El comercio minorista pisa 2025 con un equilibrio frágil entre avances defensivos y tácticas ofensivas cada vez más agresivas por parte del cibercrimen. El último State of Ransomware in Retail 2025 sitúa el panorama en un punto paradójico: cae el porcentaje de ataques que logran cifrar datos, pero suben las demandas económicas y crece la extorsión sin cifrado. A la vez, los equipos de TI y ciberseguridad en tiendas y cadenas reportan más presión, más estrés y reorganizaciones tras cada incidente significativo.
El informe —basado en una encuesta independiente a 361 responsables de TI y ciberseguridad de organizaciones retail en 16 países, todas afectadas por ransomware en los últimos 12 meses— ofrece una foto granular: el 46 % de los ataques comenzó por una brecha de seguridad desconocida para la propia organización; el 30 % explotó vulnerabilidades conocidas (tercer año consecutivo como causa técnica principal); y solo el 48 % de los ataques terminó en cifrado de datos, mínimo de cinco años. Detrás de esa mejora, sin embargo, hay un giro inquietante: los ataques de “solo extorsión” se han triplicado en retail (del 2 % al 6 %), lo que confirma que los actores de amenaza se adaptan: si no pueden cifrar, roban o amenazan con publicar información para forzar el pago. En paralelo, las demandas medianas de rescate se han duplicado hasta 2,0 millones de dólares, mientras que el pago medio sube un 5 % hasta 1,0 millón.
Más visibilidad, menos margen de error
Una de las lecciones más contundentes del estudio es la deuda de visibilidad. En la página 3, el gráfico de “hallazgos clave” ordena los factores operacionales que abren la puerta al ataque: brechas desconocidas (46 %), falta de experiencia (45 %) —el porcentaje más alto de todos los sectores analizados— y carencias de protección (44 %). Es decir, incluso organizaciones con buen inventario de vulnerabilidades pueden caer por lo que no ven o no alcanzan a cubrir (cambios rápidos en el perímetro, equipos de trabajo limitados, proveedores poco vigilados o activos “huérfanos”).
Desde la página 6 se detalla cómo esa ceguera parcial se convierte en vía de entrada: al 30 % de los incidentes lo precedió una vulnerabilidad explotada, al 26 % credenciales comprometidas, y pesca y correo malicioso suman otro 37 % del total (23 % + 14 %). La conclusión no sorprende, pero obliga a priorizar: gestión de parches y exposición (externa e interna), higiene de identidades, duro control de correo y telemetría transversal.
Cifran menos, pero aprietan más
La buena noticia: el cifrado de datos cae a 48 % en retail, cuando en 2023 llegó a 71 %. Ese avance sugiere que cada vez más organizaciones detectan y detienen el ataque antes del cifrado (gráfico de la página 7). La mala: los adversarios no se marchan, cambian de método. La extorsión sin cifrado —chantajear con publicar o revender datos— se triplica hasta el 6 % (página 9). Y aunque muchos ataques fracasan en la fase de cifrado, casi 9 de cada 10 grupos de ransomware han apuntado al comercio minorista en el último año, según la actividad observada por equipos de respuesta y MDR: nombres como Akira, Cl0p, Qilin, PLAY o Lynx lideran la presión.
Pagar sigue saliendo caro (y a veces inevitable)
El informe no maquilla la realidad: el 58 % de las víctimas que llegaron a sufrir cifrado pagó por recuperar la información, segundo pico más alto en cinco años (página 9). Aun así, se adivina resistencia creciente a las cifras infladas: solo el 29 % pagó exactamente lo pedido, el 59 % negoció a la baja y el 11 % acabó pagando más (página 11). Ese “más” suele estar atado a tres problemas concurrentes (página 12): fallos de copia de seguridad, incrementos por “objetivo valioso” y subidas por demora en el pago.
La presión económica es, además, dual. Por un lado, las demandas medianas se duplican hasta 2,0 millones (página 10). Por otro, los costes medios de recuperación (excluido el rescate) bajan un 40 % hasta 1,65 millones y el 51 % de las organizaciones logra recuperarse en una semana (páginas 13–14). Una explicación plausible: mejor preparación para contener y restaurar, combinada con servicios de respuesta que acortan la ventana de impacto. Aun así, la cifra de copias de seguridad efectivas en retail ha caído al 62 % (mínimo de cuatro años), un punto ciego que los actores criminales explotan con gusto (página 9).
El peaje humano: estrés, reestructuraciones y ausencias
Si las métricas financieras muestran una leve mejora, el factor humano se deteriora. Todas las organizaciones retail que sufrieron cifrado reportaron impacto directo sobre sus equipos de TI/ciberseguridad. En la página 15 se detallan consecuencias: presión desde la dirección (47 %), más ansiedad y estrés (43 %), aumento persistente de carga de trabajo (43 %), cambios de estructura (41 %), ausencias por salud mental (37 %) y, en uno de cada cuatro casos (26 %), relevo del liderazgo del área. Esta última cifra, contundente, refleja cómo el ransomware redefine prioridades y carreras dentro de las organizaciones.
Entre la extorsión y la resiliencia: qué está funcionando (y qué no)
Funcionan mejor las capacidades que acortan el tiempo hasta detección y contención: telemetría consistente, correlación, EDR/XDR con respuesta, y MDR 24/7 para quien no puede sostener guardias propias. También funciona la segmentación que limita el movimiento lateral, y la gestión de parches apoyada por inventario real (no solo CMDB), donde la exposición externa se revisa con la misma cadencia que los boletines de vulnerabilidades.
