El 71% de las víctimas de ransomware en el Q1 de 2026 se concentran en solo 10 grupos.

Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha desvelado en su 'State of Ransomware Q1 2026' que España concentra el 2% de ataques de ransomware en 2026, en un momento en el que el panorama de la ciberseguridad está experimentando un cambio estructural profundo. Tras años de fragmentación, la actividad se está concentrando en menos grupos, pero con más capacidad, lo que aumenta el impacto potencial de cada incidente.

Durante el primer trimestre de 2026, un total de 2.122 organizaciones se vieron expuestas en páginas de filtración de datos (DLS) a nivel global, lo que supone el segundo inicio de año con mayor actividad registrado hasta la fecha. Aunque las cifras interanuales podrían sugerir un ligero descenso respecto a 2025, CPR advierte que esta comparativa es engañosa: al eliminar las anomalías de campañas de explotación masiva del año pasado, la actividad base del ransomware ha mostrado un incremento real.

Número total de víctimas de ransomware registradas en DLS, por mes (junio de 2024 - marzo de 2026).

El dato más alarmante es la consolidación del mercado: los 10 grupos de ransomware más importantes ahora concentran el 71% de todas las víctimas. Esta tendencia indica que los actores más fuertes están absorbiendo a afiliados de grupos menores. Es decir, ahora son más organizados, consistentes y resilientes ante las acciones de las fuerzas del orden.

Check Point Research ha identificado tres grandes actores que definieron el periodo:

Qilin: se mantiene como la operación más activa por tercer trimestre consecutivo, con 338 víctimas registradas.

The Gentlemen: el grupo revelación del trimestre, que pasó de 40 víctimas a finales de 2025 a 166 en el Q1 de 2026, alcanzando el tercer puesto global en pocos meses gracias a un vasto inventario de accesos de red ya comprometidos.

LockBit: tras las interrupciones sufridas en 2024, el grupo ha confirmado su regreso al 'top tier' global con 163 víctimas. Curiosamente, LockBit ha diversificado su alcance geográfico hacia Europa y Latinoamérica para reducir su exposición en jurisdicciones con leyes de cumplimiento más agresivas, como Estados Unidos.

10 principales grupos de ransomware por número de víctimas declaradas públicamente en el primer trimestre de 2026.

El informe también ha revelado que los ataques no siempre buscan objetivos lucrativos, sinoa los más vulnerables o fáciles de alcanzar. Estados Unidos sigue liderando la lista de víctimas con casi el 50% del total. Sin embargo, el aumento de ataques en Tailandia (10,8% de las víctimas de un solo grupo) demuestra cómo las infraestructuras vulnerables o VPN expuestas influyen directamente en el mapa de riesgo. Los sectores más afectados siguen siendo la manufactura, los servicios empresariales, la salud y la industria, especialmente por su baja tolerancia a las interrupciones.

Ante un panorama donde los atacantes son más capaces y cuentan con mejores recursos, Check Point Software recomienda evolucionar la estrategia de seguridad hacia tres pilares fundamentales:

Seguridad de red y nube híbrida: implementar firewalls impulsados por IA y soluciones SASE para bloquear amenazas antes de que lleguen al dispositivo, utilizando controles Zero Trust para limitar el movimiento lateral.

Gestión de la exposición: identificar y cerrar preventivamente los vectores de ataque más probables mediante la correlación de inteligencia de amenazas en tiempo real con las vulnerabilidades internas.

Seguridad del espacio de trabajo: proteger los puntos de entrada principales (correo electrónico y navegadores) para prevenir el phishing y el abuso de credenciales antes de que se inicie el cifrado de sistemas críticos.