México escala en el mapa del ransomware

Un cambio sectorial que eleva el riesgo país

El giro más importante para México aparece en la composición sectorial. Manufactura fue el más atacado en 2024, pero en 2025 dominaron los ataques al sector Gobierno, seguido por Educación. Este cambio aumenta el impacto institucional y social, pues expone servicios públicos, datos ciudadanos y la continuidad operativa.

Guarneros explica que el “sector público concentra vulnerabilidades relacionadas con sistemas heredados, privilegios mal administrados, segmentación insuficiente y presión por mantener servicios esenciales, factores que elevan el incentivo de los criminales”.

En Educación, segundo sector más afectado, la descentralización y la alta rotación de estudiantes y docentes generan una superficie de ataque volátil. Sin un rediseño basado en identidad, autenticación multifactorial (MFA, por sus siglas en inglés) y visibilidad de credenciales comprometidas, el problema seguirá creciendo.

El vector más común sigue siendo el uso de credenciales válidas robadas o compradas, no los exploits avanzados. Muchas organizaciones aún operan con MFA mal implementada, poca higiene de contraseñas y escasa visibilidad sobre credenciales filtradas. Esto reduce los costos operativos para los atacantes y aumenta la presión financiera sobre las empresas. Para el ejecutivo, “cada recorte en identidad se transforma en pérdida directa durante un incidente”.

A nivel de atacantes, el 2025 marcó el ascenso de Qilin (Agenda), que desplazó a grupos como RansomHub y LockBit. En México, Qilin también lideró la actividad, confirmando una tendencia hacia modelos más automáticos y agresivos. El reacomodo de bandas no cambia la tendencia: el ransomware se afianza y se acelera.

Lo que esto significa para inversión, seguros y operación

El repunte del ransomware está cambiando las decisiones corporativas. En inversión extranjera y nearshoring, México empieza a enfrentar un aumento en los costos de cumplimiento, fricciones regulatorias y mayores exigencias de resiliencia en cadenas de suministro. Si el país entra al Top 10 global de víctimas, podría enfrentar narrativas de fragilidad digital que influyan en la selección de sedes para nuevas plantas o centros de servicios.

Otra consecuencia es que el mercado de ciberseguros está endureciendo sus requisitos. La mayoría de aseguradoras ya condicionan pólizas a MFA resistentes al phishing, segregación de privilegios, respaldos inmutables y planes de respuesta probados. Quien no cumpla con estas condiciones enfrenta primas más altas o exclusiones.

El costo de capital también se ve afectado. Empresas expuestas a interrupciones prolongadas pueden enfrentar valuaciones más bajas y spreads de deuda más elevados, especialmente en manufactura, logística, TI, educación y servicios públicos, sectores altamente dependientes de la continuidad operativa.

IQSEC explica que un incidente típico en México sigue un patrón que inicia con el acceso usando credenciales válidas, seguido por un movimiento lateral, exfiltración de datos, cifrado selectivo de la información y presión mediante portales de filtración. Con más grupos activos compitiendo por notoriedad, las ventanas de decisión para los equipos directivos son cada vez más estrechas. Fernando Guarneros apunta que la única “forma de llegar preparado es entrenar a los equipos antes de la crisis, definir roles, umbrales y criterios de reanudación”.

Qué viene para 2026 y por qué urge mover la identidad al centro

IQSEC prevé que este año aumenten los accesos mediante credenciales válidas, el phishing dirigido, la automatización y la presión pública. Gobierno y Educación seguirán entre los sectores más afectados y, sin una evolución equivalente en defensa, México podría seguir escalando en el ránking global.

Para el gobierno corporativo, la prioridad absoluta debe ser la identidad para reducir la ventana de intrusión, esencialmente:

• MFA resistente al phishing,
• gobierno de identidades con revisiones continuas de privilegios,
• detección y respuesta con visibilidad sobre comportamientos anómalos y
• respaldos inmutables probados.

Guarneros enfatiza “que la ciberseguridad es gobernanza: requiere definir responsabilidades, criterios legales y decisiones de negocio antes, no durante la crisis”.

En el sector público, el reto es doble, pues se necesita reducir la exposición mediante segmentación e inventario de sistemas críticos, y establecer protocolos claros de transparencia para comunicar incidentes sin amplificar daños. En el otro sector más atacado, Educación, el crecimiento continuo de la superficie de ataque exige políticas diferenciadas por rol y automatizar las altas y bajas de los usuarios.

En manufactura, por otro lado, la frontera entre tecnología operativa (TO) y tecnología de la información (TI) obliga a contar con runbooks que permitan aislar segmentos de planta ante un incidente, pues las pérdidas por hora pueden alcanzar cifras millonarias. En servicios de TI, la exposición se multiplica por el efecto cascada hacia clientes, lo que vuelve imprescindible que proveedores y terceros cumplan con estándares mínimos de identidad.

Guarneros subraya que el costo de no prevenir es alto. Con 74 presuntas víctimas en 2025 y una tendencia ascendente, incluso un puñado de incidentes puede erosionar los márgenes en sectores con flujos ajustados. Para los directores financieros (CFO, por sus siglas en inglés), la métrica clave es el tiempo de inactividad evitado y la pérdida evitada por negociación o pago. Frente a criminales que compiten por velocidad y volumen, la inversión en MFA resistente al phishing, gobierno de identidad y respaldos inmutables ofrece el retorno más alto.

“La ciberseguridad ya no es un asunto técnico ni delegable: es gobernanza, continuidad operativa y responsabilidad institucional. En un entorno donde los ataques son inevitables y cada vez más rápidos, la diferencia la marcan quienes se preparan con anticipación. Quien espere a reaccionar durante el incidente, llegará tarde”, concluye Fernando Guarneros.