Por Redaccion 
• El ransomware duplicó el número de víctimas en México durante 2025 respecto al año anterior, con un crecimiento interanual de 100%, y con los sectores gubernamental y educativo como objetivos prioritarios.
• Para 2026, IQSEC anticipa un incremento sostenido de accesos iniciales basados en contraseñas robadas y campañas de suplantación de identidad cada vez más creíbles, impulsadas por mercados clandestinos que comercializan identidades digitales a gran escala.
Ciudad de México, enero de 2026.— El ransomware dejó de ser un evento aislado para convertirse en una amenaza permanente y estructural para la operación institucional y productiva del país, con impactos directos en la continuidad de servicios, la confianza ciudadana y la estabilidad económica de las organizaciones.
De acuerdo con el Informe Tendencias de Ransomware 2024–2025, elaborado por IQSEC, durante 2025 se identificaron 74 organizaciones mexicanas cuyos datos fueron expuestos en portales de filtración utilizados por grupos criminales, cifra que duplica los 37 casos registrados en 2024, confirmando una escalada sostenida de este tipo de ataques en el país.
El análisis revela un cambio significativo en los sectores más afectados. El sector gubernamental concentró el mayor número de incidentes, seguido por el sector educativo, ambos por encima de industrias históricamente más atacadas como la manufactura y las tecnologías de la información.
“Lo que observamos en 2025 es la consolidación del ransomware como un riesgo sistémico. Ya no se trata solo de la pérdida de información, sino de la interrupción de servicios esenciales, el deterioro de la confianza pública y daños económicos difíciles de revertir”, señaló Fernando Guarneros, Director de Operaciones de IQSEC, líder en Ciberseguridad impulsada por IA y protección de la identidad digital.
Reconfiguración del ecosistema criminal y evolución de las amenazas
El informe de IQSEC también documenta una transformación acelerada del ecosistema criminal digital activo en México. Durante 2025, grupos de ransomware de alcance internacional como Qilin, Kazu y CL0P ganaron protagonismo, desplazando a bandas que dominaron el panorama en 2024, entre ellas LockBit y RansomHub.
Esta rotación responde tanto a operaciones internacionales de desmantelamiento como a la rápida evolución de las técnicas ofensivas, que hoy combinan ingeniería social avanzada, explotación de credenciales legítimas y esquemas de extorsión cada vez más sofisticados.
“Qilin destaca como uno de los actores más persistentes. Su modelo integra campañas de engaño altamente dirigidas, uso de credenciales comprometidas y estrategias de doble extorsión, donde el cifrado de sistemas se acompaña de la filtración gradual —y deliberada— de información sensible”, explicó el especialista en Ciberseguridad de IQSEC.
Proyecciones para 2026: mayor exposición y riesgos prolongados
Las proyecciones de IQSEC para 2026 refuerzan un escenario de alta presión para las organizaciones mexicanas. Se anticipa un incremento sostenido de accesos iniciales basados en contraseñas robadas, así como campañas de suplantación cada vez más creíbles, facilitadas por mercados clandestinos que comercializan identidades digitales a escala global.
De mantenerse esta tendencia, México podría incorporarse formalmente al grupo de los diez países más afectados por ransomware a nivel mundial.
“Gobierno y educación se perfilan como los sectores con mayor exposición en el corto plazo, mientras que tecnologías de la información y manufactura continuarán apareciendo de forma recurrente. La combinación de digitalización acelerada, déficit de talento especializado y restricciones presupuestales crea un entorno especialmente vulnerable para una escalada prolongada de incidentes”, anticipó el Director de Operaciones de IQSEC.
Ante este contexto, IQSEC subraya la urgencia de fortalecer prácticas fundamentales que siguen demostrando eficacia, como la segmentación de redes, la autenticación multifactor obligatoria, esquemas de respaldo aislados y pruebas periódicas de respuesta ante incidentes.
No obstante, advierte que las herramientas tecnológicas pierden efectividad si no se acompañan de gobierno corporativo, procesos definidos y programas continuos de concientización.
“El ransomware no se contiene únicamente con tecnología. La resiliencia real exige decisiones estratégicas, coordinación entre sectores y una cultura de seguridad que permee en toda la organización”, concluyó Fernando Guarneros.