La evolución del ransomware ha entrado en una nueva fase. Así lo advierte Check Point Research al alertar sobre DragonForce, un sofisticado cártel de ransomware que está redefiniendo los modelos de extorsión digital mediante una combinación de descentralización, economía colaborativa y automatización.
Aparecido por primera vez en diciembre de 2023, DragonForce lanzó el portal en la dark web “DragonLeaks”, lo que en su momento fue interpretado como una iniciativa hacktivista vinculada a un colectivo malasio del mismo nombre. Sin embargo, su trayectoria posterior revela una transformación empresarial: en 2025, DragonForce opera como un cártel altamente estructurado que ofrece un entorno idóneo para afiliados freelance. A través de un modelo de participación que promete un 20% de los ingresos, proporciona kits de ransomware de marca blanca y acceso a infraestructura preconfigurada, incluyendo portales como “RansomBay”.
Tras la disolución de RansomHub, DragonForce capitalizó rápidamente la situación absorbiendo a sus afiliados y consolidándose como una alternativa ágil, rentable y difícil de rastrear, en un entorno en el que incluso los cibercriminales desconfían de las grandes marcas del delito digital.
Repunte histórico del ransomware en 2025
Los datos del informe State of Ransomware Q1 2025 de Check Point Research evidencian una escalada preocupante:
2.289 víctimas públicas reportadas en el primer trimestre, lo que supone un aumento del 126% interanual.
74 grupos activos de ransomware, una cifra que muestra una mayor fragmentación del ecosistema criminal.
Una media mensual de más de 650 víctimas, superando ampliamente las cifras de 2024.
Uno de los cambios más significativos en las técnicas utilizadas es la creciente preferencia por la filtración de datos sin cifrado, lo que reduce la complejidad técnica y acelera los procesos de monetización.
Reino Unido en el punto de mira: el retail, nuevo objetivo estratégico
Durante los meses de abril y mayo de 2025, DragonForce ha dirigido ataques selectivos al sector minorista del Reino Unido, provocando caídas en plataformas de comercio electrónico, interrupciones en sistemas de fidelización de clientes y afectaciones a procesos operativos internos. Todo ello con el objetivo de recolectar grandes volúmenes de información personal identificable (PII), un activo altamente cotizado en los mercados de datos ilegales.
El objetivo estratégico de los cibercriminales en 2025 es recolectar grandes volúmenes de información personal identificable (PII), un activo altamente cotizado en los mercados de datos ilegales.
Check Point detalla que el sector de Bienes y Servicios de Consumo se sitúa actualmente como el quinto más atacado en el Reino Unido, con una media de 1.337 ciberataques semanales por organización, un 8% por encima de la media nacional. El crecimiento interanual de estos ataques ha sido del 22%, lo que revela un incremento sostenido y preocupante.
Inteligencia artificial y fragmentación del crimen digital
La caída de grupos prominentes como LockBit y ALPHV durante 2024 ha generado un ecosistema Ransomware-as-a-Service (RaaS) más fragmentado, en el que nuevos actores intermedios compiten por atraer afiliados. DragonForce ha logrado destacar en este entorno al ofrecer no solo herramientas técnicas, sino también un relato ideológico flexible y una identidad que facilita la creación de marcas personales por parte de los delincuentes. Paralelamente, la inteligencia artificial está siendo integrada cada vez más en las campañas de ransomware:
Generadores de malware basados en IA que permiten operar a personas sin conocimientos técnicos avanzados.
Empleo de deepfakes de audio y vídeo como herramienta de ingeniería social.
Automatización de campañas de phishing en múltiples idiomas, ataques BEC (Business Email Compromise) y robo de códigos OTP mediante bots.
Ante esta sofisticación creciente la empresa apuesta por un enfoque de ciberseguridad basado en la prevención, liderado por inteligencia artificial. “DragonForce no es solo una banda de ransomware, es una estrategia de marketing, un modelo de negocio y un ecosistema, todo en uno”, subraya Eusebio Nieva, director técnico de Check Point para España y Portugal. “Su éxito no radica en la sofisticación técnica, sino en reducir la barrera de entrada al cibercrimen, ofrecer un refugio a exafiliados, permitir que nuevos actores construyan marcas personales y capitalizar un mundo que aún lucha por adaptarse a la realidad del ransomware como servicio”.
Artículo redactado con asistencia de IA (Ref. APA: OpenAI. (2025). ChatGPT (versión 08 mayo). OpenAI)
