Oficiales de la Secretaría de Seguridad Ciudadana (SSC) de la Ciudad de México, detuvieron a cinco personas que probablemente desapoderaron a un ciudadano de su motocicleta, en la colonia Pensador Mexicano, de la alcaldía Venustiano Carranza.
Por la frecuencia de radio, los policías fueron informados de un reporte de agresiones que ocurrían en el cruce de las calles Tahel y Ruiz Cortines y, en el lugar, observaron a varias personas que golpeaban un vehículo en el que viajaban cuatro hombres y una mujer quienes refirieron que, momentos antes, habían robado una motocicleta.
De inmediato, y en apego a los protocolos de actuación policial, los uniformados resguardaron la seguridad de los probables responsables y aseguraron el automóvil y la motocicleta, además de una llave en forma de cruz.
Por lo anterior, los hombres de 17, 23, 24 y 28 años de edad y la mujer de 17 años de edad fueron detenidos, les informaron sus derechos de ley, y junto con lo asegurado, los presentaron ante el agente del Ministerio Público correspondiente, quien determinará su situación legal.
Resultado de trabajos de investigación de gabinete y campo para prevenir la comisión de delitos, policías de la Secretaría de Seguridad Ciudadana (SSC) de la Ciudad de México detuvieron, en calles de la alcaldía Cuauhtémoc, a un ciudadano venezolano en posesión de varias dosis de posible droga.
Los uniformados de la SSC fueron desplazados a la colonia Buenavista, para combatir los hechos relacionados a la compra y venta de droga y, al circular sobre la calle Carlos J. Meneses y Luis Donaldo Colosio, observaron a una persona que manipulaba bolsas de plástico similares a las utilizadas para la distribución de drogas, quien al notar la presencia policial de inmediato las guardó en una mochila color negro.
Para descartar un probable hecho delictivo, los oficiales de inmediato se aproximaron y de acuerdo con los protocolos de actuación policial, le realizaron una revisión precautoria. Resultado de dicha acción, le aseguraron una mochila color negro que contenía tres bolsitas de plástico transparente y una bolsa mediana con aparente marihuana a granel, así como 20 cigarrillos elaborados artesanalmente con el mismo vegetal y un teléfono celular.
Por tal motivo, los efectivos detuvieron al hombre de 23 años de edad, que dijo ser ciudadano venezolano, le informaron sus derechos constitucionales y junto con la aparente droga asegurada, lo presentaron ante el agente de Ministerio Público correspondiente, quien determinará su situación jurídica.
Cabe señalar que, de acuerdo con un cruce de información, se supo que el detenido posiblemente pertenece a un grupo delictivo generador de violencia, dedicado al narcomenudeo y prestamos conocidos como “gota a gota”, que opera en la zona Centro de la capital.
• Uno de los mandatos judiciales se realizó en el Estado de México, los otros en las alcaldías Gustavo A. Madero, Álvaro Obregón y Coyoacán
En el marco de la estrategia de Combate al delito de extorsión, instruida por la Jefa de Gobierno, Clara Brugada Molina, así como derivado del seguimiento a trabajos de investigación de gabinete y campo, personal de la Secretaría de Seguridad Ciudadana (SSC), en coordinación con agentes de la Fiscalía General de Justicia (FGJ), ambas de la Ciudad de México, en dos acciones distintas, ejecutaron cuatro órdenes de aprehensión por el delito de Extorsión Calificada y Agravada, en contra de cuatro hombres.
El primer caso se llevó a cabo en la alcaldía Gustavo A. Madero, donde los oficiales realizaron trabajos de investigación en atención a una denuncia ciudadana presentada en enero de 2026, por un grupo de sujetos que exigían dinero en efectivo a los conductores de unidades de transporte público, a cambio de permitirles operar sus rutas y no causarles daño.
Al obtener los datos de prueba suficientes, un Juez de Control del Sistema Procesal Penal Acusatorio libró la Orden de Aprehensión por el delito de Extorsión Calificada, la cual se ejecutó en la calle Jaime Nunó, en la colonia Guadalupe Chalma, donde fue detenido Osvaldo "N".
En la segunda acción, los mandamientos judiciales derivaron de la denuncia de un ciudadano en contra de tres personas que le exigían diversas sumas de dinero desde el año 2024 para no atentar contra su vida y la de su familia, por lo que se inició la carpeta de investigación y se realizaron diversas acciones de inteligencia.
Al tener datos de prueba sólidos y suficientes, un agente del Ministerio Público solicitó y obtuvo de un Juez de Control del Sistema Procesal Acusatorio, tres Órdenes de Aprehensión por el delito de Extorsión Agravada.
Por ello, los uniformados dieron cumplimiento a los mandamientos judiciales en diferentes puntos, donde previamente realizaron vigilancias fijas y móviles; el primero se llevó a cabo en un predio ubicado en la calle Marte, de la colonia El Cuernito, en la alcaldía Álvaro Obregón, donde detuvieron a Alejandro "N" y aseguraron 10 tarjetas bancarias de diferentes instituciones crediticias, una tarjeta de circulación y dos teléfonos celulares.
La segunda Orden de aprehensión se registró en la calle Cerrada 20 de Agosto, en la colonia San Francisco Culhuacán de la Magdalena, en la alcaldía Coyoacán, donde detuvieron a Gibran "N"; y el último mandamiento lo realizaron en la calle San Miguel, en la colonia Santa Catarina Ayotzingo, en el Estado de México, donde fue detenido Margarito "N".
A los detenidos, los policías les leyeron sus derechos constitucionales y los trasladaron la autoridad que los requiere, en diferentes centros penitenciarios de la Ciudad de México.
