84 grupos de ransomware, una verdad incómoda: los desmantelamientos están fragmentando el ecosistema, no eliminándolo

NewsPals · Jun 12, 2026

El informe de Travelers del primer trimestre de 2026 muestra cifras de víctimas casi récord y un aumento en nuevos grupos criminales, lo que revela por qué desmantelar los nombres más importantes del ransomware puede estar haciendo que el problema general sea más difícil de resolver.

Las fuerzas del orden celebraron cuando LockBit fue desmantelado. Se descorchó el champán metafóricamente, se emitieron comunicados de prensa, y la narrativa era que el problema del ransomware finalmente estaba reduciéndose. Luego Travelers publicó su Informe de Amenazas Cibernéticas del Q1 2026, y los números decían algo completamente distinto.

El marcador que nadie quería

En el primer trimestre de 2026, los operadores de ransomware publicaron 2,405 víctimas en sitios de filtración de la dark web, según el Informe de Amenazas Cibernéticas Q1 2026 de Travelers, resumido por PropertyCasualty360. Esa cifra representa una caída de apenas el 2% respecto al récord histórico establecido en el Q4 2025, y un aumento del 7% en comparación con el mismo trimestre del año anterior. Para poner el arco más amplio en perspectiva: los reclamos por ransomware han aumentado un 80% desde 2022, y la actividad general de ransomware se ha triplicado en ese mismo período, según los datos de Travelers reportados por PropertyCasualty360. El número de víctimas publicadas en sitios de filtración aumentó un 50% solo en 2025, de acuerdo con el Travelers Institute. No son errores de redondeo. Son una línea de tendencia que apunta en una sola dirección.

La cifra más impactante, sin embargo, no es el recuento de víctimas. Es el recuento de grupos. Según el informe de Travelers cubierto por PropertyCasualty360, 84 grupos criminales distintos estuvieron activos en el Q1 2026, el número más alto que Travelers ha registrado desde 2020. Un año antes, la cifra comparable era de 70. De esos 84 grupos, 19 estaban haciendo su primera aparición en los datos de los sitios de filtración, según Corvus by Travelers. Nuevos participantes. Una nueva clase de operadores que llegan precisamente durante el período en que las grandes acciones de aplicación de la ley se suponía que estaban enfriando el mercado.

El problema de la fragmentación, explicado

Aquí está la incómoda visión estratégica enterrada en los datos: derribar a un grupo dominante de ransomware no elimina la capacidad criminal que ese grupo representaba. La redistribuye. Cuando una operación importante es desarticulada, sus afiliados, sus herramientas y, a veces, sus desarrolladores se dispersan. Algunos se retiran. Muchos no. Crean nuevas operaciones, se unen a grupos más pequeños o lanzan marcas independientes. El resultado es un ecosistema con más nodos, no menos.

Travelers aborda esta dinámica directamente. Como reportó PropertyCasualty360, la aseguradora señaló que la fragmentación hace que el ransomware sea más difícil de combatir porque atrapar a un grupo se vuelve menos impactante cuando los ataques se distribuyen entre múltiples actores en constante cambio. Una amenaza concentrada es, paradójicamente, más fácil de monitorear y desarticular que una difusa. La comunidad de seguridad entendió esto intelectualmente durante años. Los datos del Q1 2026 son ahora el comprobante empírico.

Los grupos líderes en el Q1 2026 ilustran tanto la persistencia de los actores establecidos como el caos del nuevo panorama. Qilin publicó 414 víctimas para reclamar el primer lugar, mientras que un grupo llamado the Gentlemen publicó 207 víctimas, según PropertyCasualty360. Las organizaciones afectadas incluyeron entidades de servicios financieros, según el mismo informe. Dos operadores muy diferentes, ambos prosperando en el mismo trimestre. Así es como luce un ecosistema fragmentado en la práctica.

La puerta de las VPN sigue bien abierta

La fragmentación entre los actores de amenazas no significa aleatoriedad en los puntos de entrada. Los datos de Travelers revelan una consistencia llamativa en el lado de las intrusiones: más del 85% de los reclamos cibernéticos de Travelers presentados entre agosto y diciembre de 2025 involucraron VPNs como punto de entrada inicial, según el Travelers Institute.

Esa cifra merece leerse despacio. No una pluralidad. No una mayoría. Más del 85%. Las redes privadas virtuales, concebidas como un control de seguridad, se han convertido en una de las puertas más confiables hacia los entornos corporativos.

El mecanismo no es misterioso. Los dispositivos VPN sin parches, las credenciales robadas utilizadas contra portales VPN y la autenticación multifactor mal configurada en el acceso VPN son superficies de ataque bien documentadas.

El análisis del estado del ransomware en el Q1 2026 de Emsisoft señala que el panorama actual se define no solo por el volumen, sino por la intención, con actores de amenazas que priorizan cada vez más objetivos que van más allá del simple cifrado para pedir rescate. El cambio hacia el robo de datos en lugar de la disrupción que Industrial Cyber documentó, citando los hallazgos de BlackFog del Q1 2026, refuerza esto: los operadores exfiltran datos antes o en lugar de cifrarlos, porque los datos robados generan apalancamiento para la extorsión incluso cuando las víctimas restauran desde copias de seguridad. La VPN es la puerta principal; lo que ocurre después de la entrada es cada vez más un robo de datos, no solo un bloqueo.

Lo que esto realmente significa para ti

Si gestionas la seguridad de cualquier organización, la implicación política del hallazgo sobre la fragmentación es que tu modelo de amenazas no puede construirse en torno al seguimiento de grupos con nombre. Monitorear indicadores de compromiso de LockBit mientras 19 nuevos grupos debutan en un solo trimestre es como cambiar las cerraduras después de haber entregado llaves a desconocidos que nunca has conocido.

La respuesta práctica es enfocarse en las partes invariables del problema: vectores de acceso inicial (aplica parches a tus dispositivos VPN, implementa autenticación multifactor resistente al phishing), detección de movimiento lateral y controles de exfiltración de datos, porque incluso si el grupo que estás vigilando desaparece mañana, el siguiente usará la misma puerta.

El Travelers Institute señala que la aseguradora recomienda cinco prácticas de preparación cibernética para ayudar a las organizaciones a protegerse contra las amenazas en evolución, aunque los detalles de esas prácticas están disponibles en el informe completo Q1 2026 Travelers Cyber Threat Report. Vale la pena leer ese informe en su totalidad, no por los grupos con nombre (esos cambiarán), sino por los patrones estructurales que no cambiarán.

El marcador de 84 grupos activos se verá diferente en el Q2. La lección que enseña seguirá siendo la misma.

Fuentes