España reduce el impacto del ransomware en sus empresas

Las organizaciones españolas parecen haber dado un giro decisivo en su capacidad para enfrentarse al ransomware: ahora, no solo se recuperan más rápido tras un ataque, sino que los costes asociados han caído en picado en el último año. Así lo revela el último informe El Estado del Ransomware 2025, elaborado por Sophos.

Lejos de las alarmas generalizadas que protagonizaban los titulares en ejercicios anteriores, el estudio apunta a una evolución positiva tanto en términos de resiliencia como de eficiencia en la respuesta. Casi la mitad de las empresas españolas afectadas por ransomware lograron recuperarse completamente en menos de una semana, un salto notable desde el 27% registrado en 2024. Además, el coste medio de recuperación sin incluir el pago del rescate se ha reducido un 66%, situándose en 1,15 millones de dólares.

La mejora de estos indicadores no significa que la amenaza haya desaparecido. El 30% de los ataques en España se originaron a través de vulnerabilidades explotadas, seguidos por el uso de credenciales comprometidas (21%) y correos electrónicos maliciosos (17%). A nivel operativo, las brechas conocidas (42%), la falta de personal (41%) y la escasez de experiencia (39%) figuran como los principales factores de exposición.

“Los datos de este año muestran que las empresas españolas están mejorando su capacidad de respuesta y recuperación frente al ransomware, incluso por encima de la media global”, apunta Álvaro Fernández, director de Ventas de Sophos Iberia. “Sin embargo, el hecho de que casi cuatro de cada diez organizaciones sigan pagando rescates indica que aún queda mucho por hacer”.

Menos pagos, más copias de seguridad

Uno de los cambios más sustanciales es la caída de los pagos de rescate. Solo el 36% de las empresas españolas terminaron pagando por recuperar sus datos, frente al 56% del año anterior. En paralelo, el uso de copias de seguridad se consolida como estrategia clave: el 70% las utilizaron tras un cifrado, con una tasa de éxito del 64%.

La mitad de las empresas españolas atacadas por ransomware se recuperan en una semana

El descenso en la demanda media de rescate es igualmente significativo. Mientras que en 2024 rondaba los 4,24 millones de dólares, en el último año se situó en torno a los 911.600 dólares. Y lo más importante: la cifra media pagada cayó a tan solo 322.500 dólares, reflejo de una mejor preparación para negociar o, directamente, resistirse al chantaje.

El precio humano del ransomware

Más allá del daño financiero, el impacto emocional y organizativo del ransomware sigue haciendo mella. En las organizaciones que sufrieron cifrado, un 36% reportó aumento continuado en la carga de trabajo, un 33% declaró haber experimentado más ansiedad ante futuros ataques, y una de cada cuatro reportó bajas o ausencias en su equipo de ciberseguridad.

Chester Wisniewski, director para CISOs en Sophos, destaca que “el ransomware aún se puede ‘curar’ abordando las causas raíz de los ataques: vulnerabilidades explotadas, falta de visibilidad y escasez de recursos”. Según añade, muchas empresas están recurriendo a servicios de Detección y Respuesta Gestionadas (MDR) como vía para fortalecer su ciberdefensa.

Hacia una defensa más madura

Frente al ransomware, Sophos subraya la importancia de reforzar la ciberdefensa en cuatro áreas clave:

• Prevención: reducir tanto las causas técnicas como operativas de los ataques, priorizando la gestión de vulnerabilidades y la formación del personal. Herramientas como Sophos Managed Risk pueden ayudar a las empresas a acceder a su perfil de riesgo y minimizar su exposición.
• Protección: implementar soluciones avanzadas de protección de terminales y servidores, incluyendo tecnologías específicas anti-ransomware capaces de detener y revertir el cifrado.
• Detección y respuesta: adoptar una estrategia de detección y respuesta 24/7, ya sea con recursos internos o mediante la colaboración con proveedores contrastados de servicios de detección y respuesta gestionadas (MDR).
• Planificación y preparación: disponer de un plan de respuesta frente a incidentes bien ensayado y copias de seguridad robustas, con pruebas regulares de recuperación.