Ransomware no da tregua, México registra 237,000 intentos de ataques al año

México bajo fuego digital

El ransomware no da tregua, entre agosto de 2024 y julio de 2025, México registró 237,000 intentos de ataque bloqueados por Kaspersky, cifras que colocan al país en el segundo lugar de América Latina, justo después de Brasil.

Son números que duelen, porque detrás de cada intento hay una empresa, una institución o incluso un hospital que podría haber perdido todo.​

Durante ese mismo periodo, la región latinoamericana enfrentó más de 1.1 millones de intentos de ransomware, hablamos de unos 3,000 ataques diarios, es decir, dos por minuto.

Brasil lidera la lista con 549,000 intentos, seguido por México con sus 237,000, Chile con 43,000, Ecuador con 37,000 y Colombia con 35,000. Aunque las cifras generales muestran una caída interanual del 7%, el panorama sigue siendo delicado.​

La caída de Phobos gracias a las autoridades

Parte de ese respiro estadístico tiene explicación, las autoridades lograron desmantelar una porción importante de la infraestructura de Phobos, uno de los grupos de ransomware más activos en la región.

Durante la operación policial se decomisaron más de 100 servidores que orquestaban ataques coordinados.​

Phobos no era cualquier cosa, llegó a impactar al 4.44% de las organizaciones latinoamericanas y aunque su detención fue un golpe certero, la amenaza no desapareció por completo. En México, esta familia de ransomware aún aparece con un 2.38% de presencia en el mapa de detecciones.​

Fabio Assolini, director del equipo global de investigación y análisis de Kaspersky para América Latina, lo dice sin rodeos: el escenario sigue siendo «preocupante». Y no es para menos.

El ritmo de dos ataques por minuto puede paralizar operaciones enteras, provocar pérdidas financieras millonarias y dañar la reputación de cualquier organización en cuestión de horas.​

Las familias más activas en México

El mapa de detecciones en México muestra una combinación de variantes clásicas y linajes más recientes. Las más frecuentes son Blocker (MSIL), que concentra el 39.72% de los casos, y Blocker (Win32), con un 29.11%.

Le sigue Convagent, con el 10.76%, y aunque Phobos recibió golpes policiales importantes, todavía aparece con un 2.38% del total.​

Esto significa que la amenaza sigue activa, aunque debilitada. Los grupos criminales se adaptan rápido, cambian de nombre, modifican sus tácticas y buscan nuevas vías de entrada.​

La manufactura, en el ojo del huracán

Si hay un sector que está sufriendo más que el resto, ese es la industria manufacturera. En México, la categoría de manufactura de procesos concentra el 22.91% de los incidentes de ransomware.

Le siguen el gobierno con 13.39%, el retail y mayoreo con 6.16%, y la manufactura discreta con 6.06%.​

Este patrón no es exclusivo de México. En Brasil, el sector industrial también figura como el más atacado. Mientras que en países como Argentina, Chile o Perú, los ciberdelincuentes prefieren apuntar a entidades gubernamentales.​

Las fábricas modernas combinan tecnología operativa (OT) con sistemas de TI interconectados, lo que multiplica los puntos vulnerables.

Un exploit en un servidor administrativo, una puerta trasera no parcheada o un fallo en un switch de red puede paralizar líneas de producción completas. Y cada hora de parada puede costar millones.​

Cómo protegerse (sin morir en el intento)

Kaspersky sugiere una disciplina básica pero constante para contener el riesgo. Aplicar parches y actualizaciones en todos los dispositivos y servidores es fundamental para cerrar fallas explotables.

Reforzar las normas internas sobre el manejo de información sensible y el reporte inmediato de anomalías también ayuda.​

Y algo vital: mantener copias de seguridad fuera de línea, cifradas y con control de accesos. De este modo, la recuperación de datos es posible incluso si una red es cifrada por atacantes, porque cuando el ransomware llega, no hay tiempo para improvisar.​

Fuente: Kaspersky