zephyr_p - stock.adobe.com
Ransomware, el software malicioso que sigue afectando a las organizaciones
Compañías en Colombia y alrededor del mundo continúan pagando millonarios rescates para poder recuperar su información.
Casi el 50 % de las compañías a nivel global pagó un rescate para recuperar sus datos como resultado de un ataque de ransomware, la segunda tasa más alta de pagos realizados en los últimos seis años, de acuerdo con datos del sexto informe anual “State of Ransomware”, publicado por la firma de ciberseguridad Sophos.
La investigación dio a conocer que el pago promedio del rescate asciende a un millón de dólares, y el 53 % de las organizaciones logra negociar una cifra menor a la exigida inicialmente.
Según fuentes de Sophos, en el 71 % de los casos en los que se pagó menos, fue gracias a negociaciones, ya sea realizadas directamente o con ayuda de un tercero. De hecho, el reporte indica que, mientras la demanda promedio de rescate disminuyó en un tercio entre 2024 y 2025, el pago promedio del rescate se redujo en un 50 %, lo que demuestra que las empresas están logrando minimizar con mayor éxito el impacto del ransomware.
Sin embargo, por tercer año consecutivo, las vulnerabilidades explotadas fueron la causa técnica raíz número uno de los ataques, en tanto que el 40 % de las víctimas indicó que los atacantes se aprovecharon de una brecha de seguridad que desconocían. Esto pone de manifiesto la lucha constante de las compañías por visualizar y proteger su superficie de ataque.
“Para muchas organizaciones, la posibilidad de ser comprometidas por actores de ransomware es simplemente parte de hacer negocios en 2025. La buena noticia es que, gracias a esta mayor conciencia, muchas empresas están armándose con recursos para limitar los daños. Esto incluye contratar especialistas en respuesta a incidentes que no solo pueden reducir los pagos de rescate, sino también acelerar la recuperación e incluso detener ataques en curso”, señaló Chester Wisniewski, director y CISO de campo en Sophos.
Panorama en Colombia
Al hacer zoom a lo que sucede en Colombia, la misma encuesta (State of Ransomware 2025), que incluyó a líderes de TI/ciberseguridad que trabajan en 122 organizaciones del país que fueron afectadas por esta modalidad en el último año, señaló que las empresas colombianas caen víctimas del ransomware debido a vulnerabilidades explotadas, lo cual se cita como la causa técnica más común de los ataques, utilizadas en el 30 % de los casos. Le siguen las credenciales comprometidas (28 %) y los correos electrónicos maliciosos (24 %).
A esto se suman las brechas de seguridad conocidas y la falta de experiencia, siendo las dos razones operativas más comunes, ambas citadas por el 43 % de los encuestados colombianos, mientras que el 41 % dijo que no tener los productos y servicios de ciberseguridad necesarios influyó en que su organización cayera víctima del ransomware.
Otras cifras de la investigación indicaron que el 37 % de los ataques resultaron en datos encriptados, lo que está significativamente por debajo del promedio global (50 %); los datos también fueron robados en el 18 % de los ataques donde los datos fueron encriptados.
Igualmente, el 98 % de las organizaciones colombianas que tuvieron datos encriptados pudieron recuperarlos; el 18 % pagaron el rescate y recuperaron los datos (el promedio global en este sentido es del 49 %); y el 56 % utilizaron copias de seguridad para recuperar los datos encriptados.
La encuesta también permitió determinar que los montos de rescate demandados oscilaron entre los 40 mil, 60 mil y 99.999 dólares; en esa línea, las organizaciones colombianas típicamente pagaron el 78 % de la demanda de rescate, por debajo del promedio global del 85 %.
Por su parte, en su informe anual sobre la evolución del panorama global y regional de esta amenaza, Kaspersky aseguró que, en Colombia, la proporción de usuarios afectados por ataques de ransomware aumentó 0,22 % entre 2023 y 2024. Si bien este porcentaje puede parecer bajo, es un comportamiento típico del ransomware, según datos de Kaspersky Security Network, ya que los cibercriminales prefieren enfocarse en objetivos de alto valor en lugar de ejecutar campañas masivas, lo que reduce el número total de incidentes, pero incrementa significativamente el impacto de cada ataque.