La SSC trabaja todos los días para garantizar que la Ciudad de México sea un lugar en el que la extorsión no tenga cabida e invita a la ciudadanía a que aporte información y sume esfuerzos para el combate a este delito, a través de llamadas al 089 o en la línea directa 55 5036 3301.
Derivado del seguimiento a diversas denuncias ciudadanas, uniformados de la Secretaría de Seguridad Ciudadana (SSC) de la Ciudad de México, detuvieron a dos sujetos en posesión de dosis de aparente droga y un arma de fuego, en las inmediaciones de una escuela secundaria, ubicada en la alcaldía Gustavo A. Madero.
La acción policial se llevó a cabo cuando, derivado de diversas denuncias de padres de familia, vecinos y personal de una institución educativa, ubicada en calles de la colonia San Felipe de Jesús, los oficiales tomaron conocimiento que, en las inmediaciones, un grupo de personas, al parecer vendía narcóticos.
Derivado de lo anterior, el personal de la SSC implementó puntos de vigilancia fijos y móviles, además de recorridos de seguridad para ubicar a los posibles responsables. Fue así que durante un patrullaje de prevención del delito en las calles Francisco Urquizo y Actopan, ubicaron a dos hombres que se encontraban al interior de un automóvil color negro, donde intercambiaban bolsas con una hierba verde y seca por dinero en efectivo.
En una rápida acción, los efectivos les marcaron el alto y, de acuerdo con los protocolos de actuación policial, les realizaron una revisión de seguridad, tras la cual les hallaron dinero en efectivo, 400 gramos de posible marihuana, nueve bolsas con la misma hierba, 35 cápsulas con un polvo blanco, un arma de fuego y ocho cartuchos útiles.
Por lo anterior, los policías detuvieron a los hombres de 22 y 25 de edad, les comunicaron sus derechos constitucionales y junto con asegurado, los trasladaron ante el agente del Ministerio Público, quien determinará su situación legal e iniciará la carpeta de investigación correspondiente.
• El detenido cuenta con dos ingresos al Sistema Penitenciario de la Ciudad de México por Robo agravado y por Robo de accesorios
En seguimiento a una agresión con disparos de arma de fuego en contra de un hombre que perdió la vida en la colonia Peralvillo, personal de la Secretaría de Seguridad Ciudadana (SSC) de la Ciudad de México, detuvo al probable responsable en posesión de aparente droga, en la alcaldía Cuauhtémoc.
Los operadores del Centro de Comando y Control (C2) Centro informaron a los oficiales de una persona lesionada en el Eje Central Lázaro Cárdenas y la calle Franz Lizst, de la colonia Peralvillo, en la misma alcaldía.
Al llegar, observaron a una persona con visibles manchas hemáticas, por lo que solicitaron los servicios de emergencia; paramédicos que llegaron al lugar, diagnosticaron al hombre de 54 años sin signos vitales, por lo que se acordonó el área y se informó al agente del Ministerio Público para los peritajes correspondientes.
En tanto, los uniformados revisaron las imágenes captadas por una cámara de seguridad ubicada en la zona y observaron que un sujeto descendió de una camioneta color gris con quemacocos, se acercó al hoy occiso y sin mediar palabra, le disparó y enseguida huyó.
Rápidamente los operadores del C2 Centro dieron seguimiento a través de las cámaras de seguridad y observaron que el probable responsable entró a una unidad habitacional, ubicada en la colonia Popular Rastro, de la alcaldía Venustiano Carranza, donde dejó el automóvil y salió a bordo de una motocicleta color negro con gris.
Posteriormente, en uno de sus recorridos de seguridad y vigilancia en las calles Guerrero y Álzate de la colonia Guerrero, los efectivos interceptaron la motocicleta y le solicitaron al conductor una revisión preventiva, en apego con el protocolo de actuación policial, tras la cual le aseguraron 25 bolsas que contenían aparente marihuana.
Por lo anterior, los policías detuvieron al hombre de 38 años de edad, le leyeron sus derechos constitucionales y junto con lo asegurado, lo pusieron a disposición del agente del Ministerio Público correspondiente, quien determinará su situación jurídica.
Cabe señalar que, de acuerdo con las investigaciones policiales, y derivado de una revisión visual, al interior de la camioneta se halló un arma de fuego corta y dos cargadores, lo que se informó a la autoridad ministerial para el aseguramiento.
Además, se supo que el detenido es trabajador de limpieza de una demarcación de la zona centro y al parecer, robó la camioneta en el Estado de México y, debido a un problema con el occiso por un supuesto acoso a su esposa, llegó al sitio y de manera directa efectuó los disparos.
También se supo, que el detenido cuenta con dos ingresos al Sistema Penitenciario de la Ciudad de México, el primero en el año 2006 por el delito de Robo agravado y el segundo en el 2010 por Robo de accesorios.
Un hombre con el diagnóstico de infarto agudo al miocardio en evolución, fue trasladado a un hospital de especialidades ubicado en la alcaldía Iztapalapa, por oficiales de la Dirección General de Servicios Aéreos Cóndores, de la Secretaría de Seguridad Ciudadana (SSC) de la Ciudad de México.
El apoyo se realizó a solicitud del personal del Centro Regulador de Urgencias Médicas (CRUM), por lo que los Cóndores arribaron al helipuerto de la Casa del Peregrino, localizada en la alcaldía Gustavo A. Madero. En el punto, los médicos entregaron al paciente de 62 años de edad y enseguida la tripulación de la aeronave de la SSC emprendió el vuelo; durante el trayecto, los especialistas le brindaron al paciente las atenciones prehospitalarias correspondientes.
