El Financial Crimes Enforcement Network (FinCEN), unidad del Departamento del Tesoro de Estados Unidos especializada en delitos financieros, ha publicado nuevas estadísticas sobre ataques de ransomware basadas en miles de informes bancarios exigidos por la Bank Secrecy Act (BSA). Los datos confirman que el ransomware sigue siendo una de las modalidades de cibercrimen más lucrativas: las víctimas habrían pagado más de 4.500 millones de dólares en rescates entre 2013 y 2024.
Estadísticas de ransomware FinCEN 2013–2024: alcance real de los pagos
Solo en el periodo más reciente analizado, de enero de 2022 a diciembre de 2024, FinCEN identificó 4.194 incidentes de ransomware reportados por entidades financieras. En ese intervalo, los ciberdelincuentes recibieron más de 2.100 millones de dólares en pagos de rescate, una cifra que refleja únicamente las transacciones que generan alertas de blanqueo de capitales y sospecha de actividad delictiva.
Tendencias 2022–2024: auge en 2023 y caída relativa en 2024
El análisis de la evolución reciente muestra que 2023 fue el año más rentable para los grupos de ransomware. FinCEN relaciona ese año con 1.512 ataques y unos pagos que rondan los 1.100 millones de dólares, un incremento aproximado del 77 % respecto a 2022. En 2024 la situación cambia parcialmente: los incidentes se reducen ligeramente hasta 1.476, pero el volumen de pagos desciende casi a la mitad, hasta unos 734 millones de dólares.
Esta contracción no implica que la amenaza esté desapareciendo. Más bien apunta a una combinación de factores: operaciones policiales disruptivas contra grandes carteles de ransomware-as-a-service (RaaS), mejora gradual de la madurez en ciberseguridad de muchas organizaciones y una mayor reticencia a pagar rescates elevados, en línea con las recomendaciones de agencias como CISA, ENISA y autoridades nacionales.
Golpe a BlackCat y LockBit: el impacto de las operaciones policiales
FinCEN y otros organismos atribuyen el cambio de tendencia a varias operaciones coordinadas de fuerzas de seguridad. A finales de 2023, las autoridades comprometieron la infraestructura de ALPHV/BlackCat; a comienzos de 2024, una acción similar afectó de forma significativa al ecosistema de LockBit. Ambos grupos eran actores dominantes del modelo ransomware-as-a-service, proporcionando paneles, malware y servicios de soporte a decenas de afiliados.
Tras estos golpes, algunos operadores intentaron relanzarse bajo nuevas marcas o migraron a otros programas RaaS. Sin embargo, la demostración de capacidad técnica y jurídica por parte de coaliciones internacionales ha aumentado el riesgo percibido por los propios criminales y ha reforzado el mensaje a las víctimas de que pagar no garantiza ni la recuperación de datos ni la ausencia de filtraciones posteriores.
Sectores más afectados por ataques de ransomware
Las estadísticas de FinCEN evidencian que la mayoría de los rescates se situaron por debajo de los 250.000 dólares por incidente, lo que confirma que el ransomware no se dirige solo a grandes corporaciones, sino también a pymes y organizaciones de tamaño medio, para las que un pago de seis cifras puede ser crítico para su supervivencia.
Por volumen de incidentes, los sectores más atacados fueron: manufactura (456 casos), servicios financieros (432), sanidad (389), comercio minorista (337) y servicios jurídicos (334). Son actividades con alta dependencia de la continuidad operativa y del tratamiento de datos sensibles, lo que incrementa su exposición al chantaje por downtime y filtración de información.
Si se analiza el importe de los pagos, el sector financiero lidera con aproximadamente 365,6 millones de dólares, seguido de sanidad (unos 305,4 millones), manufactura (alrededor de 284,6 millones), ciencia y tecnología (cerca de 186,7 millones) y retail (casi 181,3 millones). En servicios financieros y salud, el impacto se amplifica por la regulación, el riesgo de sanciones, demandas colectivas y graves daños reputacionales.
Grupos de ransomware más activos y concentración del mercado criminal
El informe recoge 267 familias de ransomware, pero la actividad y los ingresos se concentran en pocas manos. Por número de incidentes vinculados en los informes financieros, destaca Akira, relacionado con 376 ataques. Sin embargo, por montante económico, el liderazgo corresponde a ALPHV/BlackCat, que habría recaudado en torno a 395 millones de dólares, seguido por LockBit con unos 252,4 millones.
Otros actores relevantes citados son Black Basta, Royal, BianLian, Hive, Medusa y Phobos. En conjunto, las 10 mayores bandas de ransomware habrían obtenido alrededor de 1.500 millones de dólares solo entre 2022 y 2024. Esta concentración es típica del modelo RaaS: un núcleo desarrolla y mantiene el malware e infraestructura, mientras afiliados ejecutan las intrusiones y comparten los beneficios.
Pagos de ransomware en criptomonedas y retos de trazabilidad
Cerca del 97 % de los pagos de rescate identificados por FinCEN se realizaron en Bitcoin. Otras criptomonedas como Monero, Ether, Litecoin o Tether aparecen, pero de forma muy minoritaria. Bitcoin sigue siendo el método preferido por su alta liquidez, la amplia aceptación en exchanges y la existencia de un ecosistema maduro de servicios y herramientas.
Al mismo tiempo, la expansión de controles KYC/AML en las plataformas reguladas, las recomendaciones del GAFI y el avance de la analítica de blockchain complican el blanqueo de capitales procedentes de ransomware. Los informes enviados a FinCEN permiten trazar flujos, vincular direcciones con grupos concretos y apoyar sanciones o incautaciones de infraestructura y fondos.
Para las organizaciones, estas cifras constituyen una señal clara: el ransomware es una amenaza transversal que afecta a empresas de cualquier tamaño. Reducir el riesgo exige una estrategia integral de ciberresiliencia: copias de seguridad aisladas y probadas regularmente, segmentación de red, autenticación multifactor, gestión diligente de parches, soluciones EDR/XDR, formación continua frente al phishing y planes de respuesta a incidentes que incluyan contacto previo con autoridades y asesores legales. Invertir en prevención y preparación resulta, en la práctica, mucho menos costoso que financiar a los grupos de ransomware y afrontar después las consecuencias técnicas, legales y reputacionales.
