Sophos, líder global en soluciones innovadoras de seguridad para enfrentar ciberataques, publicó hoy su sexto informe anual State of Ransomware, una encuesta imparcial y sin afiliación a proveedores, aplicada a líderes de TI y ciberseguridad en 17 países, para analizar el impacto de los ataques de ransomware en las empresas. La encuesta de este año reveló que casi el 50% de las compañías pagó el rescate para recuperar sus datos, la segunda tasa más alta de pagos en seis años.
En contraste, en Colombia solo el 18% de las organizaciones afectadas por ransomware accedió a pagar, según los datos locales incluidos en el informe, lo que representa una tasa significativamente más baja frente al promedio global.
A pesar del elevado porcentaje de empresas que pagaron el rescate, más de la mitad –el 53%– pagó menos de la demanda original. En el 71% de los casos en los que se pagó menos, fue gracias a negociaciones –ya sea realizadas directamente o con ayuda de un tercero–. En Colombia, esta tendencia se acentuó: el 70% de las empresas que pagaron lo hicieron por un valor inferior al exigido inicialmente. El pago medio de rescate en Colombia fue de $40.000 dólares, frente al promedio global de un millón, mientras que la demanda inicial promedio fue de $60.000 dólares.
De hecho, mientras que la demanda promedio de rescate disminuyó en un tercio entre 2024 y 2025, el pago promedio del rescate a nivel global se redujo en un 50%, lo que demuestra que las empresas están logrando minimizar con mayor éxito el impacto del ransomware.
En términos generales, el pago medio del rescate fue de un millón de dólares, aunque la demanda inicial varió significativamente dependiendo del tamaño y los ingresos de la organización. Las empresas con ingresos superiores a mil millones de dólares enfrentaron demandas promedio de cinco millones, mientras que aquellas con ingresos de 250 millones o menos recibieron demandas por menos de 350 mil dólares.
Por tercer año consecutivo, las vulnerabilidades explotadas fueron la causa técnica raíz número uno de los ataques en todo el mundo. En Colombia también se reflejó esta tendencia, donde el 30% de los ataques comenzó por una vulnerabilidad explotada. Le siguieron credenciales comprometidas (28%) y correos electrónicos maliciosos (24%). Desde el punto de vista operativo, la falta de experiencia (43%) y las brechas de seguridad conocidas (43%) fueron las causas más comunes en el país.
La lucha constante de las organizaciones por visualizar y proteger su superficie de ataque continúa siendo un reto: el 41% de las organizaciones colombianas señaló que no contar con los productos y servicios necesarios de ciberseguridad fue un factor determinante para caer víctimas del ransomware.
El informe también destaca un aspecto poco visible pero crucial: el impacto humano. En Colombia, el 45% de los equipos de TI/ciberseguridad reportaron ausencias por estrés o problemas de salud mental tras un ataque, el 44% expresó sentimientos de culpa y el 42% afirmó que su equipo de liderazgo fue reemplazado. Este impacto emocional y organizacional resalta la presión que enfrentan los profesionales responsables de defender a sus compañías frente a ciberamenazas cada vez más complejas
A nivel global, el 44% de las organizaciones logró frenar ataques de ransomware antes de que los datos fueran cifrados, el nivel más alto en seis años. El cifrado de datos también alcanzó su punto más bajo en seis años: solo la mitad de las compañías sufrieron cifrado.
En Colombia, las cifras también son alentadoras. Solo el 37% de los ataques terminó en cifrado de datos, por debajo del promedio global (50%). Además, el 98% de las empresas afectadas logró recuperar sus datos, y el 56% lo hizo utilizando copias de seguridad, frente al 54% global, el porcentaje más bajo en seis años.
El informe también muestra que más empresas se están recuperando más rápido. Globalmente, el 53% logró recuperarse por completo de un ataque de ransomware en una semana. En Colombia, el 50% de las organizaciones alcanzó ese mismo nivel de recuperación en el mismo tiempo. Solo el 25% tardó entre uno y seis meses en recuperarse.
Globalmente, el costo promedio de recuperación –sin contar pagos de rescate– bajó de $2.73 millones de dólares en 2024 a $1.53 millones en 2025. En Colombia, este valor fue de $870.000 dólares, una cifra inferior pero que sigue representando una carga considerable para las organizaciones, especialmente las medianas empresas. Este costo incluye tiempo de inactividad, esfuerzo del personal, pérdida de productividad y recursos tecnológicos.
