Sophos, compañía especializada en soluciones de ciberseguridad, ha dado a conocer la séptima edición de su informe anual State of Ransomware, un estudio independiente elaborado a partir de encuestas realizadas a responsables de TI y ciberseguridad de empresas de 17 países, entre ellos España. El análisis examina el impacto que siguen teniendo los ataques de ransomware sobre las organizaciones y evalúa su nivel de preparación para hacer frente a este tipo de amenazas.
Entre las principales conclusiones del informe destaca el creciente protagonismo de las identidades comprometidas como principal puerta de entrada para los ciberdelincuentes. En España, el 82 % de los ataques de ransomware analizados tuvieron su origen en credenciales robadas o comprometidas, lo que refleja un cambio en las tácticas empleadas por los atacantes, que sitúan la identidad digital como uno de los objetivos prioritarios para desplegar este tipo de malware.
El estudio también muestra una evolución en los métodos utilizados para comprometer a las víctimas. Mientras que la explotación de vulnerabilidades representa el 17 % de los casos registrados en España, el correo electrónico malicioso (29 %) y las campañas de phishing (24 %) se consolidan como las principales causas que facilitan el éxito de los ataques.
Ross McKerchar, director de Sistemas de Información (CIO) de Sophos, señala que la incorporación de la inteligencia artificial por parte de los grupos especializados en ransomware podría multiplicar su capacidad para sustraer información, secuestrar activos digitales y ejecutar ataques a una escala muy superior a la actual. Según explica, esta evolución obliga a las organizaciones a mantener una vigilancia permanente sobre los vectores de acceso más utilizados, especialmente las cuentas comprometidas y las credenciales robadas.
El directivo también advierte de que los avances en inteligencia artificial facilitarán a los atacantes la localización y explotación de vulnerabilidades de software con mayor rapidez, por lo que considera insuficiente confiar únicamente en la aplicación de parches de seguridad. En este contexto, apuesta por reducir la superficie de exposición de las organizaciones y reforzar la protección de los equipos y dispositivos como parte de una estrategia integral frente al ransomware.
El informe también revela que el 56% de las compañías españolas afectadas por el ransomware sufrieron cifrado de datos, un aumento que ha revertido una tendencia a la baja (47% en 2025). Otras conclusiones destacadas son:
- Siete de cada diez víctimas de ransomware en España (el 73%) afirman que el incidente de ransomware fue también su ataque de identidad más grave, lo que confirma que el robo de identidad es el principal mecanismo de distribución del ransomware.
- Más de la mitad de los ataques de ransomware en España (el 56%) lograron cifrar los datos, incluyendo un 18% en los que los datos fueron tanto cifrados como robados.
- Cuando los datos se cifran, los atacantes tienen un tercio de probabilidades de recibir el pago del rescate de las empresas españolas. El 33% de las organizaciones españolas cuyos datos fueron cifrados pagaron el rescate para recuperar sus datos (36% en 2025 y 56% el año anterior), mientras un 70% utilizaron el backup de copias de seguridad (70% en 2025).
- Sólo el 40% de las organizaciones españolas pudieron detener los ataques antes del cifrado o la extorsión (45% en 2025).
- La autenticación multifactor (MFA) se implementó de alguna forma en el 92% de los incidentes en los que las credenciales comprometidas fueron la causa principal de los ataques de ransomware, lo que deja claro que MFA por sí sola no basta para detener el ransomware y que las lagunas en la cobertura generan vulnerabilidad.
- En España, la demanda media de rescate se situó en 1,8 millones de dólares (911.600 dólares en 2025 y 4,24 millones de dólares reportados en el informe de 2024), sólo superada este año en Europa por Reino Unido (2,5 millones de dólares).
Recuperación al alza
Aunque las organizaciones se enfrentan a diversos retos en materia de prevención a medida que los atacantes van perfeccionando sus técnicas, se han logrado avances significativos para mejorar su capacidad de recuperación. Es probable que el aumento de la inversión en infraestructura de copias de seguridad haya contribuido a que las organizaciones se recuperen más rápidamente tras un ataque de ransomware; la mitad de las organizaciones españolas (el 50%) logran recuperarse en el plazo de una semana, y el 18% en menos de un día. En 2025, el 49% se recuperaron completamente en una semana.
Las organizaciones españolas también siguen siendo eficaces a la hora de negociar con los operadores de ransomware. Entre las que optaron por pagar, casi la mitad (el 46%) negociaron con éxito un acuerdo por un importe inferior a la demanda inicial de rescate de los atacantes, el 36% pagaron lo que se les pedía y un 18% acabaron pagando más.
A nivel global, la media de las demandas de rescate realizadas por los atacantes ha descendido un 65% en los últimos dos años, y la proporción de organizaciones que pagan el rescate para recuperar los datos ha caído hasta el 48%, la segunda tasa más baja registrada después de la de 2023 (46%).
Costes al alza
Si bien la mejora de las estrategias ha mermado la capacidad de los atacantes para obtener beneficios económicos mediante las demandas de rescate, los costes medios de recuperación tras un ataque han aumentado, situándose ahora en España en 2,3 millones de dólares por incidente (1,15 millones en 2025 y 3,43 millones de dólares del año anterior). A escala global, los costes por incidente se sitúan en 1,7 millones de dólares (1,5 millones en 2025).
“Las organizaciones han reforzado su resiliencia frente al ransomware durante el último año, y esas inversiones están dando sus frutos en gran medida”, continúa McKerchar. “Sin embargo, el ransomware sigue costando millones a las organizaciones. A medida que la inteligencia artificial gane en capacidad, los atacantes podrán identificar errores de configuración de identidades y puntos débiles en las organizaciones de manera mucho más económica y rápida que antes. Esa misma tecnología también ofrece a los defensores la oportunidad de detectar y subsanar esas brechas más rápidamente, pero sólo si la prevención, la detección y la respuesta funcionan conjuntamente como parte de una estrategia unificada de ciberseguridad”.
Sophos recomienda las siguientes prácticas para ayudar a las organizaciones a crear defensas integradas e impulsadas por inteligencia artificial que combinen tecnología, personas y procesos:
- Considerar la identidad como una capa de seguridad fundamental: las organizaciones deben dar prioridad a la detección y respuesta a amenazas de identidad (ITDR), aplicar una autenticación multifactor resistente al phishing en todos los puntos de acceso y auditar periódicamente tanto las identidades humanas como las no humanas.
- Invertir en infraestructura de copias de seguridad y recuperación: las copias de seguridad deben someterse a pruebas periódicas, almacenarse sin conexión o en formatos inmutables e integrarse en un plan de respuesta a incidentes documentado que pueda llevarse a cabo en situaciones de presión.
- Mantener programas de gestión de la exposición: las organizaciones deben mantener calendarios rigurosos de aplicación de parches, dar prioridad a los activos expuestos a Internet y considerar cómo las nuevas herramientas asistidas por IA pueden acelerar la identificación y corrección de vulnerabilidades.
Reducir la exposición a través del cortafuegos y aprovechar su telemetría para detectar ataques de forma temprana. Asegurarse de que el cortafuegos reciba actualizaciones rápidas -a ser posible, automatizadas- y minimizar los servicios expuestos a Internet, como el acceso de administrador y los portales de usuario. Conectar los cortafuegos a soluciones XDR y MDR para que la telemetría del cortafuegos ayude a detectar ataques de ransomware antes de que se desplieguen las payloads.

