El ecosistema del ransomware ha mostrado cambios importantes en 2024, con una caída del 35% en los pagos de rescate respecto al año anterior, de acuerdo con un informe de Chainalysis.
Esta reducción se atribuye a una mayor cooperación internacional, el fortalecimiento de las acciones policiales y la creciente negativa de las víctimas a pagar.
A medida que las extorsiones pierden efectividad, los grupos criminales han modificado sus estrategias. Muchos han recurrido a variantes de ransomware basadas en códigos filtrados, rebautizados o adquiridos, lo que ha permitido mantener la actividad con un enfoque más ágil.
Además, los tiempos de operación se han reducido, con negociaciones que comienzan pocas horas después de la extracción de datos.
Los atacantes incluyen desde actores estatales hasta redes de ransomware como servicio (RaaS) y grupos especializados en robo de información, como los responsables del ataque a Snowflake.
Evolución de los ingresos del ransomware
Durante 2024, los grupos de ransomware recibieron aproximadamente 813.55 millones de dólares en pagos de rescate, un descenso considerable respecto al récord de 1,250 millones de dólares registrado en 2023. Esta es la primera caída anual en los ingresos del ransomware desde 2022.
El primer semestre del año presentó un ligero repunte, con 459.8 millones de dólares recaudados entre enero y junio, lo que representó un 2.38% más que en el mismo periodo de 2023. Sin embargo, la tendencia cambió en la segunda mitad del año, con una caída del 34.9% en los pagos a partir de julio.
Este descenso se asemeja a la disminución observada desde 2021 en delitos vinculados a criptomonedas, como el robo de fondos.
Uno de los pagos más altos del año fue el de 75 millones de dólares entregado a Dark Angels, un caso excepcional dentro de una tendencia general a la baja en los rescates pagados.
Cambios en el lavado de fondos
El flujo del dinero del ransomware ha cambiado en 2024. Aunque las bolsas centralizadas (CEX) siguen siendo el principal canal de salida de fondos, con un 39% de participación (frente al 37% del periodo 2020-2024), el uso de mezcladores ha disminuido considerablemente.
Históricamente, estos servicios manejaban entre el 10% y el 15% de los fondos ilícitos, pero su popularidad ha caído tras acciones policiales contra plataformas como Chipmixer, Tornado Cash y Sinbad.
En su lugar, los atacantes han optado por los puentes entre cadenas para mover fondos y dificultar su rastreo. No obstante, la creciente presión regulatoria y las sanciones han limitado la efectividad de estos métodos, lo que contribuye a la caída general en los ingresos del ransomware.
