Ransomware 2026: manufactura y salud bajo presión constante

ESET advierte que el ransomware evoluciona hacia ataques más dirigidos y rentables contra industrias críticas.

Durante años, muchas organizaciones interpretaron el ransomware como una amenaza episódica. Un problema grave, sí, pero asociado a ataques masivos y relativamente previsibles. El escenario que comienza a consolidarse en 2026 muestra algo distinto: campañas más silenciosas, dirigidas y estratégicamente diseñadas para maximizar presión operativa y reputacional.

El nuevo informe presentado por ESET Latinoamérica confirma que el ransomware sigue evolucionando como uno de los negocios más rentables para el cibercrimen. Y las industrias más afectadas reflejan exactamente dónde los atacantes perciben mayor dependencia digital y menor capacidad de resiliencia.

De acuerdo con el análisis basado en datos de ransomware.live, más de 2.200 organizaciones fueron afectadas durante el primer trimestre de 2026. Los sectores de manufactura, tecnología y salud lideraron el ranking global de víctimas, seguidos por servicios empresariales, construcción y servicios financieros.

La lectura va más allá de las cifras. El ransomware ya no apunta únicamente a volumen. Ahora persigue impacto.

Ransomware 2026: ataques más selectivos y sofisticados

Uno de los aspectos más relevantes del reporte es la transformación operativa de los grupos criminales.

Según ESET, los actores más activos durante el primer trimestre fueron Qilin, The Gentlemen y Akira, responsables conjuntamente de cerca del 30% de los ataques registrados.

Qilin, que encabeza la lista con más de 400 ataques, representa la consolidación del modelo ransomware as a service (RaaS). El grupo incluso habría incorporado asesoría legal para ayudar a sus afiliados a aumentar presión durante las negociaciones de rescate. La profesionalización del cibercrimen ya no es una hipótesis: funciona con estructuras, procesos y especialización comparables a modelos empresariales legítimos.

The Gentlemen, por su parte, introduce otro cambio relevante. Según el análisis de ESET, abandona los ataques masivos para centrarse en operaciones más personalizadas y adaptativas.

Ese cambio modifica completamente la dinámica defensiva.

Las campañas dirigidas reducen ruido, disminuyen detecciones tempranas y elevan el potencial de daño. Para las empresas, esto significa que la prevención ya no puede depender únicamente de herramientas automatizadas o perímetros tradicionales. La capacidad de respuesta operacional comienza a ser tan importante como la protección inicial.

Akira completa el podio con más de 200 ataques, varios de ellos en Latinoamérica, al punto de generar alertas internacionales emitidas por organismos como el FBI.

Manufactura y salud: las industrias más vulnerables

El patrón sectorial tampoco es casual.

Manufactura aparece como la industria más afectada porque concentra procesos altamente dependientes de continuidad operativa. Un incidente puede detener líneas de producción, comprometer logística y generar pérdidas inmediatas.

El sector salud enfrenta una presión distinta: la criticidad de los sistemas y la sensibilidad de los datos elevan el costo de cualquier interrupción. En muchos casos, la urgencia por restaurar operaciones reduce el margen de negociación frente a los atacantes.

La industria tecnológica tampoco escapa. A medida que las empresas de software y servicios digitales se convierten en nodos críticos dentro de cadenas de suministro empresariales, los cibercriminales entienden que un solo ataque puede multiplicar impacto sobre terceros.

Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica, sostiene que los atacantes buscan organizaciones donde puedan generar máxima urgencia operativa o reputacional.

Ese enfoque explica por qué sectores en acelerados procesos de digitalización continúan siendo especialmente vulnerables.

Latinoamérica sigue expuesta al ransomware

El informe también deja señales preocupantes para la región.

Brasil registró cerca de 50 ataques durante el trimestre y México alrededor de 30, posicionándose como los países latinoamericanos más afectados. También se reportaron incidentes en Argentina, Chile, Perú, Colombia, Venezuela, Panamá y República Dominicana, entre otros mercados regionales.

Aunque Estados Unidos sigue siendo el principal objetivo global con más de mil ataques registrados, Latinoamérica mantiene condiciones estructurales que favorecen el crecimiento de estas amenazas: procesos de digitalización acelerados, brechas de talento especializado y niveles desiguales de madurez en ciberseguridad.

La cuestión de fondo no es únicamente tecnológica.

Muchas organizaciones todavía operan bajo una lógica reactiva frente al ransomware. Invierten después del incidente, no antes. El problema es que los grupos criminales evolucionan más rápido que los ciclos corporativos de transformación y gobernanza.

El primer trimestre de 2026 deja una conclusión clara: el ransomware ya no puede abordarse como un riesgo aislado de TI. Se convirtió en un problema de continuidad operacional, reputación corporativa y resiliencia estratégica.