Ransomware en empresas: menos rescates, pero más pagos en 2025

El ransomware en empresas mostró señales de contención durante 2025, pero lejos de desaparecer, sigue siendo un negocio rentable para los ciberdelincuentes. Aunque los montos exigidos disminuyeron de forma significativa, casi la mitad de las organizaciones afectadas optó por pagar para recuperar su información, revelando una amenaza que evoluciona más rápido que las defensas corporativas.

Así lo concluye el informe “The State of Ransomware in Enterprise 2025”, elaborado por Sophos, a partir de una encuesta independiente realizada a 1.733 líderes de TI y ciberseguridad en 17 países, enfocada en empresas con más de mil empleados.

Ransomware en empresas: ataques más controlados, pero aún efectivos

El estudio muestra que el 49% de los ataques de ransomware logró cifrar información, el nivel más bajo registrado en los últimos cinco años. Sin embargo, este avance defensivo no se tradujo en una reducción proporcional del impacto económico.

El 48% de las organizaciones afectadas admitió haber pagado un rescate, una cifra que confirma que, pese a una mayor preparación técnica, el modelo de extorsión sigue funcionando.

Para Sophos, el fenómeno responde a una estrategia ajustada por parte de los atacantes: exigir montos más “realistas” aumenta la probabilidad de pago.

Rescates más bajos, pagos más frecuentes

Uno de los hallazgos más relevantes del informe es la caída del 56% en la demanda promedio de rescate, que pasó a 1,2 millones de dólares en 2025 frente al año anterior.

No obstante, se identificó un incremento en ataques con demandas entre 1 y 5 millones de dólares, rango donde los ciberdelincuentes parecen encontrar mayor disposición a negociar y pagar.

En paralelo, el costo promedio de recuperación cayó 41%, ubicándose en 1,84 millones de dólares, lo que refleja una mayor madurez en planes de respuesta, continuidad operativa y manejo de crisis.

Cómo sigue entrando el ransomware a las grandes compañías

El informe confirma que las vulnerabilidades técnicas siguen siendo el principal punto de entrada, presentes en 29% de los ataques, seguidas por phishing y robo de credenciales, ambos con 21%.

A nivel organizacional, el problema no es solo tecnológico:

• 40% de las empresas reconoció que el ataque se originó en una brecha de seguridad desconocida.

• 39% señaló falta de personal o experiencia especializada para detectar y frenar el incidente a tiempo.

Estos datos refuerzan que el ransomware en empresas no es solo un reto de infraestructura, sino también de talento y gestión del riesgo.

El costo humano del ransomware

Más allá de las cifras financieras, Sophos advierte sobre un impacto menos visible pero crítico: el desgaste de los equipos de TI y ciberseguridad.

El 100% de las organizaciones que sufrió cifrado de datos reportó consecuencias directas en sus equipos, entre ellas:

• Mayor presión desde la alta dirección

• Incremento del estrés y la ansiedad

• Cambios abruptos en prioridades

• Reemplazo o salida de líderes de seguridad

El ransomware no solo compromete sistemas: erosiona la estabilidad interna de las organizaciones.

Mejor recuperación, nuevas alertas

Un dato positivo es que el 96% de las empresas logró recuperar su información, ya sea pagando el rescate, usando respaldos o métodos alternativos. Además, la mitad se recuperó en menos de una semana, una mejora notable frente a años anteriores.

Sin embargo, Sophos lanza una advertencia clave: el uso de respaldos cayó a 53%, el nivel más bajo en cuatro años, lo que podría aumentar el riesgo futuro si esta tendencia continúa.

Una amenaza que cambia de forma, no de impacto

El informe concluye que el ransomware en empresas no está desapareciendo, sino adaptándose. Menores montos, mayor probabilidad de pago y ataques más selectivos configuran un escenario donde la prevención sigue siendo crítica.

Sophos recomienda reforzar cuatro pilares: prevención, protección, detección y respuesta, y planeación, incluyendo monitoreo continuo, protección avanzada de endpoints y planes de respuesta ensayados regularmente.

En un contexto donde pagar sigue siendo una opción para muchas empresas, la verdadera pregunta no es si el ransomware bajó, sino si las organizaciones están listas para no negociar bajo presión.