En pocos minutos arribaron al Hospital de Especialidades Doctor Belisario Domínguez, localizado en la avenida Tláhuac, de la colonia San Lorenzo Tezonco, en la alcaldía Iztapalapa, donde el personal médico recibió al hombre a quien le brindarán la atención especializada que requiere.
Los Cóndores de la SSC cuentan con personal preparado para brindar atención y apoyo ante emergencias que requieran optimizar tiempos de traslado para personas que necesiten atención médica especializada y oportuna en los distintos hospitales de la Ciudad de México.
Los pagos por ransomware se estancaron a pesar de los ataques récord reclamados. El total de pagos de ransomware on-chain cayó aproximadamente un 8% hasta los 820 millones de dólares en 2025, incluso cuando los ataques reclamados aumentaron un 50%.
El tamaño medio del pago del rescate aumentó significativamente. Aunque los ingresos agregados se estancaron, el pago medio del rescate creció un 368% interanual hasta casi 60.000 dólares.
La actividad de Corredores de Acceso Inicial (IAB) puede servir como indicador adelantado; el análisis onchain indica que los picos en las entradas de IAB suelen preceder a incrementos en los pagos por ransomware y las fugas de víctimas en aproximadamente 30 días.
Los actores criminales y vinculados al Estado comparten infraestructuras. La capa de infraestructura se ha consolidado, con ciberdelincuentes motivados financieramente y actores alineados con los estados que utilizan los mismos proveedores de alojamiento a prueba de balas y redes proxy residenciales para evadir la detección.
Los esfuerzos de disrupción se centraron en la capa de habilitación. Las acciones y sanciones de las fuerzas del orden, así como los esfuerzos del sector privado, en 2025 se centraron cada vez más en los servicios de infraestructura además de grupos individuales, con el objetivo de interrumpir las herramientas de alojamiento y carga de malware utilizadas en todo el ecosistema.
El ransomware hoy en día no se entiende mejor como ataques aislados, sino como un mercado interconectado de servicios de acceso, infraestructura y monetización. En 2025, los pagos totales en cadena se mantuvieron relativamente estancados incluso con el aumento de los ataques reclamados y el aumento de la mediana de los rescates. Al mismo tiempo, las acciones coordinadas de las fuerzas del orden y las sanciones se dirigieron cada vez más a la capa de infraestructura —incluidos los proveedores de alojamiento antibalas—, aumentando los costes tanto en los sindicatos de ciberdelincuencia como en los actores vinculados a los Estados.
En 2025, los actores de ransomware recibieron más de 820 millones de dólares en pagos en cadena — una caída del 8% interanual (interanual) desde los 892 millones de dólares, nuestra estimación actualizada para 2024. Es probable que el total de 2025 se acerque o supere los 900 millones de dólares a medida que atribuimos más eventos y pagos, igual que nuestro total de 2024 creció respecto a nuestra estimación inicial de 813 millones de dólares por estas fechas del año pasado.
A pesar de la relativa estabilidad en los pagos totales, los ataques de ransomware se dispararon en múltiples vectores en 2025, con eCrime.ch datos que muestran un aumento interanual del 50% en las víctimas reclamadas de ransomware, marcando el año más activo registrado. Gracias a esta dinámica, la cuota de rescates pagados potencialmente ha alcanzado un mínimo histórico este año, del 28
Esta divergencia —más ataques reclamados, pero menos pagos agregados— refleja fuerzas complejas que están moldeando la economía del ransomware:
La mejora en la respuesta a incidentes y el mayor escrutinio regulatorio han contribuido a reducir la frecuencia de pagos.
La acción internacional eficaz contra los operadores de ransomware, la infraestructura y las redes de blanqueo ha limitado algunos flujos de ingresos.
En algunos casos, la introducción de cepas como VolkLocker, notable por una debilidad criptográfica que permitía el descifrado gratuito en algunos casos, ilustra cómo la verificación técnica por parte de los defensores puede interrumpir ocasionalmente una cepa de ransomware.
La marcada fragmentación de las principales operaciones de ransomware como servicio (RaaS) y la disminución de la centralización en el mercado de ransomware han llevado a una proliferación de actores de ransomware más pequeños e independientes, con algunos análisis que rastrean hasta 85 grupos activos de extorsión.
El cambio de un gran número de cepas dominantes a un panorama más descentralizado y volátil ha hecho que la atribución, la respuesta y el seguimiento a largo plazo sean tan importantes como siempre. Según el fundador de eCrime.ch, Corsin Camichel, "Estamos viendo un cambio estructural en la segmentación: menos intrusiones grandes y que acaparan titulares y más volumen centrado en pequeñas y medianas empresas. La suposición es sencilla: las víctimas más pequeñas pagan más rápido. Sin embargo, los datos de Chainalysis muestran que los pagos tienden a la baja a pesar de un récord histórico de reclamaciones públicas. Esa divergencia es importante. Sugiere que los atacantes están trabajando más duro para obtener rendimientos decrecientes."
Esta tendencia general es una gran victoria frente al ecosistema del ransomware. Menos pagos a las víctimas significa más trabajo por menos para los atacantes, un paso importante para cambiar los incentivos económicos.
Pagos medianos de rescate y tácticas cambiantes de extorsión
Mientras que los pagos totales se estancaron, la media y el tamaño de los pagos aumentó significativamente en 2025. En particular, el pago medio aumentó un 368%, de 12.738 dólares en 2024 a 59.556 dólares en 2025. Esta dinámica refleja los informes de las empresas de respuesta a incidentes que afirman que los pagos medianos más que se duplicaron en ciertos trimestres.
