¿Sabrías decir cuál fue el grupo más peligroso del 2024? Spoiler: ya no es LockBit.
¿Qué pasa cuando el grupo de ransomware más temido del mundo es desmantelado? Aparecen otros más agresivos a ocupar su lugar.
Así fue 2024. LockBit, que dominó el panorama en 2023, fue debilitado por una operación internacional liderada por el FBI. ¿El resultado? Un cambio de poder en la cibercriminalidad global: nuevos actores, nuevas tácticas, más impacto.
Pregunta incómoda: ¿Tienes visibilidad sobre estos cambios?
Ransomware 2024: no importa quién lideraba, sino quién sigue atacando en 2025.
Según el Annual Threat Hunting Report 2024 de SentinelOne, estos fueron los 10 grupos más activos por volumen de detecciones reales:
-
Akira
-
Play
-
Blacksuit
-
Phobos/8Base
-
MedusaLocker
-
INC
-
Black Basta
-
Vice Society
-
LockBit
-
BlackCat/ALPHV
Akira no solo lidera en frecuencia, sino también en agresividad y demandas de rescate. Un grupo que no existía hace dos años, ahora encabeza la lista.
¿Cuándo atacan más? El ransomware también tiene “temporadas”.
📈 Abril y junio fueron los meses con más incidentes.
📉 Febrero y agosto, los más bajos.
📌 Pero cada mes tuvo actividad. No hay ventanas seguras.
Tu equipo puede estar de vacaciones. Ellos no.
El gráfico muestra la actividad mensual de los 10 grupos de ransomware más activos, destacando patrones estacionales y variaciones tras operaciones policiales (como la caída de BlackCat/ALPHV).
Fuente: SentinelOne, Annual Threat Hunting Report 2024.
Riesgo real: quién ataca más y quién exige más.
En el Ransomware Risk Matrix 2024, se cruzan dos variables críticas: frecuencia de ataques y beneficio medio por extorsión. El resultado es un mapa de riesgo realista que ayuda a priorizar defensas.
| Grupo | Frecuencia (Prevalencia) | Demandas ($ Promedio) | Nivel de riesgo |
|---|---|---|---|
| Akira | Muy alta | Alta | 🚨 Muy alto |
| Play | Alta | Media-alta | ⚠️ Alto |
| BlackBasta | Media | Muy alta | ⚠️ Alto |
| BlackSuit | Alta | Media | ⚠️ Medio-alto |
| Vice Society | Media | Alta | ⚠️ Medio-alto |
| INC | Media | Media | 🟡 Medio |
| MedusaLocker | Media-alta | Baja | 🟡 Medio |
| Phobos | Alta | Baja | 🟠 Medio-bajo |
| LockBit | Media | Alta | ⚠️ Medio-alto |
| BlackCat/ALPHV | Media | Muy alta | ⚠️ Alto |
Los niveles de riesgo se evalúan por el impacto combinado de cuántas empresas atacan y cuánto exigen por liberar los datos.
Por qué esto importa (más de lo que parece).
- Si dependes de un backup local sin validación: estás en riesgo.
- Si no monitorizas el tráfico lateral: podrías no verlo venir.
- Si tu SOC trabaja con IOCs antiguos: estarás siempre un paso detrás.
Lo que ayer era LockBit, hoy es Akira. Y mañana será otro. Lo que no cambia es la necesidad de estar informado y cubierto.
FAQs rápidas para responsables IT.
¿Cuál es el grupo de ransomware más peligroso actualmente?
Akira, por su combinación de frecuencia y rentabilidad.
¿Existen meses más seguros para operar?
No. Hay estacionalidad, pero los ataques no cesan en ningún mes.
¿Sigue activo LockBit?
Sí, pero reducido a nivel medio tras su desmantelamiento.
¿Se pueden prevenir estos ataques?
No todos, pero sí detectar rápido y mitigar el impacto si tienes visibilidad y respuesta gestionada.
¿Y ahora qué?
En Ingens Networks llevamos más de 25 años ayudando a empresas a dormir tranquilas. No vendemos milagros. Lo que entregamos es lo que más se valora cuando todo falla: visibilidad real, respuesta inmediata y una estrategia que evoluciona al ritmo de las amenazas.
Combinamos la potencia de SonicWall para la detección perimetral con la inteligencia de Capture Client, impulsado por SentinelOne, para una defensa activa desde el endpoint. Un enfoque coordinado que permite ver, entender y actuar antes de que el daño sea irreversible.
Si todo esto te hace pensar en revisar tu postura de seguridad, probablemente ya sea hora.
