El análisis de Talos sobre ransomware en 2025 deja una conclusión incómoda pero muy clara: la mejor forma de pasar desapercibido sigue siendo parecerse al tráfico y a las herramientas legítimas del entorno. En lugar de depender exclusivamente de malware ruidoso, muchos grupos están optando por expandir el acceso utilizando utilidades ya presentes en la red, como RDP, PowerShell o PsExec, mezclando actividad maliciosa con administración cotidiana.
Ese enfoque convierte la intrusión en algo mucho más difícil de detectar, porque el problema ya no es solo qué herramienta se usa, sino cómo, cuándo y con qué contexto. Talos remarca además que una parte importante del acceso inicial sigue viniendo del phishing, lo que demuestra que las técnicas clásicas continúan siendo eficaces cuando se combinan con operaciones más silenciosas y bien encadenadas.
La pieza también es útil porque conecta esa táctica de camuflaje con actores concretos y con una lectura anual del fenómeno. Qilin aparece como el grupo más prolífico, pero el verdadero valor del informe está en la tendencia general: los ataques que mejor funcionan no siempre son los más sofisticados a simple vista, sino los que consiguen parecer normales el tiempo suficiente para consolidarse.
En términos editoriales, la historia resume bien el momento actual del ransomware: menos espectáculo, más mimetización. El atacante que mejor se mezcla con la red suele ser el que más tiempo gana.