La firma Sophos, especializada en ciberseguridad, presentó su más reciente informe State of Ransomware en el que analiza la evolución de este tipo de ciberataques a nivel global. Los resultados se construyen a partir de una encuesta aplicada a líderes de TI y de seguridad informática de 17 países, entre ellos Colombia. Uno de los hallazgos más llamativos del último año es que el 50% de las empresas afectadas, pagó el rescate para recuperar sus datos, lo que representa la cifra más alta registrada en los últimos seis años. A continuación, analizamos cómo este tipo de ciberataque afecta a las compañías y las cifras que arrojan los informes internacionales. 

Ransomware y la democratización de las capacidades de ataque

En la proyección de ciberseguridad 2025 que hicieron el Centro para la Ciberseguridad a Largo Plazo (CLTC) de la Universidad de California en Berkeley y el Instituto de Investigación Pública de CNA, uno de los aspectos que afirman que pasaron por alto fue el ransomware. Este malware, que cifra los datos de empresas y luego cobra un rescate para la devolución de los mismos, ha tenido un crecimiento sin precedentes según la proyección y ha transformado el panorama de las amenazas. En el informe de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en su Threat Landscape Report 2023 se pudo identificar a LockBit3 como el ataque más común que es capaz de cifrar los datos locales de las víctimas y las copias de seguridad almacenadas en la nube. Además, identificaron que esta versión opera bajo un modelo de negocio llamado RaaS, Ransomware as a Service, en el que los ciberdelincuentes pueden vender o alquilar sus servicios y herramientas maliciosas, obteniendo un porcentaje del rescate como beneficio.

La proyección que se hizo en 2018 no consideró que las plataformas de ransomware como servicio democratizarían las capacidades de ataques y pondrían de manifiesto las limitaciones del enfoque de ciberseguridad centrado en las tecnologías y no en la organización económica y los incentivos. Los expertos ven como un error no haber aprovechado de forma adecuada los mejores conocimientos y la mejor comprensión en ese ámbito. 

¿Amenaza u oportunidad?

Sin embargo, otros expertos como Mark Ryland, parte del equipo de seguridad en la nube dentro de Amazon Web Services (AWS), consideran que el ransomware fue una oportunidad porque obligó a mejorar la ciberseguridad. Ryland cree que este malware fue un tipo de peaje que tuvo que pagar la industria y que ayudó a que las compañías se volvieran más fuertes y mejoraran lo básico con acciones como:

• Testeos de phishing internos. 
• Fortalecimiento de los perímetros y firewalls. 
• Creación de mejores backups.
• Restricción del acceso de usuarios para controlar los permisos para borrar el backup. 

La conclusión es que el ransomware llevó a las empresas a ser más conscientes y tomarse la ciberseguridad en serio y creó oportunidades para mejorar las prácticas y los sistemas. 

Ransomware en Colombia 

Aunque los argumentos de expertos internacionales son ciertos, la realidad en Colombia frente a la ciberseguridad se ve mediada por otros factores propios de la economía, el desarrollo de sistemas, la falta de talento capacitado y la falta de recursos.

Según el estudio de Sophos, los ciberataques en el país se dieron de la siguiente forma:

• El 30% surgieron de vulnerabilidades que no habían sido corregidas. 
• El 28% se dio por el uso de credenciales comprometidas. 
• El 24% se dio por el acceso de correos electrónicos maliciosos. 

Sin embargo, los problemas de las compañías nacionales van más allá y se dan por brechas de seguridad ya conocidas, falta de experiencia de los equipos y falta de herramientas y servicios para una defensa efectiva. Además, el estudio reveló que solo el 37% de los incidentes reportados resultaron en el encriptado de datos, frente a un 50% global. De esos caos:

• El 18% implicó robo de información. 
• El 98% de las empresas afectadas restauraron la información comprometida. 
• El 18% de compañías infectadas pagaron el rescate. Un porcentaje muy inferior al global. El promedio exigido en los rescates fue de 60.000 USD, pero pagaron cerca de 40.000 USD, lo que evidencia también una mayor capacidad de negociación. 
• El 56% de empresas optaron por utilizar copias de seguridad como método de recuperación. 

Enfrentar y sobrevivir al ransomware 

Las afectaciones que sufrieron las empresas colombianas son significativas, con un 25% de empresas necesitando entre uno y seis meses para volver operar con normalidad, mientras el 50% de las organizaciones lograron una recuperación total en una semana. Esto demuestra la importancia de la ciberseguridad y el enfoque en prevención que deben tener las compañías con acciones como:

1. Prevenir: la mejor forma de enfrentarse a esta amenaza es impedir que suceda. Esto es posible reduciendo las causas técnicas y las causas operativas como falta de visibilidad sobre los sistemas y escasez de experiencia en ciberseguridad. 
2. Protección: proteger los equipos conectados a la red corporativa es clave al ser los primeros objetivos de los ataques. La forma más efectiva es contar con tecnologías específicas anti ransomware que puedan detectar, detener y revertir procesos de cifrado malicioso. 
3. Detección y respuesta: aunque los ataques ocurran, contar con unas políticas y procedimientos para actuar de forma oportuna podrá evitar que el daño se propague. 
4. Planificación y preparación: es necesario contar con un plan de respuestas a incidentes bien definido y capacitar al personal para que sepa cómo evitar amenazas y cómo accionar de materializarse un ataque. 
5. Backups: contar con una solución de respaldo confiable puede marcar la diferencia entre la recuperación rápida y lenta. Según los expertos, el 96% de las organizaciones que contaban con backups lograron recuperarse en su totalidad después de un ataque. 

A pesar de que los informes apuntan a que el ransomware se ha ido debilitando y que el pago de rescates ha disminuido su cuantía, no hay que bajar la guardia porque, así como mejora la ciberseguridad, los ciberdelincuentes avanzan y transforman sus amenazas. Según INCIBE, ataques como Ryuk, Sodinokibi, Dharma y Maze están moviéndose en el mundo del ransomware y perfeccionando sus formas de acceder a la información. Por eso hay que recordar que las empresas tienen en sus manos la priorización de la ciberseguridad y además hay plataformas que buscan identificar esos aliados en seguridad para las empresas como Interlat que en 2025 celebró su 12º edición de Premios #Latam Digital. En esta ocasión reconoció el esfuerzo de Tusdatos en la categoría Innovación en Tecnologías de Ciberseguridad por transformar la forma en que las empresas analizan antecedentes y riesgos regulatorios asociados al lavado de activos y la financiación del terrorismo.