Análisis temporal
Cinco años de evolución del ransomware
Trazas longitudinales del corpus validado (2.355 TTPs, 2021-2026) con corrección de sesgo de volumen
(SNIP), tests de tendencia (Mann-Kendall), entropía de fuentes (Shannon) y validación empírica del
early-warning del pipeline.
crowdstrike_blog excluido del eje temporal: sus artículos llevan fecha del crawl, no de publicación.
Hallazgo · monotónica perfecta
T1486 — Data Encrypted
Mann-Kendall τ=1.0, p=0.017. Única técnica con monotonicidad perfecta 2021-2025.
Hallazgo · early warning
T1204.004 ClickFix
Detectada en corpus 2024 → catalogada por MITRE ATT&CK en marzo 2025. Lead time ~12 meses.
Hallazgo · técnica emergente
T1219 RMM abuse
Crece 8.3× tras normalización SNIP — robustez post-corrección de sesgo de fuente.
Hallazgo · concentración
Entropía Shannon
Diversidad de fuentes cae de 83.5% → 62.7% (2022-2024). bc_site copa el 56% del corpus 2024.
Volumen de TTPs por año
volume_by_year.csv
Crecimiento absoluto del corpus validado y delta interanual.
Distribución de tácticas por año
tactic_distribution_by_year.csv
Composición porcentual. Impact crece de 14% (2021) a 22% (2025);
Initial Access baja de 18% (2022) a 10% (2025).
Top 10 técnicas por año
top_techniques_by_year.csv
Intensidad por celda según número de TTPs ese año. Filas ordenadas por presencia total.
Top 15 técnicas emergentes (SNIP-normalizado)
normalized_emergence.csv
Growth ratio = prevalencia 2024-25 / prevalencia 2021-23 tras Source-Normalized Inverse Prevalence.
Robustez post-corrección de sesgo bc_site.
Entropía Shannon de fuentes
shannon_entropy.csv
Diversidad informacional de las fuentes que aportan TTPs cada año (normalizado a [0,1]).
Doble extorsión (doc-level)
double_extortion_doc_level.csv
Documentos con cifrado T1486 y exfiltración TA0010 simultáneos. Lower bound conservador.
Datos generados por longitudinal_analysis.py sobre BD data/ransomware_intel.db.
Regenerar con python3 longitudinal_analysis.py --csv-dir outputs/longitudinal.