¿Debo pagar el rescate del ransomware?

Las autoridades y expertos en ciberseguridad recomiendan no pagar. El 40% de las empresas que pagan no recuperan todos sus datos, pagar financia a los atacantes para continuar, y en algunos casos puede tener implicaciones legales. La única garantía real de recuperación es tener backups limpios, probados y fuera de la red atacada.

¿Cómo entra el ransomware en una empresa?

Los vectores más comunes son: phishing por email (45%), RDP expuesto sin MFA (30%), VPN o software sin parchear (15%), y ataques a la cadena de suministro (10%). El 74% de los incidentes involucran el factor humano.

Ciberseguridad · 20 noviembre 2025 · 9 min

Qué es el ransomware y cómo proteger tu empresa en 2025

Q: ¿Qué es el ransomware?

El ransomware es un tipo de malware que cifra los archivos de la víctima y exige un pago (normalmente en criptomonedas) para recuperar el acceso. En su versión moderna de doble extorsión, los atacantes primero extraen los datos más sensibles y luego los cifran, exigiendo rescate tanto por el descifrado como por no publicar la información.

España ocupa el tercer puesto mundial en países más atacados por ransomware. El 59% de las empresas españolas sufrió al menos un ataque en 2024, según el INCIBE. Esta guía explica cómo funciona, qué grupos son los más activos ahora mismo y el plan de protección real que funciona.

¿Qué es el ransomware?

El ransomware es un tipo de malware que, una vez dentro de tu sistema, cifra todos los archivos accesibles y exige un pago en criptomonedas a cambio de la clave de descifrado.

En su versión moderna de doble extorsión, los atacantes primero extraen los datos más sensibles y luego los cifran. El rescate tiene dos componentes: pagar para descifrar y pagar para que no publiquen los datos en foros de la dark web.

🚨 Coste real de un ataque: El coste medio de recuperación para una pyme española supera los 200.000€, contando downtime, recuperación de datos, respuesta a incidentes, multas RGPD y daño reputacional. El rescate es solo una fracción del coste total.

Los 4 vectores de entrada más frecuentes

🎣

Phishing por email (45%)

Un empleado recibe un correo con adjunto malicioso o enlace a una web que descarga el malware. Con IA generativa, estos correos son cada vez más convincentes e indistinguibles de comunicaciones reales.

🖥️

RDP expuesto sin protección (30%)

El Remote Desktop Protocol expuesto a internet sin MFA es escaneado constantemente por bots buscando credenciales débiles. Un servidor con RDP en el puerto 3389 sin autenticación multifactor es un objetivo permanente.

🔓

VPN y software sin parchear (15%)

Vulnerabilidades en software de acceso remoto son explotadas en horas tras la publicación del CVE, antes de que la mayoría de empresas apliquen el parche correspondiente.

🔗

Cadena de suministro (10%)

Un proveedor de software o servicio comprometido actúa como vector hacia todos sus clientes. El ataque a SolarWinds en 2020 afectó a 18.000 organizaciones a través de una sola actualización.

Grupos de ransomware más activos en España en 2025

LockBit 3.0 y sucesores: Aunque las autoridades desmantelaron LockBit en 2024, sus afiliados siguen activos bajo nuevas marcas. Operan con el modelo RaaS (Ransomware as a Service): alquilan el malware a cambio de un porcentaje del rescate.

ALPHV / BlackCat: Escrito en Rust, capaz de atacar Windows, Linux y VMware ESXi simultáneamente. Muy activo en el sector sanitario y financiero en España.

Akira: Surgido en 2023, uno de los más activos en pymes europeas. Especialmente efectivo en entornos con Cisco VPN sin parchear. Rescates más bajos (50.000-200.000$) que los grandes grupos, lo que resulta en más pagos.

💡 Dato: El tiempo medio entre la infiltración inicial y el cifrado de datos es de 5 días. Los atacantes pasan ese tiempo reconociendo la red, elevando privilegios y preparando el ataque para maximizar el impacto antes de activarlo.

