Aunque solo representa el 5% del total de incidentes, el ransomware sigue siendo uno de los ciberataques con mayor capacidad de paralizar la actividad de una empresa y su capacidad destructiva lo convierte en la amenaza más temida por las compañías. Así lo refleja el Informe de Siniestros Cibernéticos de 2025 publicado por Stoïk.
Según los datos recogidos por el CERT interno de la compañía, el tiempo máximo de permanencia de los atacantes dentro de los sistemas de una compañía alcanzó los 22 días, con una media de 6 días y medio. Durante ese período, los ciberdelincuentes se desplazan lateralmente por la red, amplían sus privilegios de acceso, sustraen información sensible y preparan el despliegue del ransomware sin levantar alertas.
«Los ciberdelincuentes ya no solo penetran en las compañías, cifran y se van. Ahora permanecen semanas dentro, observando, robando credenciales, filtrando datos y preparando su estrategia de extorsión antes de activar el cifrado», explica Vincent Nguyen, director de ciberseguridad en Stoïk. «En algunos casos incluso, detectamos comportamientos parecidos al espionaje, con atacantes que permanecen dentro de la red durante semanas recopilando información empresarial antes de desplegar el ransomware».
Del cifrado a la extorsión multicanal
El informe de Stoïk revela un cambio estructural en las tácticas empleadas por los grupos de ransomware. El cifrado de datos ha dejado de ser el único mecanismo de presión y, en su lugar, se ha observado un aumento significativo de la extorsión multicanal, un enfoque que combina múltiples vías de presión de forma simultánea para maximizar el impacto sobre la víctima.
Entre las tácticas más recurrentes destaca la doble extorsión, que combina el cifrado con la extracción de datos sensibles y la amenaza de filtración amparándose en el marco sancionador del RGPD. A esta se suman las llamadas telefónicas directas a centralitas o directivos para forzar una negociación, los ataques DDoS coordinados para hacer visible la crisis ante clientes y partners, y el contacto directo con terceros como proveedores, clientes o empleados de la empresa afectada. En paralelo, algunos grupos recurren a la publicación de pruebas en leak sites de la dark web, incluyendo vídeos, capturas de pantalla o datos confidenciales, e incluso contactan con periodistas o publican en redes sociales para amplificar el daño reputacional.
«Esta evolución refleja la adaptación de los ciberdelincuentes a un entorno donde cada vez más empresas se niegan a pagar rescates, al contar con mejores herramientas y equipos especializados. Como respuesta, los atacantes han ampliado sus tácticas para acrecentar la presión psicológica, reputacional y regulatoria, transformando cada incidente en una campaña coordinada de presión«, señala Nguyen. «Esto cambia por completo la gestión del incidente y ya no basta con una respuesta técnica. Ahora el ransomware también debe tratarse como una crisis reputacional y humana».
Así, en 2025 las organizaciones que gestionaron con mayor eficacia los incidentes de ransomware en 2025 fueron aquellas que disponían de protocolos predefinidos de comunicación, directrices para medios y preparación psicológica para afrontar días de presión pública e interna.
La prevención funciona, pero sigue habiendo margen de mejora
En un entorno donde el riesgo cero no existe para las empresas, estas deberán encontrar una solución que combine medidas preventivas ante una posible amenaza con soluciones reactivas con las que poder controlar la situación de riesgo. Pese a ello, los datos muestran que el 20% de los casos de ransomware podrían haberse evitado si los asegurados o sus proveedores IT hubieran actuado sobre las vulnerabilidades específicas detectadas por los escaneos de Stoïk.
