Leer análisis
Inteligencia de Amenazas
20 de julio de 2026
7 min de lectura

Informe de Amenazas de Ransomware y Extorsión de Datos Q2 2026: Lo que Gobiernos y Empresas Deben Saber

Nuestro informe de amenazas de ransomware Q2 2026 mapea los grupos, tácticas y sectores afectados en la última oleada de campañas de extorsión de datos contra gobiernos y empresas.

Resumen Ejecutivo

El segundo trimestre de 2026 registró una escalada sostenida y acelerada de operaciones de ransomware y extorsión de datos contra gobiernos, industrias reguladas y operadores de infraestructura crítica. La doble extorsión —en la que los actores de amenazas cifran los datos de la víctima y amenazan con publicar los registros exfiltrados en sitios de filtración dedicados— ya no es una táctica avanzada reservada a actores sofisticados; es ahora el modelo operativo base de prácticamente todas las plataformas activas de Ransomware-as-a-Service (RaaS). El pago promedio de rescate alcanzó los 2,73 millones de dólares en Q2 2026, una cifra que refleja tanto la creciente ambición de los adversarios como el acelerado costo del tiempo de inactividad operativa para las víctimas que optan por pagar en lugar de recuperarse.

El sector público y los sistemas de salud de América Latina continuaron siendo desproporcionadamente afectados durante el trimestre. Las brechas estructurales —incluyendo la aplicación inconsistente de MFA en el acceso remoto, capacidades de respuesta a incidentes con recursos insuficientes y arquitecturas de respaldo que permanecen accesibles desde redes comprometidas— siguen siendo los principales habilitadores de detonaciones exitosas de ransomware. Este informe mapea el panorama activo de actores de amenaza, detalla la evolución de la mecánica de extorsión y proporciona recomendaciones de defensa accionables calibradas para la inteligencia de amenazas de Q2 2026.

Panorama de Actores de Amenaza — Q2 2026

El ecosistema del ransomware en Q2 2026 se define por la fragmentación de los grupos dominantes históricos y la rápida consolidación en torno a plataformas sucesoras.

Grupos Disidentes de Afiliados de LockBit 3.0. Tras la Operación Cronos y las acciones posteriores de las fuerzas del orden en 2024 que interrumpieron severamente la infraestructura de LockBit, los ex afiliados no abandonaron el mercado: migraron. Múltiples grupos disidentes que operaban variantes del constructor LockBit 3.0 continuaron realizando operaciones durante Q2 2026, apuntando a ministerios gubernamentales, administraciones municipales y empresas medianas en Europa y América Latina. La naturaleza descentralizada de estos grupos hace que la atribución y la disrupción sean significativamente más difíciles que cuando las operaciones estaban centralizadas bajo un único administrador.

Redes Sucesoras de BlackCat/ALPHV. El exit-scam de ALPHV a principios de 2024 —en el que el grupo central desapareció tras recibir un rescate de 22 millones de dólares sin pagar a los afiliados— dispersó a una base de afiliados altamente capaz entre plataformas competidoras. Un subconjunto se renombró bajo nuevas identidades operativas; otros se unieron a RansomHub. Las herramientas derivadas de ALPHV y el conocimiento operativo siguen siendo detectables en los incidentes de Q2 2026, demostrando la persistencia de la capacidad técnica incluso después de la disolución del grupo.

RansomHub. La plataforma RaaS dominante de 2025 consolidó su posición durante Q2 2026. El modelo de distribución de ingresos favorable a los afiliados de RansomHub (los afiliados retienen el 90% de los pagos de rescate), su encriptador técnicamente capaz y su soporte multiplataforma para Windows, Linux y VMware ESXi lo han convertido en la plataforma de elección para operadores experimentados desplazados de LockBit y ALPHV. El recuento de víctimas en el sitio de filtración de RansomHub aumentó trimestre a trimestre por quinto período consecutivo.

Akira. Akira continuó su patrón de atacar pequeñas y medianas empresas y organizaciones de mercado medio durante Q2 2026. El principal vector de acceso inicial del grupo sigue siendo el abuso de credenciales dirigido a dispositivos VPN perimetrales, particularmente donde no se aplica MFA. Akira es notable por su velocidad de movimiento lateral una vez dentro de la red, alcanzando frecuentemente el acceso al controlador de dominio dentro de las 48 horas del compromiso inicial.