Plan de protección anti-ransomware: 8 capas

Backup 3-2-1-1 con almacenamiento inmutable

3 copias, 2 medios distintos, 1 fuera de sitio y 1 copia inmutable (que no puede ser modificada ni cifrada, ni siquiera por un administrador). S3 Object Lock de AWS o Azure Immutable Blob implementan esto a bajo coste. Prueba la restauración trimestralmente.

Alta

EDR con detección de cifrado

Sophos CryptoGuard o SentinelOne detectan el patrón de cifrado masivo y lo detienen antes de que afecte todos los datos, incluso si el ransomware es completamente nuevo.

Alta

MFA en todos los accesos remotos

Autenticación multifactor obligatoria en VPN, RDP, correo y herramientas cloud. Elimina prácticamente el vector de acceso por credenciales robadas.

Alta

Principio de mínimo privilegio

Cada usuario solo accede a lo estrictamente necesario. Si el ransomware compromete una cuenta limitada, el daño es contenido.

Alta

Segmentación de red (VLANs)

Impide que el ransomware se propague lateralmente de un sistema comprometido a todos los demás. Un servidor de backup no debería poder ser accedido directamente desde un puesto de usuario.

Media-Alta

Parches críticos en máximo 72 horas

La mayoría del ransomware explota CVEs publicados. Una política de parcheo de 72 horas para críticos elimina una enorme superficie de ataque.

Media-Alta

Formación anti-phishing del equipo

Simulaciones de phishing periódicas reducen la tasa de clics en phishing real hasta un 80% en 12 meses. Es la capa más barata con mayor retorno.

Media

Plan de respuesta a incidentes documentado

¿A quién llamamos primero? ¿Cómo aislamos los sistemas? ¿Dónde están los backups? ¿Cuándo notificamos a la AEPD (72h obligatorio)? Sin plan previo, cada minuto de confusión es un minuto de propagación.

Media

¿Debo pagar el rescate?

La recomendación de las autoridades (INCIBE, EUROPOL, FBI) es no pagar. El 40% de las empresas que pagan no recuperan todos sus datos, pagar financia a los grupos criminales y en algunos países puede tener implicaciones legales al pagar a grupos sancionados.

La única garantía real de recuperación es tener backups limpios, probados y fuera de la red atacada. Sin backups, la empresa depende completamente de los atacantes.

Preguntas frecuentes

Warning: Undefined array key "q" in /var/www/securecore/blog/includes/faq_block.php on line 15

Warning: Undefined array key "a" in /var/www/securecore/blog/includes/faq_block.php on line 16

Warning: Undefined array key "q" in /var/www/securecore/blog/includes/faq_block.php on line 15

Warning: Undefined array key "a" in /var/www/securecore/blog/includes/faq_block.php on line 16

Warning: Undefined array key "q" in /var/www/securecore/blog/includes/faq_block.php on line 15

Warning: Undefined array key "a" in /var/www/securecore/blog/includes/faq_block.php on line 16

Preguntas frecuentes

Warning: Undefined array key "q" in /var/www/securecore/blog/includes/faq_block.php on line 28

Deprecated: htmlspecialchars(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/securecore/blog/includes/faq_block.php on line 28

¿Tu empresa está protegida contra ransomware?

Auditamos tus defensas actuales y te decimos exactamente dónde estás expuesto.

🛡️ Auditoría gratuita

Te puede interesar:

Qué es el ransomware y cómo proteger tu empresa en 2025

¿Qué es el ransomware?

Los 4 vectores de entrada más frecuentes

Grupos de ransomware más activos en España en 2025

Plan de protección anti-ransomware: 8 capas

¿Debo pagar el rescate?

Preguntas frecuentes

Preguntas frecuentes

¿Tu empresa está protegida contra ransomware?

Artículos relacionados

DeclarApp

THC Gestion