Empresa

Ocho de cada diez ataques de ransomware en España se originan a partir de identidades comprometidas

Las vulnerabilidades explotadas ya no son la causa principal de los ataques de ransomware: los ciberdelincuentes dan prioridad a los correos electrónicos maliciosos y a las campañas de phishing

Sophos, líder mundial en ciberseguridad, ha publicado hoy su séptimo informe anual State of Ransomware, un estudio independiente basado en consultas a responsables de TI y ciberseguridad de 17 países (incluido España) que identifica el impacto del ransomware en las empresas y el grado de preparación de las organizaciones para defendersei.

El informe de este año revela que la identidad es el vector de acceso inicial predominante: ocho de cada diez ataques de ransomware en España (el 82%) comienzan con identidades comprometidas. Esto indica un cambio de estrategia, ya que los atacantes reconocen cada vez más la identidad como un componente clave en la distribución del ransomware. Además, las vulnerabilidades explotadas (17%) ya no son la causa raíz más común del éxito del ransomware en España: el correo electrónico malicioso (29%) y el phishing (24%) ocupan el primer puesto. 

“A medida que los ciber-delincuentes que utilizan ransomware experimentan con la inteligencia artificial, tienen el potencial de acelerar su capacidad para robar activos valiosos, retenerlos como rehenes y hacerlo a una escala que supera su capacidad anterior”, afirma Ross McKerchar, CIO de Sophos. “Esta rapidez exige una supervisión minuciosa 24x7 de las vías de acceso más explotadas, que, según nuestros datos, son las cuentas válidas robadas y comprometidas. Sin embargo, la mejora de los modelos de IA proporcionará a los atacantes una ventaja cada vez mayor a la hora de encontrar y explotar vulnerabilidades de software. Los defensores no pueden confiar únicamente en los parches para mantener el ritmo, por lo que es esencial reducir la exposición externa y mantener una sólida protección de los terminales”. 

El informe también revela que el 56% de las compañías españolas afectadas por el ransomware sufrieron cifrado de datos, un aumento que ha revertido una tendencia a la baja (47% en 2025). Otras conclusiones destacadas son: 

Siete de cada diez víctimas de ransomware en España (el 73%) afirman que  el incidente de ransomware fue también su ataque de identidad más grave, lo que confirma que el robo de identidad es el principal mecanismo de distribución del ransomware. 

Más de la mitad de los ataques de ransomware en España (el 56%) lograron cifrar los datos, incluyendo un 18% en los que los datos fueron tanto cifrados como robados. 

Cuando los datos se cifran, los atacantes tienen un tercio de probabilidades de recibir el pago del rescate de las empresas españolas. El 33% de las organizaciones españolas cuyos datos fueron cifrados pagaron el rescate para recuperar sus datos (36% en 2025 y 56% el año anterior), mientras un 70% utilizaron el backup de copias de seguridad (70% en 2025). 

Sólo el 40% de las organizaciones españolas pudieron detener los ataques antes del cifrado o la extorsión (45% en 2025). 

La autenticación multifactor (MFA) se implementó de alguna forma en el 92% de los incidentes en los que las credenciales comprometidas fueron la causa principal de los ataques de ransomware, lo que deja claro que MFA por sí sola no basta para detener el ransomware y que las lagunas en la cobertura generan vulnerabilidad. 

En España, la demanda media de rescate se situó en 1,8 millones de dólares (911.600 dólares en 2025 y 4,24 millones de dólares reportados en el informe de 2024), sólo superada este año en Europa por Reino Unido (2,5 millones de dólares). 

Recuperación al alza

Aunque las organizaciones se enfrentan a diversos retos en materia de prevención a medida que los atacantes van perfeccionando sus técnicas, se han logrado avances significativos para mejorar su capacidad de recuperación. Es probable que el aumento de la inversión en infraestructura de copias de seguridad haya contribuido a que las organizaciones se recuperen más rápidamente tras un ataque de ransomware; la mitad de las organizaciones españolas (el 50%) logran recuperarse en el plazo de una semana, y el 18% en menos de un día. En 2025, el 49% se recuperaron completamente en una semana. 

Las organizaciones españolas también siguen siendo eficaces a la hora de negociar con los operadores de ransomware. Entre las que optaron por pagar, casi la mitad (el 46%) negociaron con éxito un acuerdo por un importe inferior a la demanda inicial de rescate de los atacantes, el 36% pagaron lo que se les pedía y un 18% acabaron pagando más. 

A nivel global, la media de las demandas de rescate realizadas por los atacantes ha descendido un 65% en los últimos dos años, y la proporción de organizaciones que pagan el rescate para recuperar los datos ha caído hasta el 48%, la segunda tasa más baja registrada después de la de 2023 (46%). 

Costes al alza

Si bien la mejora de las estrategias ha mermado la capacidad de los atacantes para obtener beneficios económicos mediante las demandas de rescate, los costes medios de recuperación tras un ataque han aumentado, situándose ahora en España en 2,3 millones de dólares por incidente (1,15 millones en 2025 y 3,43 millones de dólares del año anterior). A escala global, los costes por incidente se sitúan en 1,7 millones de dólares (1,5 millones en 2025).

“Las organizaciones han reforzado su resiliencia frente al ransomware durante el último año, y esas inversiones están dando sus frutos en gran medida”, continúa McKerchar. “Sin embargo, el ransomware sigue costando millones a las organizaciones. A medida que la inteligencia artificial gane en capacidad, los atacantes podrán identificar errores de configuración de identidades y puntos débiles en las organizaciones de manera mucho más económica y rápida que antes. Esa misma tecnología también ofrece a los defensores la oportunidad de detectar y subsanar esas brechas más rápidamente, pero sólo si la prevención, la detección y la respuesta funcionan conjuntamente como parte de una estrategia unificada de ciberseguridad”. 

Sophos recomienda las siguientes prácticas para ayudar a las organizaciones a crear defensas integradas e impulsadas por inteligencia artificial que combinen tecnología, personas y procesos: 

Considerar la identidad como una capa de seguridad fundamental: las organizaciones deben dar prioridad a la detección y respuesta a amenazas de identidad (ITDR), aplicar una autenticación multifactor resistente al phishing en todos los puntos de acceso y auditar periódicamente tanto las identidades humanas como las no humanas. 

Invertir en infraestructura de copias de seguridad y recuperación: las copias de seguridad deben someterse a pruebas periódicas, almacenarse sin conexión o en formatos inmutables e integrarse en un plan de respuesta a incidentes documentado que pueda llevarse a cabo en situaciones de presión. 

Mantener programas de gestión de la exposición: las organizaciones deben mantener calendarios rigurosos de aplicación de parches, dar prioridad a los activos expuestos a Internet y considerar cómo las nuevas herramientas asistidas por IA pueden acelerar la identificación y corrección de vulnerabilidades. 

Reducir la exposición a través del cortafuegos y aprovechar su telemetría para detectar ataques de forma temprana. Asegurarse de que el cortafuegos reciba actualizaciones rápidas -a ser posible, automatizadas- y minimizar los servicios expuestos a Internet, como el acceso de administrador y los portales de usuario. Conectar los cortafuegos a soluciones XDR y MDR para que la telemetría del cortafuegos ayude a detectar ataques de ransomware antes de que se desplieguen las payloads.  

Noticias de Empresa

El calor extremo obliga a reinventar las terrazas para no perder clientes