Grupos de Amenaza Específicos de LATAM. Los grupos de ransomware de operación local que apuntan a gobiernos municipales y sistemas de salud en Colombia, Brasil y México incrementaron su ritmo operativo en Q2 2026. Estos actores típicamente operan con demandas de rescate menores (80.000–400.000 dólares) calibradas a la capacidad de pago objetivo, tiempos de permanencia más cortos y herramientas post-compromiso menos sofisticadas que las plataformas RaaS de primer nivel, pero explotan las mismas vulnerabilidades estructurales y causan una disrupción operativa equivalente en organizaciones del sector público con recursos insuficientes.

Evolución del Ataque — Doble y Triple Extorsión

La cadena de eliminación del ransomware ha madurado significativamente más allá del modelo clásico de solo cifrado. En Q2 2026, tres fases de extorsión son ahora etapas operativas distintas ejecutadas secuencialmente por actores de amenaza sofisticados.

Etapa 1 — Cifrado. El cifrado del sistema de archivos que hace imposibles las operaciones sigue siendo el mecanismo de presión central. Los encriptadores modernos apuntan a tipos de archivos específicos de alto valor, recursos compartidos de red y almacenes de datos de VMware ESXi, con capacidad para propagarse por un entorno empresarial en minutos tras la detonación.

Etapa 2 — Exfiltración de Datos y Amenaza de Filtración Pública (Doble Extorsión). La exfiltración ahora precede al cifrado en cada campaña de ransomware operada profesionalmente. Los actores pasan su período de permanencia transfiriendo copias de datos sensibles —registros de personal, datos financieros, información de salud regulada, documentos estratégicos— a infraestructura controlada por el atacante antes de que el payload de cifrado detone. Las víctimas que se han reconstruido a partir de copias de seguridad se enfrentan entonces a una segunda demanda: pagar o ver sus datos publicados en un sitio de filtración dedicado. Esta etapa es ahora práctica estándar en todas las plataformas RaaS activas.

Etapa 3 — DDoS y Notificación a Terceros (Triple Extorsión). Un subconjunto creciente de operadores RaaS ha añadido una tercera palanca de extorsión: ataques DDoS contra la infraestructura pública de la víctima, combinados con notificación directa a los clientes, reguladores y socios comerciales de la víctima de que se ha producido una brecha. El objetivo es amplificar la presión reputacional y la exposición regulatoria, particularmente efectiva en servicios financieros, salud y contratistas de defensa donde las obligaciones de divulgación crean riesgo legal independiente.

Tiempo de Permanencia y Destrucción de Copias de Seguridad. El tiempo de permanencia medio del atacante antes de la detonación del cifrado fue de 5 a 7 días en Q2 2026. Esta ventana previa a la detonación se utiliza deliberadamente: los actores realizan reconocimiento de Active Directory, identifican y acceden a la infraestructura de respaldo, y destruyen o corrompen sistemáticamente los puntos de recuperación antes de activar el payload de cifrado. Las víctimas que descubren una intrusión durante esta ventana tienen una oportunidad que se estrecha para contener el incidente antes del cifrado. Las que no lo hacen a menudo se quedan sin ningún camino de recuperación intacto.

Vectores de Acceso Inicial — Q2 2026.
- Abuso de credenciales VPN (sin MFA): 38%
- Phishing con técnicas de evasión de MFA: 29%
- Explotación de aplicaciones públicas: 21%
- Acceso interno o venta de credenciales: 12%

Sectores Más Afectados en LATAM — Q2 2026

Los siguientes sectores registraron las tasas más altas de incidentes de ransomware en América Latina en Q2 2026, clasificados por volumen de incidentes e impacto operativo:

  1. 1.Gobierno y Administración Pública — Atacados tanto por apalancamiento político como por robo de datos. Los gobiernos municipales, ministerios nacionales y organismos de seguridad son objetivos atractivos debido a la sensibilidad de los datos que poseen, la presión pública para restaurar servicios y la menor madurez de seguridad históricamente que sus equivalentes del sector privado.
  2. 2.Salud — Los hospitales y ministerios de salud enfrentan presión aguda para pagar debido a las implicaciones de seguridad del paciente de la disrupción operativa. Los registros electrónicos de salud y los datos de pacientes tienen alto valor en mercados secundarios.
  3. 3.Servicios Financieros — Los requisitos de notificación regulatoria y la sensibilidad reputacional crean fuertes incentivos para decisiones rápidas de pago. Los actores de amenaza calibran explícitamente sus demandas a estimaciones de cobertura de seguro cibernético.
  4. 4.Educación — Los sistemas universitarios y los ministerios nacionales de educación poseen grandes repositorios de datos sobre estudiantes, personal y programas de investigación, con inversión en seguridad que frecuentemente queda rezagada respecto a otros sectores.

