Principales Estadísticas Sobre Ransomware en 2025 que Debes Conocer
Adan Cuevas 12/30/2025 Ciberseguridad, Ciberataque, Ransomware, Ciberespionaje
6 Minutos

El ransomware continúa poniendo a prueba la resiliencia de las empresas y en 2025 la conversación no se centró solo en el aumento de ataques, sino en la evolución constante de esta amenaza.

Hoy, los atacantes perfeccionan sus tácticas, las organizaciones ajustan su forma de responder y el modelo económico del ransomware cambia, impactando directamente en la toma de decisiones de líderes de negocio y responsables de ciberseguridad.

Las estadísticas de ransomware en 2025 revelan un escenario donde la amenaza está ligada a vulnerabilidades estructurales, pero también muestran un cambio clave: más empresas se recuperan más rápido y optan por no pagar rescates.

En TecnetOne, analizamos las estadísticas clave de ransomware de 2025 para ofrecer una visión clara del panorama actual, apoyar la gestión de riesgos y anticipar las tendencias que definirán el futuro del ransomware.

 

El ransomware es una amenaza global, pero su impacto no es uniforme

 

El ransomware se ha consolidado como una amenaza transversal que afecta a organizaciones de todos los tamaños, sectores y regiones. Sin embargo, su impacto no se distribuye de manera equitativa y ciertos perfiles de empresa continúan siendo más vulnerables que otros.

 

  1. Según el DBIR 2025 de Verizon, el ransomware estuvo presente en el 44 % de las brechas de seguridad analizadas, frente al 32 % del año anterior. Este aumento confirma su rol como causa principal de incidentes, y no solo como una carga maliciosa secundaria.

  2. En organizaciones de mayor tamaño, el ransomware fue un factor en el 39 % de las brechas, lo que demuestra que incluso los entornos con programas de seguridad más maduros siguen enfrentando desafíos para contener ataques basados en extorsión.

  3. El impacto es significativamente mayor en las PYMES, donde el ransomware apareció en el 88 % de las infracciones. La falta de recursos, controles menos robustos y ciclos de parcheo más lentos continúan posicionando a estas organizaciones como objetivos prioritarios.

 

Los pagos de rescate disminuyen y más empresas se niegan a pagar

 

Uno de los cambios más relevantes en 2025 no es únicamente tecnológico, sino estratégico. Cada vez más organizaciones optan por no financiar a los atacantes, lo que está reconfigurando la economía del ransomware.

 

  1. El pago promedio de rescate cayó a 115.000 dólares, frente a los 150.000 del año anterior, reflejando una menor efectividad de las tácticas tradicionales de extorsión.

  2. El 64 % de las organizaciones afectadas decidió no pagar el rescate, comparado con el 50 % registrado apenas dos años atrás. Este dato evidencia un cambio claro hacia modelos de resiliencia y recuperación.

  3. El estudio de IBM 2025 confirma esta tendencia: el 63 % de las empresas se negó a pagar, mientras que el 37 % terminó realizando el pago, consolidando la negativa como la respuesta predominante.

 

En conjunto, estas cifras indican que los atacantes enfrentan menores tasas de éxito y retornos decrecientes, lo que los obliga a intensificar la presión, diversificar sus métodos o enfocarse en víctimas de mayor valor estratégico.

 

pagos

 

El verdadero costo del ransomware va mucho más allá del pago del rescate

 

Aunque cada vez más organizaciones optan por no pagar a los atacantes, los incidentes de ransomware continúan siendo costosos, disruptivos y exigentes a nivel operativo, afectando múltiples dimensiones del negocio.

 

  1. De acuerdo con IBM, el costo promedio de un incidente de extorsión o ransomware alcanzó los 5,08 millones de dólares cuando el ataque fue revelado por los propios atacantes. Esta cifra incluye investigación forense, tiempo de inactividad, exposición legal y daño reputacional.

  2. En Estados Unidos, los reclamos promedio de seguros por ransomware aumentaron un 68 %, alcanzando los 353.000 dólares, lo que refleja un crecimiento sostenido en los costos de recuperación y remediación para las organizaciones afectadas.

  3. Según Sophos, el costo medio de recuperación  (excluyendo el pago de rescates) fue de 1,53 millones de dólares, un 44 % menos que el año anterior. Aunque la recuperación es más eficiente, sigue representando un impacto financiero significativo.

 

Estos datos confirman que el ransomware ya no se limita a la decisión de pagar o no pagar, sino que involucra continuidad del negocio, cumplimiento regulatorio y confianza a largo plazo de clientes, socios y stakeholders.

