Casi la mitad de las empresas paga rescate tras un ciberataque, revela Sophos

El pago promedio del rescate asciende a un millón de dólares; sin embargo, el 53% de las empresas logra negociar una cifra menor a la exigida inicialmente.

Sophos, líder global en soluciones innovadoras de seguridad para enfrentar ciberataques, publicó hoy su sexto informe anual State of Ransomware, una encuesta imparcial y sin afiliación a proveedores, aplicada a líderes de TI y ciberseguridad en 17 países, para analizar el impacto de los ataques de ransomware en las empresas. La encuesta de este año reveló que casi el 50% de las compañías pagó el rescate para recuperar sus datos, la segunda tasa más alta de pagos en seis años.

A pesar del elevado porcentaje de empresas que pagaron el rescate, más de la mitad –el 53%– pagó menos de la demanda original. En el 71% de los casos en los que se pagó menos, fue gracias a negociaciones –ya sea realizadas directamente o con ayuda de un tercero–. De hecho, mientras que la demanda promedio de rescate disminuyó en un tercio entre 2024 y 2025, el pago promedio del rescate se redujo en un 50%, lo que demuestra que las empresas están logrando minimizar con mayor éxito el impacto del ransomware.

En términos generales, el pago medio del rescate fue de un millón de dólares, aunque la demanda inicial varió significativamente dependiendo del tamaño y los ingresos de la organización. Las empresas con ingresos superiores a mil millones de dólares enfrentaron demandas promedio de cinco millones, mientras que aquellas con ingresos de 250 millones o menos recibieron demandas por menos de 350 mil dólares.

Por tercer año consecutivo, las vulnerabilidades explotadas fueron la causa técnica raíz número uno de los ataques, mientras que el 40% de las víctimas indicó que los atacantes se aprovecharon de una brecha de seguridad que desconocían, lo que pone de manifiesto la lucha constante de las organizaciones por visualizar y proteger su superficie de ataque. En total, el 63% de las organizaciones afirmó que la falta de recursos fue un factor que contribuyó a ser víctima de ataques, y señalaron la falta de experiencia como la causa operativa principal en organizaciones con más de 3 mil empleados, y la falta de personal o capacidad como la causa más citada por aquellas con entre 251 y 500 empleados.

“Para muchas organizaciones, la posibilidad de ser comprometidas por actores de ransomware es simplemente parte de hacer negocios en 2025. La buena noticia es que, gracias a esta mayor conciencia, muchas empresas están armándose con recursos para limitar los daños. Esto incluye contratar especialistas en respuesta a incidentes que no solo pueden reducir los pagos de rescate, sino también acelerar la recuperación e incluso detener ataques en curso”, señala Chester Wisniewski, director y CISO de campo en Sophos.

“Por supuesto, el ransomware aún puede ‘curarse’ si se abordan desde la raíz las causas de los ataques: vulnerabilidades explotadas, falta de visibilidad sobre la superficie de ataque y recursos insuficientes. Estamos viendo que más empresas reconocen la necesidad de apoyo y están migrando a servicios de Detección y Respuesta Administrada (MDR). La MDR, junto con estrategias proactivas de seguridad, como la autenticación multifactor y la aplicación de parches, puede ser clave para prevenir el ransomware desde el inicio”, resalta Wisniewski.

Otros hallazgos clave del informe State of Ransomware 2025:

• Más empresas están deteniendo ataques en curso: el 44% logró frenar ataques de ransomware antes de que los datos fueran cifrados, el nivel más alto en seis años. El cifrado de datos también alcanzó su punto más bajo en seis años: solo la mitad de las compañías sufrieron cifrado.
• El uso de copias de seguridad disminuye: solo el 54% de las empresas usó respaldos para restaurar sus datos, el porcentaje más bajo en seis años.
• Lado positivo: disminuyen los pagos de rescate y los costos de recuperación: el costo promedio de recuperación bajó de 2.73 millones de dólares en 2024 a 1.53 millones en 2025. Aunque los pagos de rescate siguen siendo altos, se redujeron un 50%: de 2 millones de dólares en 2024 a 1 millón en 2025.
• Los pagos de rescate varían según la industria: los gobiernos estatales y locales reportaron el pago promedio más alto (2.5 millones de dólares), mientras que el sector salud reportó el más bajo (150 mil dólares).
• Las empresas se recuperan más rápido: más de la mitad (53%) logró recuperarse por completo de un ataque de ransomware en una semana, frente al 35% del año pasado. Solo el 18% tardó más de un mes en recuperarse, una mejora frente al 34% en 2024.

Sophos recomienda mejores prácticas para ayudar a las organizaciones a defenderse del ransomware y otros ciberataques, como:

• Tomar medidas para eliminar las causas técnicas y operativas comunes de los ataques, como las vulnerabilidades explotadas. Herramientas como Sophos Managed Risk pueden ayudar a las empresas a evaluar su perfil de riesgo y reducir su exposición.
• Garantizar que todos los endpoints (incluidos los servidores) estén bien protegidos con sistemas de defensa dedicados contra ransomware.
• Contar con un plan de respuesta a incidentes probado para cuando las cosas salgan mal. Mantener buenos respaldos y practicar la restauración con regularidad.
• Contar con monitoreo y detección las 24 horas del día. Si no se tienen los recursos internos para esto, trabajar con un proveedor confiable de detección y respuesta administrada (MDR).

Los datos del informe State of Ransomware 2025 provienen de una encuesta imparcial y sin afiliación a proveedores, realizada a 3,400 líderes de TI y ciberseguridad en organizaciones que fueron atacadas por ransomware durante el año anterior. Las organizaciones encuestadas tienen entre 100 y 5,000 empleados y están distribuidas en 17 países. La encuesta se llevó a cabo entre enero y marzo de 2025, y los encuestados respondieron en función de su experiencia con el ransomware durante los 12 meses previos.

Sophos publicará hallazgos adicionales por industria a lo largo del año.

Descarga el informe completo State of Ransomware 2025 aquí.

Descubre cómo MDR puede neutralizar ataques como el ransomware en tiempo real registrándote al seminario web Behind the Shield: Real-World Stories of Thwarted Ransomware Attacks aquí.

CATEGORÍAS:

Tecnología