Patrón de Caso — Incidente en Ministerio de Salud Nacional, Q2 2026

El siguiente patrón es representativo de múltiples incidentes de Q2 2026 que afectan a organizaciones del sector de salud pública en América del Sur.

Un grupo de atacantes obtuvo acceso inicial mediante credenciales VPN robadas adquiridas en un mercado criminal. La autenticación multifactor no estaba habilitada en la puerta de enlace VPN. Los actores pasaron seis días dentro de la red realizando reconocimiento: mapeando la topología de Active Directory, identificando la infraestructura de respaldo y catalogando repositorios de datos sensibles. Durante este período de permanencia, enumeraron y desactivaron los trabajos de sincronización de copias de seguridad en la nube, asegurando que los puntos de recuperación remotos más recientes quedaran inaccesibles antes del cifrado.

El séptimo día, el payload de cifrado detonó simultáneamente en 847 servidores. En paralelo, 2,3 terabytes de registros de salud de pacientes ya habían sido exfiltrados a infraestructura controlada por el atacante. La demanda de rescate fue de 4,1 millones de dólares, con un plazo de 72 horas antes de la amenazada publicación de datos de pacientes en un sitio de filtración.

Tres fallas estructurales permitieron este resultado: MFA no estaba habilitado en el acceso VPN, permitiendo el abuso de credenciales para lograr el acceso inicial sin activar verificación adicional; la infraestructura de respaldo era accesible desde la red comprometida y no estaba aislada; y no había ninguna capacidad de detección conductual instalada para alertar sobre el movimiento lateral, la enumeración de respaldos y el almacenamiento masivo de datos que ocurrió durante seis días antes de la detonación. Cada una de estas fallas es abordable con tecnología y procesos operativos existentes.

Tecnología de Defensa — Intercepción Pre-Cifrado

La defensa más efectiva contra el ransomware moderno es la intervención antes de que el payload de cifrado detone. Para cuando los archivos están siendo cifrados, el atacante ya ha pasado días dentro del entorno; el evento de cifrado en sí es la fase final de una operación de múltiples etapas que comenzó con el acceso inicial, procedió a través del movimiento lateral y culminó en la destrucción de respaldos y la exfiltración de datos.

Plataformas anti-ransomware como VALIANT de DATAENFORCE abordan la fase previa al cifrado — interceptando la cadena conductual antes de la detonación del payload y protegiendo la integridad de los datos incluso cuando un atacante ya ha logrado el acceso inicial. El enfoque de VALIANT se centra en detectar los comportamientos precursores que invariablemente preceden al cifrado de ransomware: enumeración de respaldos, eliminación de copias de sombra, patrones de acceso masivo a archivos y los volúmenes anómalos de transferencia de datos salientes que caracterizan la exfiltración previa a la detonación. Para más información sobre las capacidades de prevención de ransomware y extorsión de datos de VALIANT, consulte la página de producto de VALIANT.

Las plataformas de defensa que operan en esta capa de detección pre-cifrado —combinadas con las recomendaciones de segmentación de red, aplicación de MFA y arquitectura de respaldo que se detallan a continuación— proporcionan la postura más resistente ante el panorama de amenazas de ransomware de Q2 2026.

Recomendaciones de Defensa — Q2 2026

Las siguientes recomendaciones están priorizadas según los puntos de falla más comunes observados en los incidentes de ransomware de Q2 2026.

1. Aplicar MFA en Todo el Acceso Remoto. El abuso de credenciales VPN representa el 38% del acceso inicial al ransomware en Q2 2026. La aplicación de MFA en VPN, RDP y acceso de correo electrónico es el control de mayor impacto disponible para la mayoría de las organizaciones. Se prefiere MFA resistente al phishing (tokens de hardware o passkeys) donde el perfil de amenaza lo justifique.

2. Aislar las Copias de Seguridad Críticas (Regla 3-2-1-1-0). La destrucción de respaldos es el objetivo deliberado del período de permanencia del atacante. Las copias de seguridad deben incluir al menos una copia que no sea accesible desde la red por el entorno de producción. La regla 3-2-1-1-0 — tres copias, dos tipos de medios, una fuera del sitio, una sin conexión o inmutable, cero restauraciones sin verificar — proporciona la arquitectura de recuperación necesaria para sobrevivir a un evento de cifrado completo.