En términos de carga operativa, el 33% de las organizaciones colombianas señaló un aumento de la carga de trabajo de los equipos de ciberseguridad tras el ataque, y el 24% reportó mayor presión desde los altos mandos, en línea con las tendencias globales.
“Para muchas organizaciones, la posibilidad de ser comprometidas por actores de ransomware es simplemente parte de hacer negocios en 2025. La buena noticia es que, gracias a esta mayor conciencia, muchas empresas están armándose con recursos para limitar los daños. Esto incluye contratar especialistas en respuesta a incidentes que no solo pueden reducir los pagos de rescate, sino también acelerar la recuperación e incluso detener ataques en curso”, señala Chester Wisniewski, director y CISO de campo en Sophos.
“Por supuesto, el ransomware aún puede ‘curarse’ si se abordan desde la raíz las causas de los ataques: vulnerabilidades explotadas, falta de visibilidad sobre la superficie de ataque y recursos insuficientes. Estamos viendo que más empresas reconocen la necesidad de apoyo y están migrando a servicios de Detección y Respuesta Administrada (MDR). La MDR, junto con estrategias proactivas de seguridad, como la autenticación multifactor y la aplicación de parches, puede ser clave para prevenir el ransomware desde el inicio”, resalta Wisniewski.
Otros hallazgos clave del informe State of Ransomware 2025:
- Más empresas están deteniendo ataques en curso: el 44% logró frenar ataques de ransomware antes de que los datos fueran cifrados, el nivel más alto en seis años. El cifrado de datos también alcanzó su punto más bajo en seis años: solo la mitad de las compañías sufrieron cifrado.
- El uso de copias de seguridad disminuye: solo el 54% de las empresas usó respaldos para restaurar sus datos, el porcentaje más bajo en seis años.
- Lado positivo: disminuyen los pagos de rescate y los costos de recuperación: el costo promedio de recuperación bajó de 2.73 millones de dólares en 2024 a 1.53 millones en 2025. Aunque los pagos de rescate siguen siendo altos, se redujeron un 50%: de 2 millones de dólares en 2024 a 1 millón en 2025.
- Los pagos de rescate varían según la industria: los gobiernos estatales y locales reportaron el pago promedio más alto (2.5 millones de dólares), mientras que el sector salud reportó el más bajo (150 mil dólares).
- Las empresas se recuperan más rápido: más de la mitad (53%) logró recuperarse por completo de un ataque de ransomware en una semana, frente al 35% del año pasado. Solo el 18% tardó más de un mes en recuperarse, una mejora frente al 34% en 2024.
Sophos recomienda mejores prácticas para ayudar a las organizaciones a defenderse del ransomware y otros ciberataques, como:
- Tomar medidas para eliminar las causas técnicas y operativas comunes de los ataques, como las vulnerabilidades explotadas. Herramientas como Sophos Managed Risk pueden ayudar a las empresas a evaluar su perfil de riesgo y reducir su exposición.
- Garantizar que todos los endpoints (incluidos los servidores) estén bien protegidos con sistemas de defensa dedicados contra ransomware.
- Contar con un plan de respuesta a incidentes probado para cuando las cosas salgan mal. Mantener buenos respaldos y practicar la restauración con regularidad.
- Contar con monitoreo y detección las 24 horas del día. Si no se tienen los recursos internos para esto, trabajar con un proveedor confiable de detección y respuesta administrada (MDR).
Los datos del informe State of Ransomware 2025 provienen de una encuesta imparcial y sin afiliación a proveedores, realizada a 3,400 líderes de TI y ciberseguridad en organizaciones que fueron atacadas por ransomware durante el año anterior. Las organizaciones encuestadas tienen entre 100 y 5,000 empleados y están distribuidas en 17 países. La encuesta se llevó a cabo entre enero y marzo de 2025, y los encuestados respondieron en función de su experiencia con el ransomware durante los 12 meses previos.
Sophos publicará hallazgos adicionales por industria a lo largo del año.
Descarga el informe completo State of Ransomware 2025 aquí.
Descubre cómo MDR puede neutralizar ataques como el ransomware en tiempo real registrándote al seminario web Behind the Shield: Real-World Stories of Thwarted Ransomware Attacks aquí.
