Dark
Light

Los cibercriminales pillan a las organizaciones con la guardia baja durante los festivos

Un informe global de Semperis detalla cuándo y cómo inciden los ataques de ransomware, para los que los ciberdelincuentes aprovechan los fines de semana i festividades, con menor personal y la guardia más baja en las organizaciones.
3 de diciembre, 2025

El último Ransomware Holiday Risk Report de Semperis analiza cómo se comportan los ataques de ransomware y qué preparación declaran tener las organizaciones para hacerles frente, con especial énfasis en los sistemas de identidad. El estudio, realizado durante la primera mitad de 2025 por la consultora Censuswide, se basa en una encuesta a 1.500 profesionales de TI y seguridad de diez países y ocho sectores, distribuidos entre Norteamérica, Reino Unido, Europa continental y Asia-Pacífico.

Según el documento, algo más de la mitad de los encuestados que sufrieron un incidente de ransomware durante los últimos doce meses sitúan el ataque en fin de semana o día festivo. A escala global, el 52% de los intentos descritos se produjo en esos periodos de menor actividad interna, lo que confirma que los atacantes buscan momentos de menor vigilancia operativa.

El informe también señala que seis de cada diez ataques tuvieron lugar tras un evento corporativo, como una fusión o adquisición, una salida a bolsa o una ronda de despidos. Dentro de este grupo, el 54% de los ataques se produjo después de una operación de fusión o adquisición, el 46% tras una reducción de plantilla y el 42% después de una oferta pública de venta.

Los datos regionales reflejan porcentajes similares por zonas, con cifras agregadas en torno a la mitad de los ataques situados en fines de semana o festivos tanto en Norteamérica como en Europa y Asia-Pacífico. En sectores como las telecomunicaciones y TI, el peso de los ataques en estos periodos alcanza el 60%, mientras que en energía se queda en el 36%, lo que sugiere diferencias sectoriales en la exposición o en la organización de los turnos de vigilancia.

España y los eventos corporativos como punto de inflexión

En el caso de España, los datos específicos del informe sitúan el 58% de los ataques de ransomware reportados en fin de semana o festivo, por encima de la media global. El 95% de los incidentes declarados por las organizaciones españolas tuvo lugar tras un evento corporativo relevante, con un peso especialmente alto de las salidas a bolsa, que concentran el 47% de los ataques posteriores, y de las operaciones de fusión o de adquisición, con un 44%.

El documento destaca que Semperis, especializada en la protección de servicios de identidad corporativa en entornos híbridos y multicloud, pone el foco en estos periodos de cambio organizativo. Los expertos consultados en el informe señalan que las integraciones derivadas de fusiones y adquisiciones suelen generar complejidad en la gestión de identidades, en la gobernanza y en la definición de responsabilidades, lo que amplía la superficie de ataque y dificulta la respuesta si se produce un incidente durante el proceso.

El propio informe indica que, en contextos como una salida a bolsa o una integración empresarial, las organizaciones afrontan presión para mantener la actividad sin interrupciones mientras modifican procesos, sistemas y estructuras, una combinación que puede facilitar tanto la intrusión como la decisión de pagar un rescate con tal de restaurar operaciones con rapidez.

En cuanto a la organización de la defensa, el 96% de las entidades encuestadas declara disponer de un centro de operaciones de seguridad (SOC). De ellas, el 76% afirma gestionarlo de forma interna, un porcentaje que, según el informe, supone un aumento de 28 puntos respecto al estudio anterior y que indica un movimiento hacia un mayor control directo de la monitorización y la respuesta frente a incidentes.

Este desplazamiento hacia SOC internos convive, sin embargo, con recortes de personal en los momentos de mayor riesgo. Más de tres cuartas partes de las organizaciones con SOC (78%) reducen la dotación al menos a la mitad en fines de semana y festivos, y un 6% reconoce no contar con personal de SOC en absoluto fuera del horario laboral habitual.

El motivo principal que se aduce para esas reducciones es la búsqueda de equilibrio entre trabajo y vida personal, citado por el 62% de los participantes. Un 47% afirma que la organización permanece cerrada en esos periodos y un 29% indica que no esperaba ser atacada o consideraba improbable un incidente.

