Mientras el ransomware global creció un 34,5% entre 2024 y 2025, pasando de 5,3 casos a 7,1, México duplicó sus víctimas públicas en el mismo periodo, pasando de 37 a 74 incidentes, de acuerdo con el “Reporte de Tendencias de Ransomware 2024-2025” elaborado por IQSEC. Esta aceleración por encima del promedio mundial explica por qué el país saltó del puesto 16 al 11.

Ransomware méxico

Fernando Guarneros, director de operaciones de IQSEC

Según Fernando Guarneros, director de operaciones de la firma especializada en ciberseguridad, esto aumenta las probabilidades de entrar al Top 10 en 2026. Además, advirtió que es necesario corregir debilidades estructurales que van más allá del tipo de ataques.

«La mayoría de los incidentes no inician con exploits avanzados, sino con credenciales legítimas comprometidas, campañas de phishing dirigidas, malware para robo de contraseñas. Falta de preparación organizacional, gobernanza de seguridad débil, etc», explicó en entrevista con Mobile Time Latinoamérica.

Vulnerabilidad en sectores con más ataques

Para Guarneros, el problema radica en la mala gestión de identidades: contraseñas compartidas, falta de controles y privilegios excesivos. En muchos casos, detalló, múltiples personas tienen acceso a las mismas credenciales críticas, lo que facilita que un descuido permita el ingreso de atacantes sin levantar alertas.

«Al tratarse de accesos válidos, los sistemas de seguridad no detectan actividad sospechosa, lo que permite a los atacantes moverse lateralmente dentro de las redes», explicó.

Los sectores más vulnerables en 2025 en México fueron Gobierno, que pasó del cuarto al primer lugar y Educación que pasó de estar fuera del Top 5 a ser el segundo más atacado.

Respecto a la motivación de los atacantes para escoger a sus víctimas, Guarneros dijo que las razones van más allá de un objetivo económico directo; estos sectores ofrecen valor en términos de información sensible y visibilidad.

Explicó que gran parte de las veces únicamente ponen a prueba a las instituciones mediante una suerte de ensayo y error, para identificar quienes tardan en reaccionar y convertirlos en objetivos recurrentes.

Guarneros lo explicó de la siguiente manera: «A lo mejor ese tipo de sector hoy en día no cuenta con un esquema robusto de respaldo, entonces dicen ‘ah, okay, tardó en recuperarse, ahora vamos a seguir curioseando por ese lado'», y añade que atacar una institución pública o educativa no solo permite extraer datos, sino también generar impacto reputacional entre grupos de ciberdelincuentes.

Por otro lado, el ecosistema criminal también ha evolucionado y se ha expandido. A nivel global, el número de grupos de ransomware pasó de 103 en 2024 a 146 en 2025, un crecimiento del 41,7%.

En México, grupos como LockBit han sido desplazados por otros como Qilin, Kazu o CLOP. Guarneros aseguró que este fenómeno responde a una lógica de negocio. El ransomware opera cada vez más bajo modelos de «Ransomware as a Service» (RaaS), donde los desarrolladores del malware lo venden o rentan a afiliados que ejecutan los ataques.

El problema de fondo es una débil gobernanza

El directivo de IQSEC contó que muchas organizaciones aún operan sin políticas claras, sin procesos definidos y, una gran mayoría, sin respaldo desde la alta dirección. «La ciberseguridad sigue siendo vista como un gasto y no como una inversión estratégica», explicó.

Añadió que, aunque esta falta de prioridad se traduce en entornos vulnerables que los atacantes aprovechan con relativa facilidad, el problema de fondo es que las organizaciones suelen subestimar su exposición, ya que solo se enfocan en el número de empleados y no en la cantidad de dispositivos conectados.

«Cada smartphone, laptop o aplicación representa un nuevo punto potencial de entrada. A medida que la gente va teniendo más acceso a la tecnología y hay más aplicaciones que te simplifican su día a día (bancarias, pago de servicios, registro de escuelas, redes sociales),  se va expandiendo la superficie de ataque», explicó.

El principal reto es cultural

En México no existe una base de datos consolidada de ataques de ransomware ya que las empresas no reportan incidentes de ciberseguridad. Según Guarneros,  esto genera una «cifra negra» significativa, lo que impide, a su vez, dimensionar correctamente la magnitud del problema y diseñar estrategias efectivas a nivel país

«Es un tema de pena o de no contar o no prestar información que se pueda aprovechar por las áreas de ciberseguridad para hacer análisis y armar una estrategia más global como país», reflexionó.

Sin embargo, a nivel institucional comienzan a surgir señales positivas. gracias a que México avanza hacia una mayor regulación y la construcción de una política nacional de ciberseguridad, impulsada en parte por la presión internacional.

No obstante, mientras grandes organizaciones han comenzado a fortalecer sus estrategias de ciberseguridad, el reto sigue siendo significativo en el segmento de pequeñas y medianas empresas. Las pymes enfrentan limitaciones de presupuesto, conocimiento y acceso a talento especializado, lo que las deja particularmente expuestas.

Desde la perspectiva de Guarneros, México debe pasar de la mentalidad de «no me va a pasar» a una postura de preparación activa, ya que la pregunta no es si ocurrirá un ataque, sino cuándo.

De acuerdo con las proyecciones de IQSEC para 2026, además de la posible entrada al Top 10, se espera que Gobierno y educación sigan concentrando incidentes, que aumenten los accesos iniciales vía credenciales válidas, que se intensifiquen las campañas de phishing automatizado y que los ataques sean más rápidos, coordinados y competitivos.

La imagen principal fue creada por Mobile Time con IA. 

 

***************************

¡Reciba gratuitamente el boletín de Mobile Time Latinoamérica y manténgase bien informado sobre tecnología móvil y negocios! Regístrese aquí.

Las ilustraciones de los artículos son producidas por Mobile Time con IA.