Más de la mitad de las empresas del sector retail pagan rescate por ciberataques: la cifra más alta en cinco años

 

A medida que se duplican las demandas de rescate y aumentan los pagos, casi la mitad de
los retailers atribuyen sus incidentes de ransomware a brechas de seguridad que

desconocían.

Sophos, líder global en soluciones innovadoras de ciberseguridad para combatir
ciberataques, publicó hoy su quinto informe anual State of Ransomware in Retail, una
encuesta neutral de proveedores realizada entre líderes de TI y ciberseguridad en 16
países. El informe de este año revela que casi la mitad (46%) de los incidentes de
ransomware en el sector del retail se atribuyeron a brechas de seguridad previamente
desconocidas, lo que pone en evidencia los desafíos actuales visibles dentro del panorama
de ataque a esta industria. Entre las organizaciones con datos cifrados, el 58% pagó el
rescate para recuperarlos, lo que representa la segunda tasa de pago más alta en los
últimos cinco años.
Principales hallazgos del informe
 46% de los ataques comenzaron por una brecha de seguridad desconocida
(principal factor operativo).
 30% de los ataques explotaron vulnerabilidades conocidas (principal causa técnica
por tercer año consecutivo).
 58% de las víctimas con datos cifrados pagaron; 48% de los ataques resultaron en
cifrado de datos (porcentaje más bajo en los últimos cinco años).
 La demanda de rescate mediana se duplicó a 2 millones de dólares desde 2024; el
pago promedio aumentó 5%, con lo que alcanzó el millón de dólares.
Lo que Sophos observa en el sector del retail
En el último año, Sophos X-Ops ha identificado casi 90 grupos de amenazas distintos que
atacaron a uno o más retailers mediante ransomware o extorsión, según datos de sitios de
filtraciones. Los grupos más activos que Sophos ha rastreado a través de respuesta a
incidentes y casos de MDR son Akira, Cl0p, Qilin, PLAY y Lynx. Tras el ransomware, el
compromiso de cuentas fue el segundo tipo de incidente más común. Al igual que en
muchas otras industrias, el sector del retail es objetivo frecuente de grupos de
compromiso de correo electrónico empresarial (BEC) que buscan desviar pagos, lo que
representa el tercer tipo de incidente más común.

“Los retailers en todo el mundo enfrentan un panorama de amenazas cada vez más
complejo, en el que los atacantes buscan y explotan vulnerabilidades existentes,
especialmente en accesos remotos y dispositivos conectados a internet. Con demandas de
rescate en niveles históricos, la necesidad de implementar estrategias de seguridad
integrales es más evidente que nunca. Sin ellas, los retailers se exponen a interrupciones
operativas continuas y daños reputacionales duraderos. Afortunadamente, muchos están
comenzando a reconocer esto y respondiendo con inversiones en ciberdefensas que les
permiten frenar ataques antes de que escalen y recuperarse más rápido”, señala Chester
Wisniewski, director, CISO de campo global, Sophos.
La falta de experiencia interna fue el segundo factor operativo más común que contribuyó
a las vulneraciones (45%), seguido por brechas en la cobertura de protección (44%). Sin las
habilidades y la cobertura adecuadas, los retailers tienen dificultades para detectar y
neutralizar los ataques.
Junto a estos desafíos, también hay señales de progreso. El porcentaje de ataques
detenidos antes del cifrado alcanzó su nivel más alto en cinco años, lo que indica que las
organizaciones del sector del retail están mejorando su capacidad para detectar y
neutralizar amenazas rápidamente. La tasa de cifrado de datos se encuentra en su punto
más bajo en cinco años, con solo el 48% de los ataques resultando en cifrado de
información.
Aunque el pago promedio de rescate en retail aumentó un 5% (1 millón de dólares en
2025, frente a 950 mil dólares en 2024), el monto representa solo la mitad de la demanda
promedio, lo que sugiere que las organizaciones del sector están mostrando una mayor
resistencia a las demandas elevadas y que posiblemente están recurriendo a asesoría
experta para afrontar ataques de ransomware.
Al final, los programas de ciberseguridad exitosos están centrados en la gestión de riesgos.
Para evaluar y gestionar esos riesgos, los retailers deben tener visibilidad tanto de las
amenazas que enfrentan como de sus activos y su postura de seguridad. Las
organizaciones que combinan una sólida gestión de activos y parches con servicios de
Detección y Respuesta Gestionada (MDR) y servicios de gestión de riesgos, previenen más
ataques y se recuperan más rápido, adoptando un enfoque proactivo en sus defensas
cibernéticas.
De acuerdo con el informe State of Ransomware in Retail 2025:
 La tasa de cifrado de datos está cayendo, pero los adversarios están cambiando
de táctica: los ataques solo de extorsión se han triplicado, del 2% en 2023 al 6% en
2025.

