Leer análisis
Inteligencia de Amenazas
20 de junio de 2026
9 min read

Ransomware Municipal en EE. UU. 2025-2026: Por qué las Ciudades Siguen Siendo Blanco

Una guía de los grupos de ransomware que atacan ciudades, condados y distritos escolares de EE. UU. en 2025-2026: los casos que marcaron precedente, los costos reales de recuperación y los controles que de verdad los detienen.

Los grupos de ransomware que antes perseguían redes de las Fortune 500 han encontrado un blanco más blando y bajo mayor presión: la alcaldía estadounidense. Durante 2025 y lo que va de 2026, los municipios, condados, distritos escolares y servicios públicos de EE. UU. siguen estando entre las víctimas más golpeadas por las operaciones de extorsión de datos. No porque sus datos sean excepcionalmente valiosos, sino porque su tolerancia a la interrupción es excepcionalmente baja.

Por qué el gobierno local es un blanco preferido

Las redes municipales combinan lo peor de dos mundos para quien defiende. Operan servicios esenciales de cara al ciudadano - despacho del 911, sistemas judiciales, facturación de agua, permisos, nómina - con presupuestos limitados e infraestructura envejecida.

Un hospital no puede dejar de admitir pacientes. Una ciudad no puede dejar de atender llamadas de emergencia. Esa urgencia operativa es justo de lo que depende la economía de la extorsión.

Los gobiernos locales también custodian datos densos y sensibles: registros tributarios, expedientes policiales, evidencia judicial, datos personales de residentes y datos bancarios de proveedores. Bajo la doble extorsión, esos datos se cifran y se exfiltran a la vez, lo que da al atacante una segunda palanca incluso frente a víctimas con buenas copias de seguridad.

Key Findings

  • Las ciudades, condados y distritos escolares de EE. UU. siguen siendo blancos prioritarios de ransomware durante 2025-2026, por su baja tolerancia a la interrupción y sus presupuestos de seguridad limitados.
  • La doble extorsión ya es el estándar: los datos se roban antes del cifrado, así que las copias de seguridad por sí solas ya no terminan el incidente.
  • Los costos de recuperación suelen superar el rescate exigido en un orden de magnitud una vez que se suman respuesta, reconstrucción y litigios.
  • Grupos sucesores de marcas desarticuladas como LockBit, ALPHV y Royal siguen atacando al gobierno local bajo nuevos nombres.

Precedente: los ataques que definieron la amenaza

La oleada de 2025-2026 no surgió de la nada. Una serie de incidentes municipales de alto perfil en EE. UU. estableció tanto el modus operandi como el precio.

Atlanta, 2018 (SamSam). Una de las primeras detonaciones en una gran ciudad paralizó servicios municipales durante días. Los costos de recuperación y endurecimiento se reportaron en torno a los 17 millones de dólares, muy por encima del rescate exigido de unos 51,000 dólares.

Baltimore, 2019 (RobbinHood). La ciudad se negó a pagar y absorbió costos de recuperación reportados por encima de los 18 millones de dólares, con correo, facturación y sistemas de propiedad fuera de servicio durante semanas.

Oakland, 2023 (Play). Se declaró un estado de emergencia local mientras el grupo Play interrumpía servicios de la ciudad y luego filtraba datos robados.

Dallas, 2023 (Royal). La operación Royal golpeó sistemas policiales, judiciales y municipales, afectando funciones de seguridad pública en una de las mayores ciudades de EE. UU.

Condado de Fulton, Georgia, 2024 (LockBit). Sistemas judiciales, líneas telefónicas y procesamiento tributario quedaron fuera de servicio en un condado que tramita litigios de relevancia nacional.

Columbus, Ohio, 2024 (Rhysida). Más allá de la interrupción, la ciudad atrajo atención nacional por una acción legal contra un investigador que expuso la magnitud de los datos filtrados, un recordatorio de que el daño reputacional suele durar más que el técnico.

"La nota de rescate es la parte más barata de un incidente de ransomware municipal. La reconstruccion, los litigios y la perdida de confianza publica son los que realmente vacian el presupuesto."

El panorama de actores activos, 2025-2026

Las acciones policiales contra LockBit mediante la Operación Cronos y la estafa de salida de ALPHV/BlackCat no terminaron con la amenaza: la fragmentaron. Los afiliados migraron, se renombraron y siguieron operando.

Threat Actors

  • Afiliados escindidos de LockBit - grupos descentralizados que usan los builders filtrados y siguen atacando al gobierno y al mercado medio.
  • Rhysida - vinculado repetidamente a intrusiones en el sector público y la salud, incluidos blancos municipales y educativos de EE. UU.
  • BlackSuit (sucesor de Royal) - continuación del grupo detrás de ataques a infraestructura municipal como el de Dallas.
  • Medusa - operador agresivo de doble extorsión con historial de víctimas educativas y gubernamentales.
  • RansomHub y Akira - plataformas RaaS de alto volumen que absorben afiliados desplazados y publican con frecuencia víctimas de gobiernos locales en sus sitios de filtración.
  • INC Ransom - activo contra organizaciones de salud y del sector público.

El hilo común es el modelo de Ransomware como Servicio: una plataforma central aporta el malware y el sitio de filtración, mientras los afiliados ejecutan la intrusión. Esa separación hace al ecosistema resistente a cualquier desarticulación aislada.

Anatomía de un ataque a la alcaldía

La mayoría de las intrusiones municipales sigue una secuencia reconocible.

