Tendencias

El 79% de los ataques de Ransomware se originan en identidades comprometidas, revela informe de Sophos

 Sophos, líder global en ciberseguridad, publicó hoy su séptimo informe anual State of Ransomware, una encuesta agnóstica a proveedores realizada a líderes de TI y ciberseguridad en 17 países, que identifica el impacto del Ransomware en las empresas y qué tan preparadas están las organizaciones para defenderse de estos ataques. El informe de este año revela que la identidad es el vector dominante de acceso inicial (IAV, por sus siglas en inglés), con cuatro de cada cinco (79%) ataques de Ransomware iniciando con identidades comprometidas.

La relevancia de los ataques de identidad en el Ransomware indica un cambio de método, ya que los atacantes reconocen cada vez más la identidad como un componente clave en la distribución de Ransomware. Además, por primera vez en cuatro años, las vulnerabilidades explotadas ya no son la causa raíz más común, ya que el correo electrónico malicioso (26%) y el phishing (24%) ocupan ahora los primeros lugares.

Sin embargo, las vulnerabilidades explotadas siguen siendo un objetivo de alto valor: el 59% de las demandas de rescate que comienzan con una vulnerabilidad explotada en el firewall son de 1 millón de dólares o más, en comparación con el 48% de todos los ataques.

“Conforme vemos que los delincuentes de Ransomware experimentan con IA, esta tecnología tiene el potencial de acelerar su capacidad para robar activos valiosos, mantenerlos como rehenes y hacerlo a una escala que supera sus capacidades anteriores”, señaló Ross McKerchar, Chief Information Security Officer de Sophos.

El informe también encontró que, entre las organizaciones afectadas por Ransomware, el 56% tuvo sus datos cifrados, un aumento que revierte una tendencia descendente de dos años.

“Esta velocidad requiere un monitoreo cuidadoso y permanente de los medios de entrada más explotados, que nuestros datos muestran que son cuentas válidas robadas y comprometidas. Sin embargo, la mejora de los modelos de IA abiertos y sin protección dará a los atacantes una ventaja creciente para encontrar y explotar vulnerabilidades de software. Los defensores no pueden depender únicamente de los parches para mantenerse al ritmo, por lo que reducir la exposición externa y mantener una protección sólida en endpoints es esencial”, compartió McKerchar.

Los hallazgos adicionales destacan:

  • Dos tercios de las víctimas de Ransomware (67%) confirmaron que su incidente también fue su ataque de identidad más significativo, estableciendo el compromiso de identidad como un mecanismo primario de distribución de Ransomware.
  • Más de la mitad de los ataques de Ransomware (56%) lograron cifrar datos, incluido un 16% en el que los datos fueron tanto cifrados como robados. Esa tasa de éxito aumentó desde el 50% en 2025, pero se mantiene por debajo del peak de 75% registrado en 2023.
  • Cuando los datos son cifrados, los atacantes tienen una probabilidad de 50-50 de recibir un pago de rescate. El 48% de las organizaciones cuyos datos fueron cifrados pagó el rescate, lo que lleva la tasa promedio de pago de cuatro años al 50%.
  • Solo el 34% de las organizaciones pequeñas (100–250 empleados) detuvo los ataques antes del cifrado o la extorsión. Esto está significativamente por detrás de las organizaciones de 3.001–5.000 empleados, que detuvieron los ataques el 46% de las veces.
  • La autenticación multifactor (MFA) estaba implementada en cierta medida en el 97% de los incidentes en los que las contraseñas comprometidas fueron la causa raíz de los ataques de ransomware, lo que deja claro que MFA por sí sola no basta para detener el Ransomware y que las brechas de cobertura generan exposición.
  • Reino Unido registró la demanda mediana de rescate más alta reportada para cualquier país, con 2,5 millones de dólares.

Aunque las organizaciones enfrentan desafíos de prevención conforme los actores de amenazas evolucionan sus técnicas, se han logrado avances significativos para mejorar su capacidad de recuperación. El aumento en la inversión en infraestructura de respaldo probablemente ha contribuido a que las organizaciones se recuperen más rápido después de un ataque de Ransomware, más de la mitad (55%) logra hacerlo en una semana y el 16% en menos de un día.

Las organizaciones continúan siendo efectivas al negociar con operadores de Ransomware. Entre quienes decidieron pagar, el 51% logró negociar un acuerdo por debajo de la demanda inicial de rescate de los atacantes. Las demandas medianas de rescate realizadas por los atacantes han disminuido 65% en los últimos dos años, y la proporción de organizaciones que pagan el rescate para recuperar sus datos cayó a 48%, la segunda tasa más baja registrada después de 2023 (46%).

Si bien las estrategias mejoradas han impactado la capacidad de los adversarios para obtener ganancias financieras mediante demandas de rescate, el costo promedio de recuperación tras un ataque ha aumentado y ahora se ubica en 1,7 millones de dólares por incidente.

“Las organizaciones han fortalecido su resiliencia ante el Ransomware durante el último año, y esas inversiones están dando resultados en gran medida. Sin embargo, el Ransomware continúa costando millones a las organizaciones. A medida que la IA se vuelve más capaz, los atacantes podrán enumerar configuraciones incorrectas de identidad y puntos débiles dentro de las organizaciones de forma mucho más barata y rápida que antes. Las organizaciones ya no pueden depender de la complejidad o la opacidad para ocultar brechas en su entorno. La misma tecnología también ofrece a los defensores una oportunidad para encontrar y corregir esas brechas más rápido, pero solo si la prevención, la detección y la respuesta trabajan juntas como parte de una estrategia unificada de ciberseguridad”, explicó McKerchar.

Sophos recomienda las siguientes mejores prácticas para ayudar a las organizaciones a construir defensas integradas e impulsadas por IA, que reúnan tecnología, personas y procesos:

  • Tratar la identidad como una capa fundamental de seguridad: Las organizaciones deben priorizar ITDR, aplicar autenticación multifactor resistente al phishing en todos los puntos de acceso y auditar regularmente tanto identidades humanas como no humanas.
  • Invertir en infraestructura de respaldo y recuperación: Los respaldos deben probarse regularmente, almacenarse offline o en formatos inmutables, e integrarse en un plan documentado de respuesta a incidentes que pueda ejecutarse bajo presión.
  • Mantener programas de gestión de exposición: Las organizaciones deben conservar calendarios rigurosos de aplicación de parches, priorizar activos expuestos a internet y considerar cómo las herramientas emergentes asistidas por IA pueden acelerar la identificación y remediación de vulnerabilidades.
  • Reducir la exposición a través del firewall y aprovechar la telemetría del firewall para detectar ataques de forma temprana: Asegurarse de que su firewall reciba actualizaciones rápidas —idealmente automatizadas— y minimizar los servicios expuestos a internet, como accesos administrativos y portales de usuarios. Conectar los firewalls con soluciones XDR y MDR para permitir que la telemetría del firewall ayude a detectar ataques de ransomware antes de que se desplieguen las cargas maliciosas.

Esta encuesta fue realizada por Vanson Bourne en nombre de Sophos durante el primer trimestre de 2026. Se entrevistó a 2.158 tomadores de decisión de TI y ciberseguridad de organizaciones que habían sido afectadas por Ransomware en los 12 meses anteriores, en 17 países: Estados Unidos, Brasil, Chile, Colombia, México, Reino Unido, Francia, Alemania, Italia, España, Suiza, Australia, India, Japón, Singapur, Sudáfrica y Emiratos Árabes Unidos. Los encuestados provenían de organizaciones con entre 100 y 5.000 empleados en 15 sectores industriales.

Shares: