Sophos ha publicado su informe anual The State of Ransomware 2025, basado en una encuesta a 3.400 responsables de TI y ciberseguridad en organizaciones de entre 100 y 5.000 empleados que fueron víctimas de ransomware durante los últimos doce meses. Los datos revelan una evolución significativa en las tácticas de los atacantes y en la capacidad de respuesta de las empresas, aunque persisten carencias preocupantes.
Por primera vez en seis años, el porcentaje de ataques que culmina con el cifrado de datos ha descendido al 50 %, frente al 70 % registrado en 2024. Esta tendencia indica una mayor capacidad de las organizaciones para detectar y frenar los ataques antes de que se despliegue el “payload” de cifrado.
Asimismo, los costes de recuperación han caído un 44 % interanual, situándose en 1,53 millones de dólares de media. También se ha acortado el tiempo de respuesta: más de la mitad de las organizaciones (53 %) lograron recuperarse completamente en una semana, frente al 35 % del año anterior.
Persisten las brechas operativas y los pagos de rescates
Pese a estos avances, un 49 % de las víctimas accedió a pagar el rescate, lo que supone el segundo porcentaje más alto de los últimos seis años. El importe medio abonado ha descendido a un millón de dólares, un 50 % menos que en 2024, lo que refleja una menor proporción de pagos superiores a cinco millones.
Los ataques continúan explotando debilidades técnicas conocidas (32 %) y credenciales comprometidas (23 %), pero el informe subraya un factor crítico: la mayoría de las víctimas reconocen múltiples causas operativas internas. La más citada fue la falta de experiencia (40,2 %), seguida de brechas de seguridad no identificadas (40,1 %) y escasez de personal especializado (39,4 %).
El 100% de las organizaciones que sufrieron cifrado de datos reportaron efectos negativos en sus equipos de TI y ciberseguridad. Un 41 % experimentó un aumento del estrés y la ansiedad, y un 31 % registró bajas por salud mental. En uno de cada cuatro casos, el liderazgo del equipo fue reemplazado.
Sophos insta a las organizaciones a fortalecer sus capacidades de prevención, detección y respuesta, así como a realizar copias de seguridad fiables y practicar regularmente su restauración. También recomienda apoyarse en servicios gestionados de detección y respuesta (MDR) si no se dispone de los recursos internos necesarios.
“La lucha contra el ransomware no ha terminado. Los atacantes siguen adaptándose, y las empresas deben hacer lo mismo”, concluye el informe.
