70 % de los ataques de ransomware en 2025 apuntaron a gobierno y educación

Los ataques de ransomware en 2025 se han concentrado de forma alarmante en los sectores gubernamental y educativo, que acumulan el 70 % de los casos detectados, de acuerdo con el más reciente Compromise Report 2025 de Lumu, compañía especializada en ciberseguridad y detección continua de compromisos. El informe revela una creciente sofisticación en las tácticas empleadas por los cibercriminales, desde phishing polimórfico hasta el uso de droppers y técnicas de evasión de defensa cada vez más avanzadas.

El ransomware castiga a los servicios esenciales: gobierno y educación, los más vulnerables

El reporte, presentado este 26 de junio, identificó que cuatro sectores clave —Gobierno, Educación, Finanzas y Salud— fueron los principales blancos de ciberataques en los últimos 12 meses. Entre ellos, educación y gobierno fueron los más impactados, concentrando también el 60 % de los ataques anónimos y el 50 % de los ataques con droppers.

“Desafortunadamente, la evasión ya no es la excepción, se está convirtiendo rápidamente en la norma. Para defenderse, las organizaciones deben comprender cómo están evolucionando sus adversarios y sus tácticas”, señaló Ricardo Villadiego, fundador y CEO de Lumu.

Infostealers y droppers: las nuevas armas del cibercrimen

Los cibercriminales están utilizando herramientas como Lumma Stealer, que representa más del 25 % de los infostealers detectados a nivel global. Estos malwares permiten robar datos sin dejar rastros, usando ejecución sin archivos y técnicas de ofuscación para evitar ser detectados por los sistemas de protección.

Entre las familias de droppers, se destaca SocGholish, responsable del 66,3 % de los ataques, seguido por QakBot (14 %) y ClearFake (5,6 %). Estas herramientas permiten instalar software malicioso de forma encubierta, siendo difíciles de rastrear y neutralizar.

Phishing con IA, QR maliciosos y el falso CAPTCHA: nuevas tácticas de engaño

Otra tendencia preocupante es la evolución del phishing, que ahora emplea inteligencia artificial para generar correos polimórficos —mensajes que cambian su forma para evitar filtros—, así como quishing, un ataque basado en códigos QR, y engaños como el falso CAPTCHA. Estas estrategias están diseñadas para evadir la fatiga de los usuarios frente a múltiples capas de autenticación, como el MFA.

La evasión de defensas ya es la táctica más común según MITRE

El informe también resalta que las técnicas de evasión (MITRE T1562) son hoy las más utilizadas por los atacantes, seguidas por métodos de ejecución como el uso de archivos maliciosos (T1204.002) para desplegar software dañino. Los infostealers, en particular, se enfocan en sectores como Gobierno (19,2 % de los ataques) y Finanzas (18,2 %).

Detección continua y respuesta integrada: el camino hacia la resiliencia

El informe concluye con un llamado urgente a que las organizaciones adopten mecanismos de detección continua, integren tecnología de seguridad y fortalezcan la inteligencia sobre amenazas en tiempo real. Solo así podrán cerrar la brecha entre el compromiso y la respuesta efectiva.