorsión por datos, impulsados por herramientas de inteligencia artificial que permitan generar malware adaptable y campañas masivas de engaño digital.
Especialmente, se prevén ataques contra infraestructura crítica, energía, transporte, manufactura y logística; debido al crecimiento de dispositivos conectados en entornos industriales, lo que llevará también a un repunte en los ataques a la cadena de suministro, robo de credenciales desde la nube y hasta extorsiones sin usar malware.
C$T-EVP