Los incidentes de alto impacto moldearon el panorama del ransomware
Several widely publicized trends – from zero-day exploits to social engineering – made 2025 another devastating year for ransomware’s global scale and impact:
One of 2025’s most economically disruptive cyber events was the cyberattack on Jaguar Land Rover, which halted production lines across multiple countries and inflicted an estimated £1.9 billion (approximately $2.5 billion) in economic damage, the costliest cyber event in UK history.
Retail and services sectors also felt ransomware’s impact. Major British multinational retailer Marks & Spencer grappled with prolonged disruption after a breach by the Scattered Spider ransomware group forced extended operational outages and wiped hundreds of millions of pounds of market value.
Healthcare providers remained lucrative targets. For example, kidney dialysis company DaVita Inc. experienced one of the most serious healthcare ransomware breaches, resulting in the exposure of almost 2.7 million patient records and substantial loss of allegedly 1.5 TB of clinical data.
Beyond individual companies, mass exploitation events continued to illustrate ransomware’s reach. For example, Cl0p leveraged a zero-day exploit in Oracle E-Business Suite to orchestrate widespread enterprise extortion campaigns that affected hundreds of organizations.
Ransomware actors remain highly opportunistic. They do not consistently favor a specific sector at a given time of year. Instead, they exploit exposed services and misconfigurations as they arise, and capitalize on newly disclosed vulnerabilities.
Fingerprinting strains by financial behavior
By isolating the primary laundering channels for the top 10 ransomware strains of 2025, we can begin to “fingerprint” these groups based on their distinct on-chain signatures. While the malware they deploy may share code or builders, their exit strategies reveal unique operational preferences.
Esta divergencia entre cepas permite a los investigadores distinguir entre grupos no solo por sus TTPs de ataque, extorsión y negociación, sino también por su comportamiento en cadena. También podemos rastrear a actores de ransomware que trabajan con múltiples cepas basándonos en sus patrones únicos de blanqueo.
La actividad de los yacimientos de filtración subraya la concentración geográfica
El análisis de las divulgaciones de los sitios de fugas a lo largo de 2025 muestra una concentración geográfica desproporcionada en las economías desarrolladas. Los incidentes de ransomware declarados por filtraciones de datos crecieron un 50% interanual, un récord histórico.
Entre los países para los que existe una etiqueta geográfica clara, Estados Unidos sigue siendo la jurisdicción más afectada, seguido de Canadá, Alemania, Reino Unido y otras partes de Europa. La manufactura y los servicios financieros/profesionales fueron los sectores más comprometidos en la mayoría de estas jurisdicciones, con Canadá y Alemania teniendo una tasa de compromiso particularmente alta en cadenas de suministro, logística e infraestructuras críticas.
Una advertencia importante es que no todas las afirmaciones de filtración de datos en sitios son legítimas. Además, las publicaciones de filtraciones de datos en sitios pueden significar que una parte ha sido víctima, pero no necesariamente que no haya pagado. La empresa de respuesta a incidentes Arete nos dijo: "Este año, vimos a varios grupos volver a publicar víctimas antiguas o publicar víctimas de sitios de filtración de datos de otros grupos, lo que sesgó las tasas de publicación de sitios de filtraciones de datos. Sin embargo, seguimos viendo menos víctimas que pagan rescates a medida que mejora la adopción de mejores prácticas de seguridad, incluyendo mejores copias de seguridad y el uso de tecnologías de seguridad como la detección y respuesta de endpoints, que interrumpen a los grupos de amenaza antes de que puedan alcanzar plenamente sus objetivos."
Arete explicó que algunos grupos de amenaza respondieron a esta disminución de pagos siendo más agresivos durante las negociaciones, lo que ha incluido contactar con empleados e incluso clientes de organizaciones víctimas. Otros grupos respondieron centrándose en la exfiltración de datos e incluso analizando los datos exfiltrados para identificar qué había sido robado. Al analizar los datos exfiltrados, los actores amenazantes pueden hacer amenazas más específicas sobre las consecuencias de la exposición de datos.
Not only was the United States hit heavily across sectors; every sector saw increased targeting YoY. Claimed victims from critical infrastructure, supply chains and logistics, and government increased YoY by between 45% and 56%. In other words, the United States is the most targeted nation globally, and the rate of intrusions has increased significantly relative to 2024. Ransomware actors continue to view U.S.-based organizations as high-value and high-liquidity targets.
The ransomware supply chain: initial access brokers (IABs)
Ransomware does not occur in isolation, but rather is supported by a broader cybercrime supply chain, including Initial Access Brokers (IABs) and other specialized services. As their name suggests, IABs facilitate entry to compromised networks, enabling affiliates to deploy ransomware with relative ease.
The size of this enablement ecosystem is increasing over time. In 2025, we estimate that IABs received at least $14 million in on-chain payments — roughly flat YoY, although we expect this total to grow as attributions improve. Although modest relative to ransomware totals, this figure represents a critical enabling function. Total ransomware payments of approximately $820 million in 2025 represent nearly 58 times the value flowing to IABs, suggesting a substantial return on investment within this segment of the cybercrime supply chain.
It is important to note that not all IAB payments are made by ransomware operators. IABs certainly trade and buy access among themselves and some malicious actors have TTPs and objectives other than ransomware. Another important caveat is that not all ransomware incidents can be traced to IABs — there are a number of different ways to gain access to victim networks. With those caveats in mind, we can draw a connection between criminal investments and the ransomware attacks that follow.
