El ransomware dejó de ser un evento aislado para convertirse en una amenaza permanente y estructural para la operación institucional y productiva del país, con impactos directos en la continuidad de servicios, la confianza ciudadana y la estabilidad económica de las organizaciones.
De acuerdo con el Informe Tendencias de Ransomware 2024–2025, elaborado por IQSEC, durante 2025 se identificaron 74 organizaciones mexicanas cuyos datos fueron ex-puestos en portales de filtración utilizados por grupos criminales, cifra que duplica los 37 casos registrados en 2024, confirmando una escalada sostenida de este tipo de ataques en el país.
El análisis revela un cambio significativo en los sectores más afectados. El sector guberna-mental concentró el mayor número de incidentes, seguido por el sector educativo, ambos por encima de industrias históricamente más atacadas como la manufactura y las tecnologías de la información.
“Lo que observamos en 2025 es la consolidación del ransomware como un riesgo sistémico. Ya no se trata solo de la pérdida de información, sino de la interrupción de servicios esenciales, el deterioro de la confianza pública y daños económicos difíciles de revertir”, señaló Fernando Guarneros, Director de Operaciones de IQSEC, líder en Ciberseguridad impulsa-da por IA y protección de la identidad digital.
Reconfiguración del ecosistema criminal y evolución de las amenazas
El informe de IQSEC también documenta una transformación acelerada del ecosistema criminal digital activo en México. Durante 2025, grupos de ransomware de alcance internacional como Qilin, Kazu y CL0P ganaron protagonismo, desplazando a bandas que domina-ron el panorama en 2024, entre ellas LockBit y RansomHub.
Esta rotación responde tanto a operaciones internacionales de desmantelamiento como a la rápida evolución de las técnicas ofensivas, que hoy combinan ingeniería social avanzada, explotación de credenciales legítimas y esquemas de extorsión cada vez más sofisticados.
“Qilin destaca como uno de los actores más persistentes. Su modelo integra campañas de engaño altamente dirigidas, uso de credenciales comprometidas y estrategias de doble ex-torsión, donde el cifrado de sistemas se acompaña de la filtración gradual —y deliberada— de información sensible”, explicó el especialista en Ciberseguridad de IQSEC.
Proyecciones para 2026: mayor exposición y riesgos prolongados
Las proyecciones de IQSEC para 2026 refuerzan un escenario de alta presión para las organizaciones mexicanas. Se anticipa un incremento sostenido de accesos iniciales basados en contraseñas robadas, así como campañas de suplantación cada vez más creíbles, facilitadas por mercados clandestinos que comercializan identidades digitales a escala global.
De mantenerse esta tendencia, México podría incorporarse formalmente al grupo de los diez países más afectados por ransomware a nivel mundial.
“Gobierno y educación se perfilan como los sectores con mayor exposición en el corto plazo, mientras que tecnologías de la información y manufactura continuarán apareciendo de forma recurrente. La combinación de digitalización acelerada, déficit de talento especializa-do y restricciones presupuestales crea un entorno especialmente vulnerable para una esca-lada prolongada de incidentes”, anticipó el Director de Operaciones de IQSEC.
Ante este contexto, IQSEC subraya la urgencia de fortalecer prácticas fundamentales que siguen demostrando eficacia, como la segmentación de redes, la autenticación multifactor obligatoria, esquemas de respaldo aislados y pruebas periódicas de respuesta ante inciden-tes.
No obstante, advierte que las herramientas tecnológicas pierden efectividad si no se acompañan de gobierno corporativo, procesos definidos y programas continuos de concientiza-ción.
“El ransomware no se contiene únicamente con tecnología. La resiliencia real exige decisiones estratégicas, coordinación entre sectores y una cultura de seguridad que permee en toda la organización”, concluyó Fernando Guarneros.