3. Implementar Detección Conductual para Indicadores Pre-Cifrado. La eliminación de copias de sombra, la enumeración de respaldos, el acceso masivo a archivos y las transferencias de datos salientes anómalas son comportamientos detectables que preceden a la detonación del ransomware por horas o días. Las plataformas EDR y anti-ransomware sintonizadas para estos indicadores precursores brindan la oportunidad de intervenir antes de que ocurra el cifrado.

4. Segmentar las Redes para Limitar el Movimiento Lateral. Las arquitecturas de red planas permiten que una única credencial comprometida acceda a controladores de dominio, infraestructura de respaldo y todos los almacenes de datos. La microsegmentación, las estaciones de trabajo de acceso privilegiado y los modelos escalonados de Active Directory restringen el radio de explosión de un compromiso inicial y obligan a los atacantes a patrones de movimiento más detectables.

5. Probar los Planes de Respuesta a Incidentes Trimestralmente. Los ejercicios de simulación centrados en escenarios de ransomware —incluyendo específicamente la validación de la restauración de copias de seguridad y los procedimientos de notificación regulatoria— identifican brechas de capacidad antes de que se expongan en un incidente real. Los objetivos de tiempo de recuperación que existen solo en la documentación y no han sido probados en condiciones realistas no son confiables.

6. Mantener un Inventario de Activos Actualizado. Los actores de ransomware explotan rutinariamente activos desconocidos para el equipo de seguridad: concentradores VPN olvidados, servidores no administrados, instancias de nube de TI en la sombra. Un inventario de activos continuamente mantenido es un requisito previo para la gestión efectiva de vulnerabilidades y la segmentación de red.

Perspectiva — Q3 2026

Se espera que tres tendencias configuren el panorama de amenazas de ransomware durante Q3 2026.

Desarrollo de Ransomware Asistido por IA. El uso de modelos de lenguaje de gran escala en la investigación de vulnerabilidades y el desarrollo de exploits está acortando el tiempo desde el descubrimiento hasta el exploit armado. Los equipos de seguridad deben esperar que la ventana entre la divulgación pública de vulnerabilidades y la explotación activa se comprima aún más, aumentando la urgencia de los programas de velocidad de parcheo.

Expansión del Objetivo OT/ICS en LATAM. Los sectores de energía y agua de América Latina —históricamente con baja inversión en seguridad de tecnología operativa (OT)— están surgiendo como objetivos de ransomware. Los entornos OT/ICS presentan desafíos únicos: el cifrado de sistemas de control crea riesgo inmediato para la seguridad física, la recuperación es más compleja que en entornos de TI y el apalancamiento disponible para los atacantes es correspondientemente mayor. Los operadores gubernamentales de infraestructura crítica deben tratar la seguridad OT como una prioridad de defensa contra ransomware para Q3 2026.

Expansión de Afiliados de RansomHub y Nuevos Grupos en LATAM. Se espera que la base de afiliados de RansomHub crezca a medida que continúe el desplazamiento de plataformas interrumpidas. Simultáneamente, es probable que se acelere la aparición de grupos de ransomware de operación local en LATAM, particularmente apuntando a sistemas de gobierno municipal en países con contratación activa de seguros cibernéticos, lo que señala a los actores de amenaza que la infraestructura de pago está en su lugar.

Las organizaciones que operan en los sectores gubernamental, de salud e infraestructura crítica de América Latina deben tratar la perspectiva de Q3 2026 como un entorno de amenaza elevada que requiere revisión activa de la postura, no monitoreo pasivo.

Lecturas Relacionadas

Inteligencia de Amenazas

Detección de APT en Redes Gubernamentales de América Latina: Patrones, Tácticas y Contramedidas

Los grupos APT patrocinados por estados intensifican sus ataques contra redes gubernamentales de América Latina. Este informe mapea tácticas, patrones y contramedidas de detección.

Inteligencia de Amenazas

Metodología de Detección de Amenazas Internas: Cómo los Equipos de Seguridad Empresarial Detienen al Insider Antes de que los Datos Salgan

Una metodología estructurada de detección de amenazas internas ayuda a los equipos de seguridad a identificar, correlacionar y contener riesgos de exfiltración antes de que escalen.

Noticias Corporativas

DATAENFORCE y la Policía Nacional de Colombia: Siete Años de Alianza en Ciberseguridad para la Seguridad Pública

Desde marzo de 2018, DATAENFORCE es el socio tecnológico de la Policía Nacional de Colombia, entregando plataformas propietarias de ciberseguridad utilizadas en investigación criminal activa y operaciones de seguridad pública.