La cifra preocupa y obliga a actuar: solo el 20% del ransomware no utiliza hoy inteligencia artificial, y para 2025 esa porción será aún menor. La tendencia, reportada por TechRadar, confirma lo que equipos TI y dueños de pymes ya perciben: el ransomware powered by AI (ransomware impulsado por IA) acelera el ciclo de ataque, mejora el engaño y multiplica el alcance con costos marginales casi nulos. En InfoProteccion analizamos qué implica este giro y cómo prepararse sin caer en el pánico.

La IA no solo redacta correos de phishing perfectos en cualquier idioma; también prioriza objetivos, automatiza reconocimiento y orquesta cadenas de ataque. El resultado: operaciones más rápidas, campañas más creíbles y extorsiones con mayor tasa de éxito, especialmente contra organizaciones con equipos reducidos o procesos de seguridad fragmentados.

Qué significa el «ransomware powered by AI» para su empresa en 2025

El problema ya no es «si» llegará a su sector, sino «cómo» y «cuándo». La IA reduce la brecha entre atacantes novatos y operadores avanzados, lo que incrementa:

• La velocidad de intrusión y cifrado tras un compromiso inicial.
• La calidad del spear phishing y la suplantación de identidad (incluyendo voz y video).
• La capacidad para evadir controles mediante técnicas de living-off-the-land.
• La presión del doble (o triple) chantaje: cifrado, exfiltración y amenaza reputacional.

Esto agita directamente la superficie de riesgo de pymes y equipos TI: más vectores, menos tiempo de respuesta y una negociación asimétrica. Además, los proveedores y la cadena de suministro se convierten en multiplicadores del riesgo. La fatiga de alertas, la falta de visibilidad unificada y la deuda técnica hacen el resto.

La buena noticia: la misma IA que potencia a los atacantes también fortalece la defensa. Las organizaciones que combinan detección avanzada, segmentación, higiene de identidades y backups inmutables reducen drásticamente el impacto de incidentes. La diferencia entre una semana de inactividad y una interrupción menor suele estar en la preparación.

Señales y tácticas a vigilar en campañas con IA

• Phishing hiperpersonalizado (nombre, rol, proyectos actuales) y correos impecables en varios idiomas.
• Deepfakes de voz para acelerar fraudes de pago o urgencias del «CEO».
• Exfiltración silenciosa antes del cifrado para elevar la presión de la extorsión.
• Uso intensivo de herramientas legítimas del sistema (PowerShell, WMI, PsExec) para pasar desapercibidos.
• Movimiento lateral rápido y escalamiento de privilegios con errores de configuración de IAM.

Medidas prioritarias para mitigar el riesgo en pymes y equipos TI

1. Implemente EDR/XDR con detecciones impulsadas por IA y telemetría amplia. Conecte endpoints, identidades, correo y red para correlación en tiempo real.
2. Refuerce identidad: MFA robusto (evite SMS cuando sea posible), políticas de acceso condicional, privilegios mínimos y rotación de claves. Centralice SSO.
3. Segmente la red y aplique microsegmentación en entornos críticos. Evite que un único punto de fallo comprometa todo el negocio.
4. Aplique una estrategia de copias 3-2-1-1 con almacenamiento inmutable y fuera de línea. Pruebe restauraciones regularmente y defina RPO/RTO realistas.
5. Endurezca el correo: SPF, DKIM y DMARC en modo “reject”, más filtrado de URL/adjuntos con sandboxing.
6. Patching sin excusas: priorice vulnerabilidades explotadas en la práctica (KEV) y automatice el ciclo en servidores, endpoints, SaaS y dispositivos de red.
7. Entrene con simulaciones realistas: campañas de phishing generadas por IA, ejercicios de mesa y drills de respuesta. Documente roles y escalado.
8. Visibilidad y registros: habilite Sysmon, centralice en SIEM, conserve logs críticos y cree alertas de comportamiento anómalo (p. ej., uso de cifrado masivo).
9. Políticas de ejecución: restrinja macros, aplique Application Control, y utilice PowerShell en modo restringido para usuarios no administradores.
10. Considere MDR/ SOC as a Service si no cuenta con cobertura 24/7. La detección temprana reduce el costo total del incidente.

Un apunte práctico para pymes: hable con su aseguradora de ciberseguro. Muchas pólizas condicionan cobertura a controles como MFA, EDR y backups inmutables. Alinear controles con requisitos del seguro reduce sorpresas en el peor momento.

¿Qué viene en 2025?

Espere más automatización de punta a punta: descubrimiento de objetivos, generación de señuelos, pruebas de credenciales filtradas y orquestación del cifrado. Veremos más ataques a la cadena de suministro y más abuso de identidades. Paralelamente, las defensas con análisis de comportamiento y modelos que detectan desviaciones sutiles ganarán protagonismo. La clave será combinar tecnología con procesos y personas: sin ejecutar planes, la mejor herramienta es solo un ícono en el escritorio.

Conclusión

El dato de que apenas el 20% del ransomware no emplea IA confirma un cambio estructural. En 2025, el ransomware powered by AI será la norma. Prepararse hoy con visibilidad, identidad sólida, segmentación y copias inmutables es más rentable que reaccionar mañana. En InfoProteccion, recomendamos empezar por un assessment de brechas y un plan de 90 días que priorice controles de alto impacto. La resiliencia se construye antes del incidente, no durante la extorsión.

Referencias:

• TechRadar: «Only 20% of ransomware is not powered by AI, but expect that number to drop even further in 2025» (en inglés): https://www.techradar.com/pro/security/only-20-of-ransomware-is-not-powered-by-ai-but-expect-that-number-to-drop-even-further-in-2025