Redacción Digital Inside España
Las empresas de fabricación están logrando frenar más ataques de ransomware antes del cifrado, pero los atacantes se apoyan cada vez más en el robo de datos y en tácticas de extorsión para mantener la presión. Esta es una de las principales conclusiones del informe “State of Ransomware in Manufacturing and Production 2025” de Sophos, elaborado a partir de una encuesta independiente a 332 organizaciones del sector que han sufrido ataques de ransomware durante el último año.
El informe de Sophos, basado en una encuesta a 332 organizaciones manufactureras atacadas en el último año, refleja que el 40% de los incidentes terminó en cifrado de datos, la cifra más baja de los últimos cinco años. Este porcentaje supone un descenso del 74% respecto al año anterior y muestra una mejora en la capacidad de detección y respuesta de las empresas antes de que los atacantes completen el proceso de cifrado. Paralelamente, el 50% de las organizaciones consultadas afirma haber conseguido detener el ataque antes de que los datos fueran cifrados, más del doble que el 24% registrado el año previo.
Aunque el cifrado directo pierde peso, la extorsión basada en el robo de información gana terreno. Los ataques centrados únicamente en la extorsión, sin cifrado, han pasado del 3% de los casos en 2024 al 10% actual. En los incidentes en los que sí se llegó a cifrar la información, el 39% de las organizaciones de fabricación encuestadas sufrió además robo de datos, una de las tasas más elevadas entre los sectores analizados en el estudio. Este uso combinado de cifrado y exfiltración de información refuerza la capacidad de presión de los atacantes, que amenazan tanto con bloquear los sistemas como con publicar o filtrar información sensible.
La mejora en las defensas no impide que una parte significativa de las víctimas opte por el pago del rescate. A pesar de la mejora en las defensas, el 51% de las organizaciones que sufrieron cifrado acabó pagando un rescate medio de 1 millón de dólares, frente a demandas que rondan los 1,2 millones. En términos aproximados, la cantidad pagada se sitúa en torno a 860.000 euros, mientras que las demandas superan el millón de euros. Esta diferencia entre lo exigido y lo finalmente abonado no elimina el impacto económico para las organizaciones afectadas.
En lo relativo a los costes de recuperación, el informe señala una evolución favorable. El coste medio para recuperarse de un ataque de ransomware, excluyendo cualquier pago de rescate, se ha reducido un 24% hasta situarse en 1,3 millones de dólares, en torno a 1,1 millones de euros. El coste medio de recuperación de un ataque de ransomware, sin contar el rescate, se sitúa en 1,3 millones de dólares y ha descendido un 24% respecto al año anterior. Además, el 58% de los fabricantes declara haberse recuperado por completo en el plazo de una semana, frente al 44% que lo conseguía en ese mismo periodo el año anterior, lo que indica una mejora en los planes de continuidad y recuperación.
El estudio también analiza los factores internos que, según las propias organizaciones manufactureras, contribuyen a la materialización de los ataques. El 42,5% de las compañías señala la falta de experiencia como una posible causa del incidente. Un 41,6% menciona la existencia de brechas de seguridad desconocidas y un 41% apunta a una protección insuficiente. En promedio, las organizaciones identifican tres factores internos que han favorecido el ataque, lo que sugiere que la exposición no suele obedecer a un único fallo puntual, sino a una combinación de carencias técnicas, procedimentales y de recursos.
El impacto de estos incidentes no se limita a los costes directos o al tiempo de recuperación. Los efectos sobre los equipos de TI y Seguridad también son significativos. El 47% de los fabricantes afectados reconoce un aumento del estrés en sus equipos tras sufrir el cifrado de datos. El 44% indica que se incrementa la presión por parte de la dirección y el 27% menciona cambios en el liderazgo como consecuencia directa del ataque, lo que refleja el peso organizativo y de gestión que tiene el ransomware en el sector.
Un sector bajo presión de casi un centenar de grupos de amenazas
En el ámbito de la inteligencia de amenazas, Sophos X-Ops ha identificado en los últimos doce meses un total de 99 grupos distintos que han atacado a organizaciones de fabricación. Entre los más activos se encuentran los grupos etiquetados por la compañía como GOLD SAHARA (Akira), GOLD FEATHER (Qilin) y GOLD ENCORE (PLAY).
En más de la mitad de los incidentes de ransomware en los que ha intervenido el equipo de Sophos Emergency Incident Response, los atacantes han combinado el robo de información con el cifrado de los sistemas, aplicando tácticas de doble extorsión. Este enfoque se basa en retener los datos para exigir un pago y, al mismo tiempo; amenazar con su publicación en sitios de filtraciones si la organización no accede a las demandas, lo que aumenta el riesgo reputacional y de cumplimiento normativo.
Desde la unidad Sophos Counter Threat Unit Alexandra Rose, Directora de Investigación de Amenazas subraya: “El sector fabricación depende de sistemas interconectados en los que incluso una breve interrupción puede detener la producción y afectar a toda la cadena de suministro. Los atacantes explotan esta presión: a pesar de que las tasas de cifrado bajaron al 40%, el rescate medio pagado aún alcanza el millón de dólares. Y aunque la mitad de los fabricantes detuvieron los ataques antes del cifrado, los costes de recuperación rondan los 1,3 millones de dólares. Las defensas en capas, la visibilidad continua y los planes de respuesta bien ensayados son esenciales para reducir tanto el impacto operativo como el riesgo financiero”.
En cuanto a las medidas de protección, Sophos agrupa sus recomendaciones en varias líneas de actuación. La primera pasa por abordar las causas de origen mediante acciones proactivas dirigidas a las debilidades técnicas y operativas habituales, como las vulnerabilidades explotadas de forma recurrente por los atacantes. La compañía indica que soluciones específicas, como Sophos Managed Risk, pueden ayudar a evaluar la exposición y reducir el riesgo en los entornos de fabricación, identificando y mitigando estas debilidades antes de que sean utilizadas por actores maliciosos.
Un segundo eje se centra en la protección de los terminales. Sophos plantea que todos los endpoints, incluidos los servidores, deben contar con defensas anti-ransomware capaces de bloquear este tipo de ataques. En el contexto del informe, los endpoints se consideran un punto crítico, ya que desde ellos se inicia con frecuencia el movimiento lateral y el despliegue del cifrado o la exfiltración de datos. Sophos subraya que eliminar las causas de origen, proteger todos los endpoints, planificar la respuesta a incidentes y disponer de monitorización 24/7 son elementos clave en la estrategia de defensa frente al ransomware en fabricación.
La planificación y la preparación previa constituyen otro de los elementos destacados. La compañía recomienda establecer y probar con regularidad un plan integral de respuesta a incidentes, manteniendo copias de seguridad fiables y practicando la restauración de datos de forma periódica. El objetivo es reducir el tiempo de inactividad en caso de ataque y asegurar que los procedimientos de recuperación pueden ejecutarse con rapidez bajo presión.
Por último, Sophos insiste en la importancia de la monitorización continua. La visibilidad 24/7 sobre lo que ocurre en la red se considera esencial para detectar y contener intrusiones en fases tempranas. Para aquellas organizaciones que no disponen de recursos internos suficientes, el informe plantea la opción de asociarse con un proveedor de Detección y Respuesta Gestionadas (MDR), que aporte capacidades de supervisión y respuesta profesional permanente, alineadas con las necesidades específicas del entorno industrial y de producción.
