Punta del Este, Uruguay. Por años, la imagen del hacker solitario dominó el imaginario del cibercrimen, ya sea usando una sudadera y en la oscuridad, este cliché dejó de ser una realidad. Hoy, la fabricación de ransomware es el activo de una empresa multinacional.
Además de que hay jerarquías, soporte técnico, modelos de afiliación, marketing y hasta sistemas de atención al cliente. Su lógica es la del emprendimiento, solo que el producto es un programa capaz de secuestrar datos.
El ransomware-as-a-service (RaaS) es el corazón de ese ecosistema. Al igual que el software-as-a-service, donde empresas como Oracle o Salesforce han montado su fortuna, en el cibercrimen con pocos conocimientos técnicos es posible crear malware y otro tipo de vulnerabilidades.
“La realidad es que los operadores cada vez necesitan tener menos conocimientos, con todas las funcionalidades que ofrecen los desarrolladores, lo que buscan es que más personas las utilicen para que puedan obtener esas ganancias económicas”, señaló Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica,
El negocio es redondo, ya que según estimaciones de Cyfirma, una empresa de ciberseguridad, los pagos globales por ransomware superaron los 1,500 millones de dólares en 2024, y más del 60% de los ataques conocidos se originaron en esquemas RaaS. En 2025, la tendencia sigue al alza con un crecimiento proyectado del 15% anual.
El informe ESET Threat Report 2025 muestra cómo, tras la disolución del grupo LockBit, el mercado criminal se fragmentó en organizaciones más pequeñas.
Jakub Souček, investigador de ESET, escribió que “cuando RansomHub emergió en 2024 y atrajo a los afiliados de LockBit y BlackCat, su rápido crecimiento mostró el atractivo del modelo RaaS ahora el panorama está en caos”.
Lejos de un colapso, el fin de LockBit funcionó como una descentralización del poder; ahora los cibercriminales actúan como células semiautónomas que compran infraestructura, alquilan paneles de administración y negocian directamente con sus víctimas.
En la práctica, cada grupo opera como una startup que se alimenta de un mercado gris donde hay vendedores de accesos, desarrolladores que crean y mantienen el malware, proveedores de hospedaje, lavadores de criptomonedas y, en muchos casos, “atención al cliente” encargada de responder en chats de negociación. Gutiérrez describe esa organización como una cadena de producción.
“Ahora empezamos a hablar de malware-as-a-service, en el que se venden no solo ransomware sino otros códigos maliciosos. Hay desarrolladores que responden a las inquietudes de quienes compran la aplicación y ofrecen soporte, actualizaciones y consejos para eludir controles de seguridad”, refiere el experto de ESET.
Los afiliados, quienes son los encargados de ejecutar los ataques y extorsionar a las víctimas, se quedan con hasta el 80% de cada pago, mientras que los desarrolladores cobran un 20% de comisión. En promedio, cada ataque exitoso puede generar entre 50,000 y 3 millones de dólares, dependiendo del tamaño de la empresa afectada, según datos de ESET.
El informe de ESET señala que las detecciones de ransomware aumentaron 30% en la región durante el primer semestre de 2025, con Colombia, Argentina y Brasil como los países más afectados, seguidos de Perú, México y Chile.
David González, investigador de seguridad de ESET para Latinoamérica, lo confirma desde su experiencia de campo. “Los cibercriminales buscan la información, el dinero, porque eso es lo que de alguna manera es su fuente de negocio y es por lo que lucran”, explicó González.
El arma más efectiva, de acuerdo a González, es la manipulación humana. “Por más que se tenga una tecnología, si la persona no está capacitada, es ahí donde puede verse materializado un ciberataque”, advierte el experto.
Los ataques de ransomware se inician muchas veces con campañas de phishing, correos o mensajes diseñados para parecer legítimos, que buscan robar credenciales o instalar el malware. En 2025, ESET ha detectado más de 2.5 millones de intentos de phishing en América Latina, lo que equivale a 9,000 ataques diarios.