Looking 30-days out from sizable IAB payment inflow events (days within 2025 in the top 25% of all days), we see a significant effect on both global ransomware payments and claimed US victims totals as measured by leak site posts. The chart below plots the cumulative abnormal returns relative to the average day in 2025, and shows an almost immediate and sizable growth in abnormal global ransomware payments (more payments than expected). And, after around a 10-day lull, a similar growth in leak site posts about US victims.
Cybercrime prevention firm Darkweb IQ told us that, from Q1 2023 to Q1 2026, the average price for victim access declined from approximately $1,427 to $439. This drop reflects a market characterized by more competitive pressure and automation as the core shaping force. “We are seeing industrialized access pipelines, AI-assisted tooling, and a proliferation of infostealer logs that lower the barrier to entry, which has resulted in an oversupply of cheap but operationally constrained inventory that floods the market and depresses pricing. While average pricing has declined due to increased volume and automation, validated, high-privilege enterprise access (e.g., domain-level control) still commands premium pricing, indicating a bifurcated and still competitive market.”
Source: Darkweb IQ
Month
Privately offered access (count)
YoY change (as stated)
MoM change
2025-01
646
+114%
–
2025-02
614
+117%
-32
2025-03
621
+201%
+7
2025-04
739
+278%
+118
2025-05
725
+87%
-14
2025-06
1,127
+154%
+402
2025-07
1,019
+48%
-108
2025-08
860
+41%
-159
2025-09
715
+1%
-145
2025-10
706
+37%
-9
2025-11
460
-35%
-246
2025-12
641
-76%
+181
2026-01
675
+4%
+34
Growth in privately offered access YoY
Source: Darkweb IQ
We can also visualize these trends on-chain, as shown in the Reactor graph below. This example illustrates both the varying prices of access being purchased by ransomware strains over time and the fact that IABs are also frequently purchasing access from other IAB
Las herramientas y marcos emergentes apuntan a un futuro en el que la automatización no solo influye en el precio, sino que también acelera los ciclos de compromiso y extorsión. Por ejemplo, investigadores documentaron grupos de ransomware experimentando con interfaces de negociación impulsadas por IA a mediados de 2025, reflejando los avances en el ecosistema de estafas habilitadas por IA.
La infraestructura permite tanto a sindicatos criminales como a actores amenazantes vinculados al Estado
La infraestructura de ransomware —incluyendo redes de alojamiento antibalas y proxy residenciales, y cargadores de malware— no es utilizada exclusivamente por sindicatos criminales con motivación financiera ni exclusivamente para fines criminales. El mismo ecosistema basado en servicios también apoya a actores amenazantes vinculados a estados que llevan a cabo espionaje, operaciones de influencia y campañas con motivación financiera.
Según datos filtrados en 2025, actores de ciberamenazas vinculados a Irán, incluidos grupos comúnmente rastreados como Charming Kitten, la rama centrada en espionaje y operaciones de influencia de la Organización de Inteligencia del Cuerpo de Guardias Revolucionarias Islámicas (IRGC) de Irán, continúan dependiendo de alojamientos comercialmente disponibles, servicios proxy e infraestructura comprometida para ocultar la atribución y mezclarse con los patrones de tráfico criminal. La creciente commoditización de los servicios de acceso y anonimización reduce la barrera entre las operaciones cibernéticas estatales y no estatales, permitiendo que las campañas de espionaje operen dentro del mismo sustrato técnico que las afiliadas de ransomware.
This blurring of lines is not unique to Iranian operations, as Russia- and China-linked actors similarly exploit these infrastructure layers to support both financial crime and state-sponsored objectives.
In 2025, authorities sanctioned Media Land, LLC, also known as Yalishanda, a Russia-based bulletproof hosting provider associated with cybercriminal services. Sanctions targeting infrastructure providers — rather than individual operators alone — reflect a growing recognition that hosting and routing layers are force multipliers for ransomware and state-backed campaigns alike.
Microsoft’s disruption of the Russia-centric Lumma Stealer ecosystem further illustrates this convergence. While Lumma was widely used for credential theft in financially motivated campaigns, its infrastructure also enabled access brokering and downstream ransomware deployment. Targeting such tooling constrains both criminal monetization and state-aligned credential harvesting.
As discussed in greater detail below, researchers also highlighted the role of Chinese proxy providers operating multiple residential proxy brands — including ABCProxy and 360Proxy — which offer large-scale IP rotation and anonymization services. These networks can be used to evade detection, conduct reconnaissance, and facilitate intrusion activity across both cybercrime and state-linked operations.
The overlap is significant: infrastructure providers can often advertise neutrality, serving any paying customer, although they may in some cases claim to ban CSAM. As a result, dismantling or sanctioning infrastructure nodes can generate cascading effects across ransomware affiliates, scammers, and state-aligned operators simultaneously.
This convergence reinforces a core dynamic of the modern cyber threat landscape: infrastructure is the strategic center of gravity. Disrupting it raises costs across the entire ecosystem — from extortion-driven syndicates to geopolitically motivated threat actors.
Public and private sectors making strides in disrupting ransomware’s enablement layers
In 2025, the fight against ransomware moved beyond targeting specific gangs to dismantling the shared services that power the broader cybercrime economy. “Loyalty and brand names matter less than access, tooling, and negotiation capability. For defenders and policymakers, this creates a moving target — disruption of one group no longer guarantees meaningful ecosystem-wide impact. Increasingly, the most effective pressure points appear to be upstream: initial access brokers and the shared tooling relied on across actors, as recent coordinated law enforcement operations have demonstrated,” says Camichel.