 

Conoce más sobre: Ransomware 2025: Estadísticas, Costos y Cómo Proteger tu Empresa

 

El cifrado pierde protagonismo, pero el robo de datos se consolida

 

Los grupos de ransomware están ajustando sus estrategias para maximizar el impacto. En lugar de depender exclusivamente del cifrado, muchos ataques actuales combinan múltiples tácticas de extorsión o incluso prescinden por completo del cifrado tradicional.

 

  1. El cifrado de datos estuvo presente en solo el 50 % de los ataques de ransomware, el nivel más bajo en seis años y una caída significativa frente al 70 % registrado en 2024, reflejando un cambio claro en las tácticas de los atacantes.

  2. Entre las organizaciones que sí experimentaron cifrado, el 28 % también sufrió exfiltración de datos, incrementando la presión mediante esquemas de doble extorsión que combinan interrupción operativa y daño reputacional.

 

A pesar de este escenario, el 97 % de las empresas con datos cifrados logró recuperarlos con éxito a través de algún método, lo que evidencia una mejora sostenida en resiliencia, planes de recuperación y madurez operativa.

Aunque el cifrado pierde peso como táctica principal, la exposición de datos, el chantaje público y la extorsión múltiple continúan siendo elementos centrales dentro de las estrategias modernas de ransomware.

 

La detección temprana se vuelve crítica frente a la extorsión basada en datos

 

A medida que los grupos de ransomware priorizan el robo de información y la exposición pública, la detección temprana de señales de extorsión se convierte en un factor clave para reducir el impacto del incidente.

El monitoreo proactivo de sitios de filtraciones, foros clandestinos y mercados de la Dark Web permite identificar anuncios de brechas, amenazas de publicación y negociaciones activas antes de que el daño sea irreversible.

Soluciones como el ciberpatrullaje de TecnetOne, permiten a las empresas anticiparse, acelerar la respuesta a incidentes, coordinar acciones legales y tomar decisiones informadas en escenarios de alta presión.

 

Checklist

 

La recuperación es más rápida, pero las copias de seguridad se utilizan con menos frecuencia

 

Las empresas están logrando retomar la operación en menos tiempo, incluso cuando los atacantes incrementan la presión y elevan las demandas durante los incidentes de ransomware.

 

  1. De acuerdo con Sophos 2025, el 53 % de las víctimas logró recuperarse por completo en una semana, frente al 35 % registrado en 2024, lo que refleja una mejora clara en los procesos de respuesta y continuidad del negocio.

  2. Las copias de seguridad se utilizaron solo en el 54 % de los incidentes para restaurar datos cifrados, la tasa más baja en seis años, lo que sugiere una mayor dependencia de métodos de recuperación alternativos.

  3. A pesar de las altas tasas de recuperación, el 49 % de las víctimas aún pagó para recuperar sus datos, evidenciando la fuerte presión operativa, financiera y reputacional que ejercen los atacantes durante un incidente activo.

  4. Estos datos muestran avances en la madurez de la respuesta ante ransomware, pero también ponen de manifiesto el estrés en la toma de decisiones críticas durante crisis reales y prolongadas.



Podría interesarte leer: Ransomware en México: ¿Cómo afecta al sector TI y cómo prevenirlo?

 

Demandas de rescate vs. pagos: La brecha sigue creciendo en 2025

 

La dinámica de negociación continúa evolucionando a medida que más organizaciones resisten el pago y los atacantes ajustan sus expectativas económicas.

 

  1. Solo el 29 % de las víctimas pagó exactamente el monto exigido inicialmente, mientras que el 53 % pagó menos y el 18 % terminó pagando más, generalmente debido a tiempos de inactividad prolongados o riesgos de exposición de datos.

  2. La demanda promedio de rescate se redujo a 1.324.439 dólares, un 34 % menos interanual, mientras que el pago promedio cayó a 1 millón de dólares, lo que representa una disminución del 50 %.

  3. Los pagos de 5 millones de dólares o más descendieron al 20 %, frente al 31 % en 2024. Aun así, el 57 % de las demandas y el 52 % de los pagos superaron el millón de dólares, según Sophos 2025.

  4. Aunque los atacantes piden menos en promedio, la extorsión de alto valor sigue siendo frecuente, especialmente contra grandes organizaciones con alta dependencia operativa y elevada exposición reputacional.

 

Las técnicas de acceso inicial continúan evolucionando

 

Los métodos utilizados por los atacantes para obtener acceso inicial siguen cambiando conforme mejoran las defensas y se ajustan las tácticas criminales.

 

  1. Las vulnerabilidades explotadas fueron la causa raíz más común, responsables del 32 % de los ataques de ransomware, consolidándose como el principal vector de entrada.

  2. Las credenciales comprometidas representaron el 23 % de los ataques, una reducción frente al 29 % de 2024, mientras que el correo electrónico malicioso alcanzó el 19 %.