No funciona depender de copias sin probar: el descenso al 62 % de restauraciones exitosas con backup sugiere falsos positivos de confianza en políticas de copia. No funciona mantener equipos subdimensionados —la “falta de experiencia/capacidad” aparece en el 45 % de incidentes como factor— ni convivir con coberturas a medias (44 %). Y no funciona la mentalidad de “pagar y pasar página”: los pagos alimentan la industria criminal y atraen nuevas campañas.
Guía operativa: del diagnóstico a las medidas concretas
1) Cerrar causas raíz (técnicas y operativas)
— Parcheo y exposición: priorizar vulnerabilidades explotadas en la naturaleza y activo expuesto (VPN, RDP, edge, dispositivos de red).
— Ataques por correo: DMARC, SPF, DKIM y conciencia de BEC en áreas de pagos y contabilidad.
— Identidades: MFA por defecto, higiene de contraseñas y bastionado de cuentas con privilegios.
— Teletrabajo/tiendas: revisión de accesos remotos y políticas de inventario de dispositivos.
2) Defender cada endpoint (incluidos servidores)
— EDR con rollback de cifrado y políticas de aislamiento automático ante señales de ransomware.
— Listas de aplicaciones permitidas en cajas registradoras, quioscos, terminales de punto de venta y back office.
3) Plan y preparación
— Plan de respuesta ensayado por roles (técnico, legal, PR, negocio).
— Copias 3-2-1 con restauraciones probadas mensualmente; objetivos de RTO/RPO realistas.
— Tablero de crisis con decisiones prediseñadas: cuándo escalar a forense, a legal, a autoridades y a comunicación.
4) Vigilancia continua
— Telemetría correlacionada y MDR 24/7 si faltan turnos y experiencia; el reloj del ransomware no para los fines de semana.
— Caza de amenazas a partir de TTP de grupos activos (en retail, casi 90 grupos apuntaron a compañías en el último año), con especial foco en compromiso de cuentas y BEC, segundo y tercer incidentes más comunes del sector.
5) Gobernanza y resiliencia
— Políticas de minimizar datos sensibles (inventario y ciclo de vida), segmentación de red, principio de mínimo privilegio y controles de movimiento de datos para reducir el riesgo de extorsión sin cifrado.
— Seguro cibernético y protocolos de negociación definidos de antemano para no improvisar si el ataque escala.
Métricas que importan al comité de dirección
- MTTD/MTTR: tiempo hasta detección y hasta resolución, por dominio (tienda, logística, comercio electrónico, pagos).
- Tasa de cifrado y tasa de restauración efectiva de copias (ensayos de mesa y pruebas reales).
- Coste de recuperación (sin rescate) y ventana de indisponibilidad por proceso; comparar con el 1,65 M$ de media sectorial y con el 51 % que recupera en una semana.
- Exposición: número de activos críticos con vulnerabilidades explotables y días de exposición.
- Factor humano: rotación, estrés, ausencias y cargas de los equipos de TI/ciber; cada punto aquí afecta a los anteriores.
¿Y ahora qué? Tres movimientos en 90 días
- Auditoría de exposición: servicios en Internet (VPN/edge), identidades con privilegios, acceso remoto a tiendas, versiones de firmware en equipos de red y terminales de punto de venta.
- Ejercicio de restauración: seleccionar tres sistemas críticos (ERP, e-commerce, inventario) y restaurar desde copias medidas; documentar huecos.
- Cobertura 24/7: si no hay turnos, contratar MDR temporal mientras se estabilizan procesos; medir reducción de MTTD en semanas.
El estudio deja un mensaje sobrio: la resiliencia mejora, pero los adversarios también. La caída del cifrado a 48 % es un logro; el salto en extorsión y el doble de demandas al umbral de 2,0 M$ matizan el optimismo. Retail seguirá en el punto de mira —por su amplia superficie de ataque, su presión estacional y la sensibilidad del canal de pagos—, de modo que el camino sostenible no es buscar la bala de plata, sino hacer muchas cosas bien y todos los días.
Preguntas frecuentes
¿Por qué desciende el cifrado de datos pero aumentan las demandas de rescate?
Porque los atacantes se adaptan: si la organización detecta y bloquea a tiempo el cifrado, el adversario escalará con extorsión (amenaza de publicar datos). El cifrado baja a 48 %, pero la extorsión sube al 6 % y las demandas medianas se duplican a 2,0 M$. El objetivo es presionar hasta lograr pago de otra forma.
¿Tiene sentido pagar el rescate?
El informe muestra que el 58 % de quienes sufrieron cifrado pagó, y que el 59 % logró reducir la demanda inicial. Aun así, pagar financia al adversario y no garantiza recuperación completa. La mejor defensa es copias fiables (y probadas), MDR 24/7 y un plan de respuesta que evite llegar a la mesa de negociación.
¿Cómo explico al consejo de administración la inversión en MDR y parches “invisibles”?
Con métricas: coste medio de recuperación en retail (1,65 M$), tiempos de vuelta (51 % en ≤ 1 semana), días de exposición por activo crítico, reducción de MTTD tras desplegar MDR y ensayos de restauración con tiempos reales. Invertir en detectar y contener antes del cifrado es más barato que pagar y reconstruir.
¿Qué señales internas apuntan a que somos candidatos a extorsión “sin cifrado”?
Datos sensibles poco gobernados (PII, finanzas, pagos), segmentación débil, exfiltración no monitorizada, copias no cifradas/aisladas y teletrabajo con accesos directos a repositorios críticos. Reforzar data governance, DLP y visibilidad en e-mail y compartición reduce el margen del atacante.
Fuentes
— The State of Ransomware in Retail 2025, Sophos (agosto 2025). Cifras clave, gráficos y metodología (361 encuestas en 16 países; tendencias de cifrado, extorsión, demandas/pagos y coste de recuperación).