In May 2025, international authorities expanded Operation Endgame, a coordinated action involving Europol, the FBI, Germany’s BKA, the UK’s NCA, and other partners, targeting core malware loaders and ransomware infrastructure used by multiple criminal groups. The operation resulted in server seizures, arrests, and the disruption of several key malware families that functioned as entry points in some ransomware campaigns. These types of actions demonstrate that coordinated, cross-border disruption can materially degrade ransomware monetization pipelines while increasing operational friction and forcing actors to rebuild trusted tooling, hosting, and laundering relationships.
Beyond malware delivery systems, authorities also intensified pressure on the hosting environments that sustain these operations. Continued sanctions and indictments chipped away at bulletproof hosting providers (BPH) and laundering services, highlighting how these infrastructure components themselves have become targets for disruption and increasing risk for cybercriminals seeking to monetize extortion. For example, OFAC sanctions in July against AEZA Group, a BPH provider linked to high-volume abuse, demonstrated how crypto payments continue to flow through shielded infrastructure that facilitates ransomware and related attacks. Likewise, the sanctioning in February of Zservers, a provider associated with LockBit and other ransomware actors, underscored the degree to which infrastructure providers are embedded in ransomware monetization.
In parallel with sanctions and infrastructure seizures, the private sector in 2025 also drove significant disruptions of large-scale proxy services underpinning both ransomware and adjacent cybercrime activity. One notable case involved IPIDEA, a China-based residential proxy service advertising millions of proxy endpoints available for rent in any given week. Google’s blog on the takedown detailed how the service facilitated botnets including Aisuru and Kimwolf, and how its infrastructure was leveraged by threat actors engaged in espionage and information operations alongside financially-motivated campaigns. Google’s analysis found that several residential proxy brands shown below were controlled by the same actors behind IPIDEA reinforcing how a relatively small set of operators can service a wide range of illicit customers across the threat landscape.
Los datos on-chain complementan este análisis técnico al revelar la interconexión financiera de estos servicios. Nuestro análisis revela carteras de consolidación compartidas y direcciones de depósito en las bolsas, lo que sugiere solapamiento de la propiedad y la coordinación de los flujos de fondos. También observamos que carteras conectadas a esta red realizaban depósitos en un conocido foro de ciberdelitos, y varias marcas proxy asociadas a este grupo mantenían presencia publicitaria en múltiples mercados de la darknet, promocionando explícitamente servicios para el anonimato y el abuso.
En última instancia, este enfoque centrado en la infraestructura podría cambiar el cálculo económico para los atacantes. Aunque estas interrupciones no se han traducido en una reducción drástica del volumen de ataques, han impuesto costes operativos y han aumentado la fricción para los actores amenazantes, que enfrentan presiones coordinadas tanto de gobiernos como del sector privado.
Contracción en los ingresos, pero expansión en daños
La narrativa del ransomware en 2025 no puede contarse solo con cifras de ingresos. Aunque los pagos disminuyeron modestamente, la escala, sofisticación e impacto estratégico de los ataques siguieron creciendo. Organizaciones grandes y pequeñas — desde fabricantes de automóviles globales hasta sistemas sanitarios regionales — sufrieron extorsión que interrumpió las operaciones, erosionó la confianza y enfrentó costes sistémicos que superaron con creces los totales de rescates en cadena.
En este contexto, el panorama del ransomware en 2025 se caracteriza mejor por la adaptación en lugar de la retroceso: las tácticas de extorsión continúan evolucionando, permitiendo a los actores extraer valor y daño más allá de los flujos de pago tradicionales. Para defensores y responsables políticos por igual, esto subraya una verdad central de la era moderna del ransomware: una respuesta eficaz requiere tanto defensas sólidas como resiliencia estratégica para limitar el daño total causado por estas amenazas multifacéticas.
Este sitio web contiene enlaces a sitios de terceros que no están bajo el control de Chainalysis, Inc. ni de sus afiliados (colectivamente "Chainalysis"). El acceso a dicha información no implica asociación, respaldo, aprobación o recomendación por parte de Chainalysis del sitio o sus operadores, y Chainalysis no se hace responsable de los productos, servicios u otros contenidos alojados en ellos.
Este material es únicamente con fines informativos y no pretende proporcionar asesoramiento legal, fiscal, financiero o de inversión. Los beneficiarios deben consultar a sus propios asesores antes de tomar este tipo de decisiones. Chainalysis no tiene responsabilidad ni responsabilidad por ninguna decisión tomada ni por ningún otro acto u omisión relacionado con el uso de este material por parte del Receptor.
Chainalysis no garantiza ni garantiza la exactitud, integridad, actualidad, idoneidad o validez de la información de este informe y no se hará responsable de ninguna reclamación atribuible a errores, omisiones u otras inexactitudes de cualquier parte de dicho material.
·Emotiv Mobility
inaugura nueva oficina y planta de manufactura en Monterrey, fortaleciendo su
capacidad operativa en México y Norteamérica.
·La nueva
instalación permitirá ofrecer ensamblaje, secuenciación y soporte just-in-time
para OEMs, reforzando la integración regional y la resiliencia de la cadena de
suministro automotriz.
Monterrey, Mexico, marzo de 2026 — Emotiv
Mobility, proveedor global de soluciones avanzadas de
movilidad y energía, ha anunciado hoy la apertura de una nueva oficina en la
ciudad de Monterrey, Nuevo León, junto con una planta de fabricación para
respaldar el crecimiento continuo y los programas de clientes en México y
Norteamérica.
México continúa consolidando su papel como una de las
plataformas industriales y manufactureras más estratégicas de Norteamérica,
respaldada por un sólido ecosistema automotriz, cadenas de suministro
integradas y una creciente demanda de operaciones flexibles y resilientes. En
este contexto, Monterrey y el estado de Nuevo León se han posicionado como
centros clave para la manufactura y logística avanzadas, gracias a su
infraestructura, talento especializado y proximidad a los principales
corredores industriales.