  3. El phishing aumentó al 18 %, frente al 11 % del año anterior, reforzando su rol como una de las técnicas más efectivas para el acceso inicial.

  4. Este cambio subraya la importancia de la gestión de parches, la seguridad de identidades y la concientización contra phishing como pilares fundamentales para reducir el riesgo de ransomware.

 

El ecosistema de ransomware continúa expandiéndose

 

Detrás de cada ataque existe un ecosistema criminal cada vez más amplio, especializado y coordinado.

 

  1. En el tercer trimestre de 2025, se identificaron 85 grupos de extorsión activos y 1.592 nuevas víctimas, lo que equivale a aproximadamente 535 víctimas mensuales.

  2. Durante el primer semestre de 2025, se observaron 96 grupos únicos, y Estados Unidos concentró el 66 % de los sitios de filtraciones en el segundo trimestre del año.

  3. A nivel de variantes, Akira se mantuvo como la cepa más activa en el tercer trimestre de 2025, responsable del 34 % de los ataques, seguida por Qilin, con una participación del 10 %.

  4. Con decenas de grupos activos y nuevas víctimas cada mes, comprender qué actores operan y cómo atacan se ha vuelto una necesidad operativa para los equipos de seguridad.

 

Industrias y regiones bajo mayor presión

 

El impacto del ransomware varía de forma significativa según el sector y la región.

 

  1. En 2025, los ataques contra la industria manufacturera crecieron aproximadamente un 61 %, mientras que los ataques contra infraestructura e industrias críticas aumentaron un 34 % interanual.

  2. Durante el tercer trimestre de 2025, la manufactura y los servicios empresariales concentraron el mayor número de víctimas, mientras que el sector salud representó cerca del 8 % del total.

  3. En el Reino Unido, solo el 1 % de las organizaciones reportó un incidente de ransomware; sin embargo, entre las empresas que sufrieron delitos cibernéticos, el 7 % identificó al ransomware como el ataque involucrado.

 

Conclusión

 

El ransomware en 2025 refleja un entorno de amenazas más sofisticado, estratégico y calculado. Aunque el volumen de ataques sigue siendo elevado, las empresas están cambiando su forma de responder: pagan con menor frecuencia, se recuperan con mayor rapidez y reducen su dependencia del cifrado como único punto de presión.

En paralelo, los grupos de ransomware continúan operando a gran escala, coordinándose dentro de ecosistemas de extorsión y enfocando sus esfuerzos en sectores donde la disrupción genera mayor impacto operativo y reputacional.

La lectura de estas estadísticas es práctica y orientada a la acción. Las organizaciones que logran reducir el impacto del ransomware lo hacen limitando el acceso inicial de los atacantes, acortando los tiempos de detección y entendiendo con claridad quiénes los atacan, cómo operan y por qué los eligen.

En este contexto, el SOC de TecnetOne juega un rol clave al integrar monitoreo continuo, inteligencia de amenazas, detección temprana y respuesta coordinada. A través del análisis de actividad maliciosa, la observación de señales tempranas de filtraciones y la correlación de eventos internos y externos, el SOC permite anticiparse a campañas activas de ransomware y tomar decisiones informadas antes de que un incidente escale a una crisis operativa o financiera.

 

Suscribirse al SOC as a Service

Tag:

Ciberseguridad Ciberataque Ransomware Ciberespionaje

Rusia y Su “Botón Rojo”: Cuando Un País Puede Apagarse del Internet

Artículo Anterior

Zoom Stealer: Extensiones de Navegador Roban Datos de Reuniones

Siguiente Artículo
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Levi Yoris 03/26/2025 Ciberseguridad, Riesgos informaticos, Malware
Principales Motores de Búsqueda de la Dark Web en 2025
Jonathan Montoya 05/22/2025 Ciberseguridad, Ciberpatrullaje, Malware, Ciberataque
Los 10 Mejores Foros de la Deep Web y la Dark Web

Artículos Relacionados

Ciberseguridad, Ciberespionaje
Adriana Aguilar 10/29/2025

Espías Disfrazados: Cómo Detectar Falsos Candidatos en Tu Empresa

Imagínate contratar a un supuesto ingeniero remoto que supera entrevistas, pruebas técnicas y

Leer más
Ciberresiliencia, Ciberespionaje
Adrian León 10/23/2025

PassiveNeuron: Nueva Amenaza de Espionaje que Nos Afecta a Todos

Una nueva operación de ciberespionaje, bautizada como PassiveNeuron, ha encendido las alertas en el

Leer más
Ciberseguridad, Del Mito al Control, Ciberespionaje
Scarlet Mendoza 10/06/2025

El Papel Oculto de BIETA y CIII en Operaciones Cibernéticas del MSS

En TecnetOne te contamos los últimos hallazgos sobre cómo dos empresas chinas —el Instituto de

Leer más