Los ciberatacantes no eligen a sus víctimas al azar, sino que dirigen sus operaciones hacia organizaciones donde pueden provocar un mayor impacto operativo, económico y reputacional, particularmente mediante ataques de ransomware o secuestro de información.

De acuerdo con un análisis de ESET sobre la evolución del ransomware durante los primeros tres meses de 2026, los sectores más afectados por este tipo de amenazas fueron manufactura, tecnología y salud.

En un segundo nivel de exposición aparecen los servicios empresariales, la construcción y los servicios financieros, industrias que también registraron una elevada actividad de grupos dedicados al ransomware.

Lo que está claro es que los ciberatacantes no eligen sus víctimas al azar, sino que buscan organizaciones en donde poder generar un fuerte impacto o urgencia, ya sea por la necesidad inmediata de tener disponibles sus sistemas, porque no pueden permitirse paradas operativas largas o porque manejan información crítica o sensible.

Los grupos de ransomware siguen orientados al impacto económico y reputacional, con el foco puesto en aquellas industrias en proceso de digitalización, pero que evidencian una menor madurez en cuestiones de ciberseguridad”, aseguró Mario Micucci.

El reporte señala que Estados Unidos concentró más de 1,000 ataques de ransomware durante el primer trimestre de 2026, posicionándose como el país más afectado por este tipo de operaciones cibernéticas.

Detrás se ubicaron Alemania, Gran Bretaña y Francia, que registraron alrededor de 100 ataques o menos cada uno. Canadá completó el top cinco de países más impactados por este tipo de amenazas.

En América Latina, Brasil reportó 50 ataques y México 30, convirtiéndose en los países más afectados de la región. También se detectaron incidentes en Argentina, Chile, Perú, Paraguay, Ecuador, Venezuela, Colombia, Guatemala, Panamá y República Dominicana.

Según información del sitio ransomware.live, los grupos que dominaron la actividad de ransomware durante el primer trimestre del año fueron Qilin, The Gentlemen y Akira, los cuales acumularon cerca de 900 víctimas, equivalentes a más del 30% del total de ataques registrados, que rondaron los 2,200 incidentes.

El grupo Qilin encabezó la actividad criminal con más de 400 ataques durante el trimestre. Esta operación de ransomware as a Service (RaaS), que también lideró el año pasado, elevó el nivel de profesionalización del cibercrimen mediante asesoramiento legal a sus afiliados para aumentar la presión durante las negociaciones de rescate.

En segundo lugar apareció The Gentlemen, con casi 250 ataques. De acuerdo con ESET, este grupo representa una nueva etapa del ransomware, al abandonar las campañas masivas y enfocarse en operaciones personalizadas y dirigidas.

La compañía de ciberseguridad advirtió que este esquema silencioso y adaptable redefine las reglas del ransomware mediante ataques diseñados específicamente para cada objetivo.

El tercer puesto fue para Akira, con más de 200 ataques, varios de ellos dirigidos contra organizaciones en América Latina. Su crecimiento provocó alertas entre organismos internacionales de ciberseguridad, incluido el Federal Bureau of Investigation.

El comportamiento observado durante el primer trimestre de 2026 confirma que el ransomware no muestra señales de retroceso, sino que continúa evolucionando con operaciones más sofisticadas y enfocadas en sectores estratégicos.

La combinación de grupos altamente activos, nuevos actores emergentes y ataques cada vez más dirigidos demuestra que el modelo sigue siendo rentable para los ciberatacantes. De cara al futuro, el foco debe estar puesto en cómo las organizaciones pueden reforzar su capacidad de prevención, detección y respuesta. Especialmente en sectores críticos y regiones donde la madurez en ciberseguridad aún presenta brechas significativas”, concluyó Micucci de ESET.