“En América Latina, vemos un aumento sostenido en los ataques de ransomware, especialmente en países como Brasil, Argentina, Chile y México. Sectores estratégicos como manufactura, gobierno, agricultura, energía y retail se han convertido en objetivos frecuentes. Si bien las limitaciones económicas y los rescates relativamente bajos pueden disuadir a ciertos actores, la acelerada transformación digital en la región amplía la superficie de ataque y expone a más organizaciones a este tipo de amenazas”, afirmó Fabio Assolini, director del Equipo Global de Investigación y Análisis (GReAT) para América Latina en Kaspersky.
Impacto empresarial del ransomware
De acuerdo con Rodolfo Castro, gerente de Ingeniería de Sophos para Latinoamérica, el ransomware continúa generando consecuencias significativas para las organizaciones colombianas, teniendo en cuenta factores como:
- La frecuencia y el éxito de los ataques (el 45 % de los incidentes resultan en el cifrado de datos, cifra apenas por debajo del promedio global);
- Los costos de recuperación pues, excluyendo el pago de rescates (realizado por 23 % de las organizaciones), el costo promedio para rectificar los efectos de un ataque asciende a 870 mil dólares, considerando interrupciones operativas, tiempo del personal, reemplazo de dispositivos, costos de red y pérdida de oportunidades de negocio;
- El tiempo de recuperación, ya que el 50 % de las organizaciones logra recuperarse completamente en una semana o menos, mientras que un 25 % necesita entre uno y seis meses.
De la misma manera, existe una presión interna, ya que en las empresas que sufrieron cifrado de datos, un 24 % de los equipos de TI y ciberseguridad experimentó mayor presión por parte de la alta dirección.
Para contrarrestar este flagelo, Castro anotó que el informe señala que las organizaciones colombianas están adoptando un conjunto de medidas para reducir el riesgo y mejorar su resiliencia. Entre ellas, prevención técnica y operativa (gestión proactiva de vulnerabilidades para reducir la exposición), autenticación multifactor (MFA) y acceso de red de confianza cero (ZTNA) para mitigar el robo de credenciales.
Igualmente, se está implementando seguridad de correo electrónico con IA para frenar ataques de phishing; el uso de soluciones de protección dedicada contra ransomware en endpoints y servidores, con capacidad de detener y revertir cifrados maliciosos; y el refuerzo de capacidades internas y externas (contratación de proveedores de MDR (Managed Detection and Response) o MSP para aportar experiencia y capacidad de respuesta continua).
Adicionalmente, se están tomando medidas de entrenamiento regular para lograr la concientización en ciberseguridad en los usuarios; una mayor planificación y preparación (desarrollo y práctica de planes de respuesta a incidentes); la realización de copias de seguridad periódicas y pruebas de restauración para garantizar una recuperación ágil; y un monitoreo 24/7 para detección y respuesta temprana de amenazas.
“En resumen, las empresas en Colombia están combinando tecnologías avanzadas, procesos sólidos y colaboración con expertos externos para enfrentar la creciente amenaza del ransomware”, subrayó Rodolfo Castro.
Sin embargo, la cantidad de ataques puede resultar abrumadora para las pequeñas empresas que no cuentan con recursos suficientes en ciberseguridad. Según datos de SonicWall, las empresas estuvieron bajo ataques críticos –aquellos con mayor probabilidad de afectar sus recursos– durante 68 días, en promedio. “El ransomware sigue en aumento, con un incremento del 8 % en Norteamérica y un alarmante 259 % en Latinoamérica, lo que sugiere que los actores de amenazas están buscando oportunidades de bajo riesgo”, advirtió la firma.
Por ello, Juan Alejandro Aguirre, director de Ingeniería de Soluciones para América Latina en SonicWall, subrayó que contar con el respaldo de un proveedor de servicios administrados (MSP, por sus siglas en inglés) se ha vuelto esencial para proteger a las pymes en riesgo y salvaguardar la integridad de marcas y organizaciones. “Las amenazas son más sofisticadas, y es necesario contar con un aliado especializado para que las pymes sigan gestionando sus negocios”, recomendó.
