Un análisis realizado por nuestros especialistas a finales de 2025 destacaba la evolución del ransomware como una de las tendencias a seguir bien de cerca en 2026. Lo sucedido en el primer trimestre del año confirma que la lupa debe seguir puesta en esta amenaza.
Con grupos que se consolidaron en el top de los más activos como Qilin y Akira, a otros emergentes como The Gentlemen, la cantidad de víctimas superó la cifra de las 2.000 (escenario similar al primer semestre de 2025).
A continuación, analizaremos las industrias más atacadas, qué países fueron los más afectados por los ataques, cuál es la situación de Latinoamérica y la incidencia de cada grupo.
Los grupos más activos en el trimestre
Hay imágenes que valen más que mil palabras: la que grafica la actividad de los grupos de ransomware durante el primer trimestre de 2026 es una de ellas.
Allí queda en evidencia que tres grupos marcaron el pulso del ransomware en el trimestre: entre Qilin, The Gentlemen y Akira sumaron casi 900 víctimas, lo que representó más de un 30% del total de ataques (2.200 aproximadamente) durante esos tres meses.
El primer puesto lo ocupó el ransomware Qilin con más de 400 ataques durante el trimestre. Vale recordar que este grupo de ransomware as a service, que también ocupó ese puesto el año pasado, llevó la profesionalización del cibercrimen a un nuevo nivel, con el asesoramiento legal a sus afiliados para reforzar la presión durante las negociaciones de rescate.
El segundo lugar, con casi 250 ataques, correspondió a The Gentlemen, que el año pasado no figuraba en el top 10 siquiera. Este grupo de RaaS representa una nueva era: deja atrás los ataques masivos para dar paso a operaciones a medida. Un modelo silencioso y mucho más peligroso, que redefine las reglas del juego con campañas dirigidas y adaptativas.
Akira completó el podio, con más de 200 en su haber (muchas de ellas en Latinoamérica). Tal fue su explosión, que hasta puso en alerta a los principales organismos de ciberseguridad de todo el mundo, entre ellos el FBI.
Las industrias más afectadas
En cuanto a las industrias más afectadas por ransomware durante los primeros tres meses de 2026, se encontraron los sectores de manufactura, tecnología y salud. Luego, un escalón debajo, aparecen los servicios empresariales, la construcción y los servicios financieros.
Lo que está claro es que los ciberatacantes no eligen sus víctimas al azar, sino que buscan organizaciones en donde poder generar un fuerte impacto o urgencia, ya sea por la necesidad inmediata de tener disponibles sus sistemas, porque no pueden permitirse paradas operativas largas o porque manejan información crítica o sensible.
Los grupos de ransomware siguen orientados al impacto económico y reputacional, con el foco puesto en aquellas industrias en proceso de digitalización, pero que evidencian una menor madurez en cuestiones de ciberseguridad.
Los países más atacados y qué sucede en Latam
Con más de 1.000 ataques registrados, Estados Unidos fue por lejos el país más afectado por el ransomware durante el primer trimestre de 2026.
De hecho, las naciones que le siguieron apenas computaron 100 ataques o menos, como Alemania, Gran Bretaña y Francia. Canadá fue la que completó el top 5.
En lo que respecta a Latinoamérica, Brasil (50 ataques) y México (30) fueron los países más afectados, pero también se registraron incidentes en Argentina, Chile, Perú, Paraguay, Ecuador, Venezuela, Colombia, Guatemala, Panamá y República Dominicana.
Conclusión
El primer trimestre de 2026 confirma la tendencia: el ransomware no es una amenaza coyuntural ni en retroceso, sino un fenómeno consolidado y en constante evolución.
La combinación de grupos altamente activos, nuevos actores emergentes y ataques cada vez más dirigidos demuestra que el modelo sigue siendo rentable para los ciberatacantes.
De cara al futuro, el foco debe estar puesto en cómo las organizaciones pueden reforzar su capacidad de prevención, detección y respuesta. Especialmente en sectores críticos y regiones donde la madurez en ciberseguridad aún presenta brechas significativas.