  1. 1.Acceso inicial a través de un VPN o RDP expuesto, un dispositivo de borde sin parchear o una credencial obtenida por phishing, con frecuencia comprada a un intermediario de acceso inicial.
  2. 2.Escalada de privilegios y descubrimiento, mapeando Active Directory y localizando copias de seguridad y recursos compartidos.
  3. 3.Evasión de defensas, desactivando la protección de endpoints y borrando registros.
  4. 4.Exfiltración de registros sensibles hacia infraestructura controlada por el atacante.
  5. 5.Cifrado, casi siempre programado para noches, fines de semana o feriados, cuando el personal de TI es escaso.
  6. 6.Extorsión, con una cuenta regresiva en el sitio de filtración y presión pública sobre los funcionarios electos a través de medios locales.

Critical Observation

  • El evento de cifrado es el final del ataque, no el principio. Para cuando los archivos se bloquean, el adversario suele llevar días o semanas dentro y ya ha robado los datos. La detección tiene que ocurrir en esa ventana, no en el momento del cifrado.

"Somos demasiado pequeños para ser un blanco" es el mito más caro

Los pueblos pequeños y los condados rurales suelen suponer que están por debajo del radar del atacante. Es justo al revés.

Los afiliados ejecutan campañas oportunistas guiadas por escaneo. Un municipio pequeño con un único firewall expuesto y sin parchear es un pago más rápido que una empresa endurecida, y mucho menos propenso a tener monitoreo permanente.

Los distritos escolares caen por las mismas razones: grandes superficies de ataque, datos sensibles de menores y personal de seguridad mínimo.

Oportunidades de detección

Quien defiende un municipio rara vez atrapa el malware en sí. Atrapa el comportamiento que lo precede.

Detection Opportunities

  • Autenticación anómala: inicios de sesión fuera de horario, eventos de viaje imposible y ráfagas de intentos fallidos de VPN.
  • Acceso masivo o preparación de archivos: una sola cuenta que de pronto lee miles de documentos.
  • Herramientas que viven de la tierra (PsExec, WMI, PowerShell) ejecutándose en contextos administrativos.
  • Transferencias salientes inesperadas hacia almacenamiento en la nube o rangos de IP desconocidos.
  • Intentos de desactivar la protección de endpoints, borrar instantáneas de volumen o alcanzar los servidores de respaldo.

Contramedidas recomendadas

Ningún control aislado detiene el ransomware. Los controles en capas y probados sí lo hacen.

Recommended Countermeasures

  • Exigir MFA resistente al phishing en toda cuenta de acceso remoto y privilegiada, sin excepciones.
  • Mantener copias de seguridad fuera de línea, inmutables y probadas con regularidad, inalcanzables desde el dominio de producción.
  • Parchear los sistemas expuestos a internet con un SLA definido; tratar VPN, firewalls y pasarelas de correo como críticos.
  • Segmentar la red para que un único endpoint comprometido no pueda alcanzar todo el entorno.
  • Desplegar detección basada en comportamiento que marque la actividad previa al cifrado, no solo firmas de malware conocido.
  • Preparar de antemano un plan de respuesta a incidentes y un contrato de retención, con guías legales y de comunicación, antes de un incidente.

Evaluación estratégica

El gobierno local de EE. UU. seguirá siendo un blanco prioritario de ransomware durante 2025-2026 y más allá. La economía es sencillamente demasiado favorable: alta urgencia, madurez defensiva desigual y datos valiosos.

Los municipios que mejor salen no son los que nunca sufren un phishing. Son los que detectan la intrusión temprano, la contienen mediante segmentación y se recuperan desde copias de seguridad que de verdad han probado.

Executive Takeaways

  • Asuma la brecha: presupueste para detección y respuesta, no solo para prevención.
  • Las copias de seguridad deciden el desenlace, pero solo si están fuera de línea, son inmutables y se prueban.
  • La detección por comportamiento en la ventana previa al cifrado es donde realmente se detienen los ataques.
  • Trate la MFA, el parcheo y la segmentación como controles base no negociables.

Dónde conecta esto con DATAENFORCE: plataformas de detección por comportamiento como OSPREY revelan las señales débiles - accesos fuera de horario, lecturas masivas de archivos, preparación de datos - que preceden al cifrado, mientras que VALIANT intercepta la carga de ransomware antes de que los archivos se bloqueen. Juntas apuntan a la ventana exacta donde se ganan o se pierden los ataques municipales.

Acerca de este informe

Este artículo sintetiza incidentes de ransomware municipal en EE. UU. documentados públicamente y la actividad conocida de grupos activos de Ransomware como Servicio a mediados de 2026. Los incidentes nombrados se refieren a hechos reportados públicamente; las cifras de costos de recuperación son estimaciones ampliamente reportadas que varían según la fuente. Está pensado como una sesión informativa estratégica para responsables de TI y seguridad del gobierno local, no como asesoría legal ni específica de un incidente.

Lecturas Relacionadas

Inteligencia de Amenazas

Informe de Ransomware en América Latina Q2 2026: Gobiernos y Salud en la Mira

Cómo los escindidos de LockBit, sucesores de ALPHV y RansomHub atacaron a gobiernos y sistemas de salud de América Latina en Q2 2026 - tácticas, costos y defensas.

Inteligencia de Amenazas

Detección de APT en Redes Gubernamentales de América Latina: Patrones, Tácticas y Contramedidas

Los grupos APT patrocinados por estados intensifican sus ataques contra redes gubernamentales de América Latina. Este informe mapea tácticas, patrones y contramedidas de detección.

Inteligencia de Amenazas

Metodología de Detección de Amenazas Internas: Cómo los Equipos de Seguridad Empresarial Detienen al Insider Antes de que los Datos Salgan

Una metodología estructurada de detección de amenazas internas ayuda a los equipos de seguridad a identificar, correlacionar y contener riesgos de exfiltración antes de que escalen.