Las organizaciones pagan rescates con mucha menor frecuencia. En el tercer trimestre de 2025, solo el 23% de las víctimas de ransomware efectuó un pago, según Coveware, prolongando una tendencia descendente de seis años (frente al 28% a inicios de 2024). También descienden los importes: el pago promedio cayó a 377 000 dólares y la mediana a 140 000 dólares.
Por qué las empresas pagan menos: presión regulatoria y mayor resiliencia
La reducción de los pagos refleja un efecto combinado: operaciones policiales más contundentes, mayor escrutinio regulatorio y la adopción de controles de ciberseguridad que acortan la recuperación y restan incentivos a negociar. Cada negativa a pagar erosiona la economía delictiva, reduce la rentabilidad de las campañas y eleva el riesgo operativo para los grupos de ransomware.
Aplicación de la ley, seguros y gobierno corporativo
Operaciones internacionales contra infraestructuras criminales y medidas sancionadoras limitan el margen de maniobra de los actores. Políticas corporativas más estrictas, condiciones de ciberseguro, requisitos sectoriales y la expectativa regulatoria de recuperación rápida sin pagos influyen en la toma de decisiones. Autoridades como el FBI y OFAC han desaconsejado los pagos y advertido de riesgos legales y reputacionales, mientras informes de ENISA y Verizon DBIR destacan la madurez de controles como factor clave de contención.
Tácticas en evolución: la exfiltración supera al cifrado
El modelo clásico centrado en el cifrado deja paso a la extorsión por exfiltración de datos. En Q3 2025, estos escenarios representaron más del 76% de los incidentes. Cuando una organización aísla el ataque con rapidez y demuestra la integridad de sus copias de seguridad y planes de continuidad, la probabilidad de pago en extorsiones “sin cifrado” cae hasta el 19%, el mínimo registrado por Coveware.
Economía delictiva y efecto disuasorio
Menos pagos y cheques más bajos deterioran el retorno de inversión criminal. En respuesta, los grupos intensifican el reconocimiento, aplican multi-layered extortion (publicación de muestras, presión a clientes y socios) y recurren a ingeniería social y captación de insiders para obtener accesos privilegiados.
Objetivos y accesos iniciales: foco en la mediana empresa
Coveware atribuye a Akira y Qilin el 44% de los ataques rastreados en el trimestre. Ante el aumento de negativas entre grandes corporaciones, los operadores desplazan el foco hacia el mid-market, donde la presión por reanudar operaciones puede favorecer la negociación.
Los vectores de acceso más comunes incluyen la comprometida de RDP/VPN, la explotación de vulnerabilidades en software crítico y cadenas de suministro. Crecen los phishings alineados con procesos de negocio y los intentos de soborno a empleados con acceso sensible.
Medidas prácticas para reducir riesgo y coste de incidente
La caída de pagos se correlaciona con la madurez de controles fundamentales: MFA para todo acceso remoto, segmentación de red, gestión ágil de vulnerabilidades y copias de seguridad offline probadas. Añadir EDR/XDR con monitorización 24/7, PAM, minimización de servicios expuestos y procedimientos de aislamiento rápido reduce drásticamente el impacto.
Para contener la “doble extorsión” (exfiltración + amenaza de publicación), resultan críticos los controles DLP, el inventario y clasificación de datos sensibles, el cifrado en reposo y tránsito, y la capacidad de forensics para determinar alcance y veracidad de la filtración. Tabletop exercises, playbooks de respuesta, contactos previos con fuerzas del orden y preparación legal para notificaciones a interesados acortan la incertidumbre y limitan la escalada del atacante.
La evidencia sugiere que no pagar se consolida como nueva norma, y que las decisiones tecnológicas y organizativas adecuadas amortiguan el daño incluso con fuga de datos. Es momento de reforzar el perímetro remoto, cerrar vulnerabilidades conocidas, formar a la plantilla contra la ingeniería social y mantener la preparación de respuesta a nivel directivo y de proveedores. Invierta hoy en prevención y respuesta gestionada para reducir la probabilidad de chantaje y evitar el coste de un rescate mañana.