En España, el 93% de las entidades declara disponer de SOC, y el 83% afirma gestionarlo internamente. Aun así, el 59% de las organizaciones españolas que cuenta con este centro reduce el personal en fines de semana y festivos al menos a la mitad, y un 2% lo elimina por completo en estos periodos. Las razones alegadas son similares a las globales: conciliación, cierre de la organización y baja percepción de riesgo.

La defensa de la identidad avanza pero la recuperación se rezaga

Una de las principales líneas del Ransomware Holiday Risk Report es el análisis de las estrategias de detección y respuesta a amenazas sobre sistemas de identidad (ITDR, por sus siglas en inglés). Nueve de cada diez encuestados afirman disponer de una estrategia de este tipo, y casi todos quienes dicen tenerla aseguran contar con procedimientos para escanear vulnerabilidades en sus sistemas de identidad, incluidos servicios como Active Directory, Entra ID y Okta.

La cobertura es menor cuando se pasa de la detección a la corrección; solo el 45% de los participantes indica tener procedimientos establecidos para remediar las vulnerabilidades que detectan esas revisiones. Y en el ámbito de la recuperación, un 63% declara automatizar la restauración de los sistemas de identidad tras un incidente, mientras que el 10% reconoce no disponer de una estrategia ITDR en absoluto.

En los planes de recuperación ante desastres, la presencia explícita de los sistemas de identidad también es desigual. El 66% de las organizaciones incluye la recuperación de Active Directory, el 55% contempla Entra ID y el 42% incorpora Okta. El informe subraya que la capacidad de restaurar la plataforma de identidad con rapidez y con garantías de integridad se considera un factor relevante para la resiliencia operativa, dado que estos sistemas actúan como mecanismo central de control de acceso.

Las cifras específicas de España se sitúan en niveles parecidos o algo superiores a la media global en algunos aspectos. El 88% de las organizaciones españolas afirma escanear vulnerabilidades de identidad, el 43% dice contar con procedimientos de remediación y el 66% declara automatizar la recuperación. En los planes de recuperación, un 71% menciona Active Directory, un 55% Entra ID y un 50% Okta.

Recomendaciones del informe para reforzar la resiliencia

A partir de los datos recabados, el informe plantea varias líneas de actuación dirigidas a los responsables de seguridad, equipos de TI y gestores de SOC. Una de ellas es la planificación específica de la defensa de los sistemas de identidad en periodos de cambio estructural, como fusiones, adquisiciones o salidas a bolsa. El documento sugiere revisar y, en su caso, modernizar la infraestructura de Active Directory antes de completar una integración, así como implicar a las funciones de ciberseguridad en las fases iniciales de las operaciones corporativas.

Otra conclusión es que las valoraciones de fusiones, adquisiciones o desinversiones deberían tener en cuenta qué sistemas y riesgos se heredan o se transfieren. Según el informe, el hecho de no considerar estos elementos desde el principio puede retrasar los procesos, modificar las valoraciones económicas y, en todo caso, llevar a las empresas a absorber brechas de seguridad preexistentes o carencias en su gestión de identidades, lo que complica y encarece la integración posterior.

El documento también analiza el papel que la tecnología, y en particular las capacidades de monitorización y detección basadas en inteligencia artificial, puede desempeñar en la reducción de la carga de trabajo del SOC. El texto matiza que, aunque estas herramientas pueden encargarse de parte de las tareas de primer nivel, la supervisión humana sigue siendo necesaria para la gestión de los casos complejos y para evaluar nuevos vectores de ataque, incluido el aumento de identidades no humanas creadas por sistemas de IA que también deben ser protegidas.

Por último, el informe propone integrar de forma explícita la recuperación de los sistemas de identidad en la planificación de respuesta a crisis. Además de los aspectos puramente técnicos, se menciona la necesidad de definir cómo se va a comunicar con clientes, proveedores y autoridades regulatorias durante un incidente, quién tomará decisiones sobre la desconexión y la reactivación de servicios y en qué orden se restaurarán las capacidades críticas.

En conjunto, el documento de Semperis plantea que la resiliencia tecnológica y la continuidad de negocio deben considerarse objetivos compartidos por toda la organización, no solo por los equipos de TI y seguridad.

Ver más

Relacionados