En este entorno, la expansión de Emotiv Mobility
refuerza su presencia operativa en México y mejora su capacidad para apoyar a
los fabricantes de equipo original (OEMpor sus siglas en inglés) y a sus socios mediante capacidades de
manufactura y cadena de suministro orientadas a la ejecución, entre las que se
incluyen:
·Operaciones de ensamblaje, secuenciación de materiales
y subensamble (MSS por sus siglas en inglés).
·Manufactura escalable, empaque y ejecución logística.
·Soporte a programas just-in-time alineados con la
evolución de las plataformas vehiculares.
·Mayor proximidad y capacidad de respuesta para
clientes clave.
“México es fundamental para el futuro de la manufactura
de vehículos en Norteamérica”, afirmó Shaun Twomey, vicepresidente de
Operaciones Comerciales y Estrategia de Emotiv Mobility. “Esta expansión
refleja nuestro compromiso a largo plazo de apoyar a nuestros clientes con las
capacidades operativas que necesitan, combinando ingeniería, ejecución flexible
y apoyo a la cadena de suministro en un enfoque integrado”.
La planta de fabricación dará soporte a programas
actuales y futuros que requieran capacidades de ensamblaje bajo esquemas
just-in-time, secuenciación y capacidades MSS, en línea con la evolución de las
plataformas vehiculares y los modelos de producción. La operación está diseñada
para adaptarse a la demanda de los clientes, manteniendo una ejecución
eficiente y flexible en manufactura y logística.
La oficina en Monterrey funcionará como base regional
para ingeniería, operaciones y soporte a programas. En conjunto, estas
inversiones reflejan el compromiso de Emotiv Mobility de desarrollar soluciones
duraderas y adaptables que respondan a los requisitos cambiantes de
manufactura, al tiempo que fortalecen las alianzas locales y el desarrollo de
capacidades regionales en México.
Esta expansión forma parte de la estrategia global de
crecimiento de Emotiv Mobility, que incluye sistemas energéticos avanzados,
integración inteligente y soluciones de manufactura para los mercados emergentes
de movilidad, de pasajeros y comerciales.
Acerca de Emotiv Mobility
Emotiv Mobility ofrece
soluciones avanzadas de movilidad y energía diseñadas para dar soporte a la
próxima generación de plataformas de vehículos. Con presencia global y una
amplia experiencia en fabricación, integración e innovación de sistemas, Emotiv
Mobility colabora con sus clientes para ofrecer soluciones escalables y fiables
que favorecen una movilidad eficiente y sostenible.
●La
iniciativa insignia de responsabilidad social de Repsol México fue creada en
2022 para impulsar proyectos sociales y ambientales que generen impacto directo
en comunidades ubicadas a no más de 25 kilómetros de una estación Repsol.
●La convocatoria Repsol Energiza
mi Proyecto 2026 estará abierta hasta el 3 de abril y los resultados se
anunciarán el 27 de mayo. El programa apoyará a 20 iniciativas sociales y
ambientales, quienes podrían recibir hasta 50 mil pesos cada una.
CDMX, marzo del 2026 – A cinco años de su creación y
como parte de su compromiso con un desarrollo energético seguro y sostenible,
Repsol México abrió la convocatoria 2026 Repsol Energiza mi Proyecto,
iniciativa de inversión social que seleccionará 20 proyectos sociales y
ambientales ubicados en comunidades cercanas a sus estaciones de servicio en el
país.
La
convocatoria estará disponible hasta el 3 de abril a las 23:59 horas (tiempo
del centro de México). Los proyectos seleccionados serán contactados a más
tardar el 27 de mayo. Para participar, las iniciativas deben ubicarse a
no más de 25 kilómetros de una estación de servicio Repsol.
Uno de
los objetivos de esta iniciativa es impulsar el desarrollo comunitario donde
opera Repsol, así como fortalecer el vínculo con las comunidades. Desde su
creación en 2022, el programa ha beneficiado a 80 proyectos en 22 estados de la
República Mexicana, con más de 30 mil beneficiarios directos y 20 mil
indirectos.
“Repsol
Energiza mi Proyecto forma parte de nuestra manera de operar en México.
Buscamos acompañar iniciativas que fortalezcan el entorno social y ambiental en
las comunidades donde tenemos presencia” afirma Jesús Chillón, Country Manager
de Repsol en México.
Cada
edición selecciona 20 proyectos enfocados en diversidad e inclusión, colectivos
vulnerables, discapacidad y dependencia, así como protección del medio
ambiente. En 2025 se registraron 289 proyectos, lo que representó un
crecimiento superior al 200% en postulaciones respecto a 2024 logrando que las
iniciativas ganadoras hayan reportado más de 10 mil beneficiarios directos.
Entre los
proyectos apoyados por Repsol Energiza mi Proyecto se encuentra
Fundación ProEmpleo, organización dedicada a promover la autonomía económica
mediante capacitación en emprendimiento y desarrollo de habilidades
empresariales. En 2024 fue seleccionada ganadora con una iniciativa orientada a
acompañar y capacitar a mujeres de la Ciudad de México y del Estado de México
para iniciar o fortalecer sus negocios.
“Gracias
a Repsol Energiza mi Proyecto, pudimos implementar el Taller Emprende en
modalidad en línea y acompañar a 31 mujeres en su formación empresarial.
