Uno de cada cinco ataques de ransomware podría haberse evitado
- Seguridad
Los ciberdelincuentes permanecen hasta 22 días dentro de los sistemas sin ser detectados. El ransomware evoluciona hacia tácticas de extorsión multicanal que combinan filtraciones, llamadas, DDoS y presión reputacional. Las organizaciones con protocolos de comunicación predefinidos gestionaron mejor los incidentes.
Aunque solo representa el 5% de los incidentes, el ransomware sigue siendo el ataque más temido por su capacidad de paralizar la actividad empresarial. El Informe de Siniestros Cibernéticos 2025 de Stoïk revela que los atacantes permanecen dentro de los sistemas hasta 22 días, con una media de 6,5 días, antes de desplegar el cifrado. Durante ese tiempo se mueven lateralmente, elevan privilegios, roban información sensible y preparan la extorsión sin levantar alertas.
“Los ciberdelincuentes ya no solo penetran, cifran y se van. Ahora permanecen semanas dentro, observando, robando credenciales, filtrando datos y preparando su estrategia de extorsión”, explica Vincent Nguyen, director de ciberseguridad en Stoïk. En algunos casos, añade, se detectan comportamientos similares al espionaje, con semanas de recopilación de información antes de activar el ataque.
Del cifrado a la extorsión multicanal
El informe confirma un cambio estructural en las tácticas de los grupos de ransomware. El cifrado ha dejado de ser el único mecanismo de presión y se impone la extorsión multicanal, que combina varias vías simultáneas para maximizar el impacto.
Entre las tácticas más frecuentes destacan la doble extorsión, con cifrado más robo de datos sensibles con amenaza de filtración bajo el paraguas del RGPD; llamadas directas a directivos o centralitas para forzar negociaciones; ataques DDoS coordinados para hacer visible la crisis ante clientes y partners; contacto con terceros, como proveedores, clientes o empleados; publicación de pruebas en leak sites de la dark web, incluyendo vídeos, capturas o documentos; y presión mediática mediante contacto con periodistas o publicaciones en redes sociales.
“Los atacantes han ampliado sus tácticas para acrecentar la presión psicológica, reputacional y regulatoria”, señala Nguyen. “Esto cambia por completo la gestión del incidente: ya no basta con una respuesta técnica; el ransomware también es una crisis reputacional y humana”.
Las organizaciones que mejor gestionaron los incidentes en 2025 fueron aquellas que contaban con protocolos de comunicación predefinidos, guías para medios y preparación psicológica para afrontar días de presión pública e interna.
Aun así, los datos muestran que el 20% de los casos de ransomware podría haberse evitado si las empresas o sus proveedores IT hubieran actuado sobre las vulnerabilidades detectadas por los escaneos de Stoïk. “No basta con asegurar el riesgo, hay que trabajar activamente para reducirlo. Cada vulnerabilidad corregida a tiempo es un ataque que no llega a producirse”, concluye Nguyen.
