Según Chainalysis, los pagos totales de ransomware on-chain cayeron alrededor de un 8% en 2025, marcando el segundo descenso anual consecutivo.
A pesar de esta caída, los ataques reportados aumentaron un 50%. El informe señala que la creciente brecha entre el aumento de incidentes y la reducción de los pagos resalta las fuerzas complejas que están transformando la economía del ransomware.
Los pagos por ransomware alcanzan 820 millones de dólares en 2025
En el capítulo sobre ransomware de su Informe de Crimen Cripto 2026, Chainalysis reveló que los actores de ransomware recolectaron más de 820 millones de dólares en pagos on-chain en 2025. Esta cifra representa una disminución interanual del 8% respecto a la estimación revisada de la empresa para 2024, que fue de 892 millones de dólares.
Sin embargo, el total de 2025 aún podría aumentar. Chainalysis señaló que la cifra final puede acercarse o incluso superar los 900 millones de dólares, repitiendo el ajuste del año anterior cuando la estimación inicial para 2024 de 813 millones de dólares fue luego revisada al alza.
Aunque los pagos totales se mantuvieron relativamente estables, la actividad de ransomware aumentó con fuerza. Los datos de eCrime.ch indican que las víctimas reportadas de ransomware aumentaron un 50% interanual en 2025, lo que lo convierte en el año más activo registrado. A pesar del aumento de ataques, el porcentaje de rescates pagados bajó al 28%, un mínimo histórico.
Chainalysis menciona varios factores detrás de esta diferencia. Una mejor respuesta ante incidentes y regulaciones más estrictas han ayudado a reducir la frecuencia de pagos.
Además, los esfuerzos internacionales de las autoridades contra estos actores y las redes de lavado han limitado algunos flujos de ingresos.
“En algunos casos, la aparición de variantes como VolkLocker, conocida por una debilidad criptográfica que permitió la descifrado gratis en ciertos casos, muestra cómo las revisiones técnicas por parte de los defensores pueden interrumpir a veces una cepa de ransomware”, dice el informe.
Bitcoin sigue siendo la opción principal mientras los pagos medianos por ransomware se disparan
Mientras que los pagos totales se mantuvieron estancados, la mediana de los rescates aumentó considerablemente en 2025. El pago mediano creció un 368%, subiendo de 12,738 dólares en 2024 a 59,556 dólares en 2025.
Jacqueline Koven, jefa de Inteligencia sobre Amenazas Cibernéticas en Chainalysis, dijo a BeInCrypto que probablemente el pago mediano haya subido debido a algunos pagos inusualmente altos, y no tanto por un regreso a las tácticas de ransomware de alto perfil que predominaron en el pasado.
“Los actores de ransomware son oportunistas, y seguimos viendo la victimización de organizaciones de todos los tamaños”, afirmó.
Koven también reveló que Bitcoin (BTC) sigue siendo la vía financiera preferida por los actores de ransomware. Explicó que, a pesar de su transparencia (lo que supone un riesgo para los delincuentes), prefieren BTC porque es transfronterizo, instantáneo, líquido y fácil de usar.
“Bitcoin sigue siendo la opción preferida para pagos de ransomware”, añadió.
Se pagaron 14 millones de dólares a brókeres de acceso inicial mientras se expande la red de ransomware
El informe también explicó que las operaciones de ransomware son apoyadas por un ecosistema cibercriminal más amplio que incluye brókeres de acceso inicial y otros proveedores de servicios especializados. Estos brókeres facilitan el acceso a redes comprometidas, lo que permite a los afiliados desplegar ransomware con relativa facilidad.
Chainalysis estima que los brókeres de acceso inicial recibieron al menos 14 millones de dólares en pagos on-chain durante 2025, una cifra prácticamente igual a la del año anterior. Aunque el monto es pequeño respecto a los ingresos totales por ransomware, los pagos muestran una “función habilitadora crítica”.
“Es importante destacar que no todos los pagos a IABs los hacen operadores de ransomware. Los IABs sin duda negocian y compran accesos entre ellos y algunos actores maliciosos tienen TTPs y objetivos distintos al ransomware. Otro punto importante es que no todos los incidentes de ransomware se pueden rastrear a brokers de acceso inicial, ya que existen diferentes maneras de acceder a redes de víctimas. Teniendo en cuenta estos puntos, podemos conectar inversiones criminales con los ataques de ransomware subsecuentes”, dijo Chainalysis.
El informe añadió que la actividad de los IAB puede servir como indicador adelantado. Según el análisis on-chain, aumentos en las entradas a IAB suelen preceder incrementos en los pagos de ransomware y filtraciones de víctimas por unos 30 días.
“Los pagos a IABs permiten ver parte del ecosistema de ransomware porque, incluso cuando los grupos de ransomware se fragmentan y cambian de nombre, como señalamos en nuestro informe, la dependencia de los IABs sigue siendo constante. De esa forma, los pagos a IABs e incluso a la infraestructura pueden ser una señal de preparación de ataques”, mencionó Koven a BeInCrypto.
Chainalysis destacó que la historia del ransomware en 2025 no se puede entender solo con las cifras de ingresos. Aunque los pagos totales on-chain disminuyeron ligeramente, la escala, sofisticación e impacto estratégico de los ataques siguieron aumentando.
Organizaciones de todos los tamaños, desde fabricantes de autos globales hasta proveedores de salud regionales, sufrieron extorsiones que interrumpieron sus operaciones, dañaron la confianza y generaron pérdidas sistémicas mucho mayores que los pagos de rescate registrados.
El post Ingresos por ransomware caen por segundo año a pesar de un aumento del 50% en ataques fue visto por primera vez en BeInCrypto.