La noticia no es que el ransomware haya mutado. La noticia es que lo ha hecho de una forma que vuelve inútil el 70% de los planes de contingencia que las empresas españolas tenían sobre la mesa. Según el último informe de Kaspersky, State of Ransomware 2026, los grupos cibercriminales han abandonado el cifrado masivo de sistemas para centrarse en un modelo de extorsión pura basada en el robo de datos y la presión reputacional. Y ya hay compañías nacionales que lo están sufriendo.
Le adelanto que este cambio no es una moda pasajera. Es una respuesta racional a una ecuación de costes. El cifrado genera ruido, activa las herramientas EDR, deja artefactos forenses y obliga a gestionar claves por víctima. En cambio, sustraer terabytes de información sensible y amenazar con publicarla es más rápido, más silencioso y, a menudo, más rentable. En 2026, apenas 28 de cada 100 víctimas pagan rescate, frente al 76% de 2019. El modelo tradicional se ha roto.
El ocaso del cifrado: por qué los atacantes apuestan por el silencio
Llevo años escribiendo sobre la ciberguerra y sus derivadas. Ya en El quinto elemento advertí que “el próximo 11S empezará con un clic”. Hoy, ese clic no siempre es un estallido; a veces es un susurro. La extorsión sin cifrado elimina la fase más ruidosa del ataque y acorta el ciclo de vida de la intrusión a apenas unos días: acceso inicial a reconocimiento (2-7 días), exfiltración (1-4 días) y publicación en el sitio de filtraciones pocas horas después. Cuando la empresa se da cuenta, los datos ya llevan días circulando fuera.
El viejo manual de respuesta se basaba en restaurar copias de seguridad. Ahora, aunque recupere sus sistemas en 24 horas, la organización puede enfrentarse a una filtración de 275 millones de registros que hipoteque su reputación durante los próximos 30 años. No es un escenario teórico. Es justo lo que ha ocurrido con el ataque a Instructure, la empresa detrás de Canvas LMS: ShinyHunters robó 3,65 TB con datos de estudiantes, profesores y personal de 9.000 instituciones. Sin cifrar un solo archivo.
ShinyHunters y Nitrogen: dos golpes que marcan el camino
Los casos de mayo de 2026 son elocuentes. Mientras el mundo miraba otro lado, el grupo Nitrogen accedió a las operaciones norteamericanas de Foxconn y exfiltró 11 millones de archivos —casi 8 TB— que incluían planos técnicos, documentación de proyectos y datos confidenciales de fabricación. De nuevo, sin bloquear sistemas. La presión no vino de un pantallazo de rescate, sino del miedo a la exposición industrial. Foxconn se convirtió en rehén sin que una sola línea de código cifrara sus servidores.
Este patrón cambia todo el tablero defensivo. En el modelo de 2020, el sitio de filtraciones era una herramienta de coerción: paga o publicamos. En el de 2026, ese mismo sitio se ha convertido en un producto en sí mismo. Los operadores tienen relaciones consolidadas con redes de fraude de identidad, compradores de datos y, en algunos casos confirmados, servicios de inteligencia que adquieren directamente esos datasets. El pago de la víctima ya no es el único canal de ingresos, ni siquiera el principal.
Dossier Moncloa: Ojos en la Sombra
Verá usted que el salto cualitativo trasciende el simple lucro criminal. Cuando los datos robados incluyen propiedad intelectual, planos industriales o información de infraestructuras críticas, el vector de amenaza deja de ser solo una cuestión de cumplimiento normativo y entra de lleno en el radar del CNI y del CCN-CERT. Me consta que en los últimos meses se han multiplicado los avisos a empresas del IBEX 35 y operadores de servicios esenciales españoles: la exfiltración silenciosa de información sin señales de cifrado visible ya es una de las principales preocupaciones del Centro Criptológico Nacional.
Aquí se produce una paradoja incómoda. La desaparición del cifrado podría leerse como una buena noticia: al fin y al cabo, era la parte que bloqueaba hospitales o rompía cadenas de suministro. Pero la realidad es más perversa. La reducción del daño operativo visible se compensa con un daño latente mucho mayor. Los 275 millones de registros de estudiantes expuestos o los 11 millones de archivos de Foxconn generan una responsabilidad que se mide en décadas. El riesgo no desaparece; se vuelve difuso, se alarga en el tiempo y resulta mucho más difícil de cuantificar para las aseguradoras.
El oficio de la contrainteligencia sabe bien que la información robada tiene una vida media larga. Un plano de fabricación de 2026 puede seguir siendo sensible en 2036. Y en el ecosistema actual, esos datos no se quedan en un foro oscuro: acaban en manos de actores estatales que los utilizan para ganar ventaja tecnológica. El caso Foxconn recuerda, a escala industrial, lo que supuso para Estados Unidos la pérdida de los planos del F-35 durante la campaña de ciberespionaje que se atribuyó a la RPC. Con una diferencia: aquí los atacantes no buscan el secreto militar, sino la propiedad intelectual de toda la cadena de valor.
La comunidad de inteligencia española tiene un precedente cercano para calibrar el riesgo. Durante la operación de ciberespionaje que afectó al sector energético español en 2022, atribuida a Volt Typhoon, los informes internos revelaron que los atacantes habían extraído información durante meses sin necesidad de bloquear ningún sistema. La gran lección de aquel incidente fue que las organizaciones deben vigilar con lupa sus flujos de salida de datos, no solo sus sistemas de recuperación. Y esa lección reaparece hoy, pero multiplicada por diez.
La extorsión pura ha convertido la exfiltración de datos en un arma silenciosa que no necesita estruendo para ser letal.
Por eso, los equipos de seguridad tienen que pivotar ya. Las copias de seguridad siguen siendo necesarias, pero son irrelevantes frente a una fuga masiva de datos. La prioridad se desplaza hacia la detección de exfiltraciones, la monitorización del tráfico saliente, los controles DLP y la capacidad de notificar incidentes con rapidez. Kaspersky lo resume con crudeza: “el daño operativo visible es menor; el daño invisible de larga cola es mucho mayor”. Entre las empresas españolas que han empezado a revisar sus protocolos, el mantra es claro: ya no basta con protegerse del rescate; ahora hay que proteger la información en sí misma.
El informe de Kaspersky ‘State of Ransomware 2026’ puede consultarse en el portal de inteligencia de amenazas de la compañía. Un recurso técnico imprescindible para entender un cambio de paradigma que, me temo, solo está empezando a manifestarse en nuestro tejido empresarial.