Seis meses después, el 100% de las mujeres que tomaron el taller mejoraron
su bienestar emocional, mientras que un 34% de las participantes reportó un
incremento en sus ingresos, reflejando el impacto que puede tener el
acompañamiento estructurado en el fortalecimiento del emprendimiento femenino”,
explicó Patricia Larios Esquivel, directora ejecutiva de la Fundación
ProEmpleo.
Cabe
resaltar que todos los proyectos son evaluados por un panel de jueces expertos,
integrado por representantes de organismos nacionales e internacionales.
En ediciones pasadas, se ha contado con la participación de la Organización de
las Naciones Unidas (ONU), Centro Mexicano para la Filantropía (CEMEFI),
Instituto Nacional de las Mujeres (INMUJERES), Agencia de Seguridad y Medio
Ambiente (ASEA), así como especialistas en impacto social y ambiental.
Con esta
quinta edición, Repsol busca continuar fortaleciendo su vínculo con las
comunidades donde opera, impulsando proyectos que generen impacto social y
ambiental sostenible. Las bases completas de la convocatoria y el formulario de
registro pueden consultarse a través del siguiente link y en los canales oficiales de la
compañía.
# # #
Acerca de Repsol
Repsol tiene presencia operativa en 20
estados de la República Mexicana y abrió sus primeras estaciones de servicio en
marzo de 2018. Actualmente cuenta con más de 180 estaciones y participa en
instalaciones logísticas para el almacenamiento y distribución de combustibles.
La compañía también participa en el mercado de lubricantes a través de su
alianza con Bardahl, sector en el que México representa uno de los mercados
estratégicos más relevantes en Latinoamérica. La compañía produce y distribuye
lubricantes desde su planta de Toluca, con laboratorios de alta tecnología,
abasteciendo a toda la República Mexicana y a nueve países en el extranjero.
En exploración y producción, Repsol
opera el Bloque 29 en aguas profundas de la Cuenca Salina del Golfo de México,
donde realizó los descubrimientos Polok‑1 y Chinwol‑1 en mayo de 2020, siendo
el primer hallazgo en aguas profundas por una empresa privada. En 2023, se
asoció con ENI como operador del Bloque 9 en la misma cuenca.
Repsol genera más de 1,500 empleos
directos e indirectos y mantiene un firme compromiso con la excelencia
operativa, la transparencia y la sostenibilidad, posicionándose en los
primeros lugares de los principales índices globales de sostenibilidad. Además,
impulsa diversos proyectos sociales y medioambientales para apoyar a los
colectivos más vulnerables en México.
Ciudad de México, marzo 2026. La temporada de vigilia es la oportunidad perfecta para explorar nuevas opciones sin carne. Panasonic te presenta recetas ideales para preparar fácilmente en microondas rumbo a Semana Santa 2026.
Pescado con pico de mango
Ingredientes:
2 filetes de pescado robalo
Paprika
Tajin
Sal
Ajo en polvo
Pimienta
Aceite de oliva
Pico de mango:
1 Mango picado
1 Tomate picada
Cebolla blanca picada
½ Chile serrano
2 ramitas de Cilantro finamente picada
1 Limón
Sal
1 Aguacate
Pasos:
Sazona las dos piezas de pescado con Paprika, Tajin, Sal, Ajo en polvo, Pimienta y Aceite de oliva .
Posteriormente, ponlos en la bandeja del microondas DS59 en la combinación 3 (vapor más dorador) por 15 minutos.
En lo que se calientan los pedazos de pescado, realiza la ensalada, agregando en un tazón, el mango, tomate, la cebolla blanca, chile serrano, cilantro, limón, Sal y aguacate. Mezcla bien los ingredientes
Por último, saca el pescado y sírvelo con el pico de mango
Salpicón de salmón
250 g de salmón cocido o ahumado (desmenuzado o en cubos)
1/2 cebolla morada en julianas delgadas
1 jitomate picado (sin semillas)
1/2 pepino picado (opcional)
1/2 pimiento rojo en cubitos
1/4 de taza de cilantro fresco picado
Jugo de 2 limones
2 cucharadas de vinagre (blanco o de manzana)
2 cucharadas de aceite de oliva
Sal y pimienta al gusto
Aguacate en cubos (opcional)
Hojas de lechuga o tostadas para servir
Pasos:
En un tazón grande, mezcla el salmón con la cebolla, jitomate, pepino, pimiento y
cilantro.
Añade el jugo de limón, vinagre y aceite de oliva. Sazona con sal y pimienta al gusto.
Colócalo en el horno DS59 de Panasonic en la combinación 3 (dorador más vapor) por 20 minutos.
Sirve sobre hojas de lechuga, en tostadas, galletas saladas o como relleno de pan pita.
Estas propuestas muestran que es posible mantener la tradición sin renunciar al sabor. Para saber más sobre los productos y soluciones de Panasonic visita www.panasonic.com/mx. Síguenos también en nuestras redes sociales: Facebook PanasonicMx/ X @vivepanasonic/ Instagram panasonicmexico/ YouTube Panasonic México
Acerca del Grupo Panasonic Fundado en 1918, el Grupo Panasonic es actualmente un líder global en el desarrollo de tecnologías y soluciones innovadoras para una amplia gama de aplicaciones en los sectores de electrónica de consumo, vivienda, dispositivos, soluciones B2B y energía a nivel mundial. El 1 de abril de 2022, el Grupo adoptó un sistema de compañía operativa, con Panasonic Holdings Corporation como empresa matriz. El Grupo reportó ventas netas consolidadas por 8,458.2 mil millones de yenes en el año fiscal que concluyó el 31 de marzo de 2025. Para más información sobre el Grupo Panasonic, visita: www.holdings.panasonic/global/