 Las copias de seguridad están disminuyendo: solo el 62% de los retailers
restauraron sus datos mediante backups, la cifra más baja en cuatro años.
 Los retailers están resistiendo: solo el 29% pagó exactamente lo exigido, el 59%
pagó menos y el 11% pagó más.
 Los costos de recuperación están bajando: el costo promedio (sin contar el
rescate) cayó 40%, a 1.65 millones de dólares, el nivel más bajo en tres años.
 Los ataques ransomware impactaron directamente a los equipos: Casi la mitad
(47%) de los equipos IT y de ciberseguridad del sector del retail reportaron un
incremento de estrés después de experimentar un cifrado de datos, mientras que
en un cuarto de los casos (26%) se reportó, como consecuencia, el reemplazo de
los líderes de equipos.
Fortaleciendo las defensas a largo plazo
Basado en su experiencia protegiendo al sector del retail a nivel global, Sophos
recomienda las siguientes mejores prácticas para ayudar a las compañías a estar
preparadas para los ciberataques y otras ciberamenzas:
 Eliminar causas raíz: Abordar proactivamente debilidades técnicas y operativas
comunes. Sophos Managed Risk ayuda a evaluar exposiciones y reducir riesgos.
 Proteger todos los endpoints: Asegurar servidores y dispositivos con defensas
específicas contra ransomware.
 Planificar y prepararse: Tener y probar planes de respuesta a incidentes. Realizar
backups confiables y prácticas regulares de restauración.
 Monitorear 24/7: La visibilidad continua es clave. Para quienes no cuentan con
recursos internos, se recomienda asociarse con un proveedor confiable de
Managed Detection and Response (MDR) para vigilancia y respuesta experta 24/7.

Metodología
Los datos del informe State of Ransomware in Retail 2025 provienen de una encuesta neutral respecto a
proveedores, aplicada a 361 líderes de TI y ciberseguridad del sector en organizaciones con entre 100 y
5,000 empleados, distribuidas en 16 países. La encuesta se realizó entre enero y marzo de 2025. Todos los
participantes experimentaron un ataque de ransomware en los 12 meses previos. Sophos publicará
hallazgos adicionales por industria a lo largo del año.
Descarga el informe completo State of Ransomware in Retail 2025 en Sophos.com.
Conoce cómo MDR puede neutralizar ataques como el ransomware en tiempo real registrándote al
seminario web Behind the Shield: Real-World Stories of Thwarted Ransomware Attacks en Sophos.com.
Más información sobre

 Comportamiento y técnicas de los atacantes en el 2025 Sophos Active Adversary Report
 Grupos de ransomware que compiten por el dominio
 Grupos de ransomware que usan bombardeo de correos electrónicos y vishing para lanzar ataques
 Cómo Sophos detuvo con éxito un “ataque a la cadena de suministro” a un MSP por parte del grupo
de ransomware DragonForce
 Sophos X-Ops y sus investigaciones de amenazas, suscribiéndote al blog de Sophos X-Ops

Acerca de Sophos
Sophos es líder en ciberseguridad y protege a 600,000 organizaciones en todo el mundo mediante una plataforma
impulsada por inteligencia artificial y servicios liderados por expertos. Sophos acompaña a las organizaciones en
cualquier etapa de madurez en ciberseguridad y evoluciona con ellas para enfrentar ciberataques. Sus soluciones
combinan aprendizaje automático, automatización e inteligencia de amenazas en tiempo real con la experiencia del
equipo Sophos X-Ops, para ofrecer monitoreo, detección y respuesta avanzadas 24/7. Sophos ofrece servicios líderes en
Managed Detection and Response (MDR), junto con un portafolio integral de tecnologías de ciberseguridad que incluyen
seguridad en endpoints, redes, correo electrónico y nube, detección y respuesta extendida (XDR), detección y respuesta
ante amenazas a identidades (ITDR) y SIEM de nueva generación. En conjunto con servicios de asesoría especializados,
estas capacidades ayudan a las organizaciones a reducir riesgos de forma proactiva y responder con mayor rapidez, con
la visibilidad y escalabilidad necesarias para anticiparse a amenazas emergentes. Sophos comercializa sus soluciones a
través de un ecosistema global de socios, incluyendo Managed Service Providers (MSPs), Managed Security Service
Providers (MSSPs), revendedores, integraciones de marketplace y aliados en gestión de riesgos, lo que permite a las
organizaciones elegir relaciones de confianza para proteger su negocio. Sophos tiene su sede en Oxford, Reino Unido.
Más información en: www.sophos.com.