Un reciente informe del Grupo de Inteligencia de Amenazas de Google (GTIG) ha revelado que REDBIKE se ha consolidado como la familia de ransomware más activa en las operaciones de respuesta de Mandiant, representando casi el 30% de los incidentes reportados. Este hallazgo destaca un cambio significativo en las estrategias de los ciberdelincuentes, quienes ahora dirigen su atención hacia empresas más pequeñas, que suelen contar con menos medidas de seguridad.

El análisis realizado por Google muestra que, en 2025, los atacantes han modificado su enfoque tradicional, ampliando su campo de acción más allá de las grandes corporaciones. Este cambio se debe, en parte, a las crecientes dificultades para infiltrarse en infraestructuras bien protegidas y a la percepción de que las pequeñas empresas son objetivos más vulnerables. A pesar de un aumento en el número de víctimas publicadas en sitios de filtración de datos, el rendimiento financiero de las operaciones de ransomware ha disminuido notablemente, lo que refleja una mejora en las prácticas de ciberseguridad y una mayor capacidad de recuperación de las organizaciones tras sufrir ataques.

Además, el GTIG señala que la tendencia actual en los delitos informáticos se ha alejado del cifrado de sistemas para centrarse en el robo de datos sin cifrarlos, una estrategia que se ha vuelto más común en comparación con años anteriores. En el último año, el 77% de las intrusiones incluyeron la sustracción de información, un aumento significativo respecto al 57% del año anterior. Este cambio en la dinámica de extorsión sugiere que los delincuentes están optando cada vez más por amenazar con la divulgación de datos en lugar de recurrir al bloqueo de sistemas para forzar pagos de rescate. Asimismo, el informe destaca un cambio en las técnicas de acceso inicial, donde los atacantes ahora aprovechan vulnerabilidades en infraestructuras expuestas públicamente, en lugar de depender de ataques por fuerza bruta o credenciales robadas, como se observó en 2024.