Resiliencia ante el ransomware: por qué las empresas alemanas pagan con menos frecuencia
8 minutos de lectura
Cuando el grupo LockBit exigió a Continental 50 millones de dólares estadounidenses como rescate, el proveedor automotriz no pagó. Cuando Akira paralizó a Südwestfalen-IT y devolvió a 72 municipios a la era analógica, nadie pagó. Y, en conjunto, las empresas alemanas pagan con menos frecuencia que el resto del mundo: el 42 % frente al 56 % global. Esto no es casualidad. Es el resultado de una combinación de recomendaciones del BSI, obligaciones de notificación derivadas del Reglamento General de Protección de Datos (RGPD) y una cultura de copias de seguridad que, por su rigor, es única en Europa.
En resumen
- Tasa de pago: el 42 % de las empresas alemanas afectadas pagan rescate, frente al 56 % a nivel mundial (Sophos 2024)
- Situación de amenazas: el 58 % de las empresas alemanas sufrieron ataques de ransomware en 2024; se detectan 309.000 nuevas variantes de malware cada día (BSI)
- Daño económico: daño total por ciberataques en Alemania en 2024: 266.600 millones de euros, de los cuales 178.600 millones corresponden a ciberdelincuencia (Bitkom)
- Efecto NIS2: desde diciembre de 2025, las copias de seguridad inmutables, la segmentación de redes y la autenticación multifactor (MFA) son obligatorias por ley para más de 30.000 empresas
- Caso Continental: 40 terabytes de datos exfiltrados, exigencia de 50 millones de dólares – sin pago
¿Por qué Alemania paga con menos frecuencia?
Según el [Informe Sophos sobre el estado del ransomware 2024](https://www.sophos.com/en-us/press/press-releases/2024/04/ransomware-payments-increase-500-last-year-finds-sophos-state) (encuesta realizada a 500 empresas alemanas), el 42 % de las empresas alemanas afectadas pagaron rescate, lo que supone una disminución respecto al 44 % del año anterior. A nivel mundial, la tasa se sitúa en el 56 %. La encuesta sobre protección económica de Bitkom arroja un número aún más bajo: solo el 12 % de todas las empresas alemanas (incluidas las que no fueron atacadas) han cumplido exigencias de pago de rescate.
La diferencia de 14 puntos porcentuales respecto a la media global tiene cuatro causas medibles.
Primero: la postura del BSI y la Oficina Federal de Investigación Criminal (BKA) es inequívoca. El [BSI desaconseja expresamente](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/ransomware-angriffe_node.html) el pago de rescates. Su argumentación: no existe garantía alguna de recibir una clave de descifrado funcional, el pago financia estructuras criminales y no impide la repetición del ataque. En muchos otros países no existe una recomendación tan clara ni tan autoritativamente comunicada por parte de una autoridad federal. Esto genera en Alemania una presión normativa que produce efectos cuantificables.
Segundo: la obligación de notificación derivada del RGPD elimina el motivo de ocultación. En los ataques de ransomware que afectan a datos personales, el artículo 33 del RGPD establece la obligación de notificar el incidente a la autoridad de control dentro de las 72 horas siguientes. El pago de un rescate no exime de dicha obligación. Así, desaparece uno de los motivos centrales para realizar pagos silenciosos: si el incidente debe notificarse de todos modos, no hay ningún incentivo para ocultarlo mediante un pago.
Tercero: las ciberseguros limitan el reembolso de rescates. Según la [Autoridad Federal de Supervisión Financiera (BaFin)](https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2024/fa_bj_2402_Cyberversicherung.html), entre 2020 y 2022 los aseguradores alemanes reembolsaron rescates únicamente en el rango de varios millones de euros (cifra baja de dos dígitos). Solo el 25 % de los ciberseguros alemanes abona rescates sin restricciones; el 56 % aplica sublímites u otras condiciones. En 2024, la Asociación Alemana de Compañías Aseguradoras (GDV) revisó sus condiciones tipo: el reembolso de rescates sigue siendo un caso excepcional regulado, no una cobertura automática.
Cuarto: la cultura de copias de seguridad es más sólida que en otros lugares. El BSI ha establecido como estándar la regla de copias de seguridad 3-2-1 (tres copias, en dos soportes diferentes, una de ellas fuera de línea). Las empresas alemanas invierten de forma desproporcionadamente alta en infraestructura de copias de seguridad – no solo por convicción, sino porque normas como ISO 27001, el estándar de protección básica de TI del BSI y estándares sectoriales específicos como TISAX exigen copias de seguridad funcionales como componente obligatorio.
Fuentes: Informe Sophos sobre el estado del ransomware 2024, encuesta sobre protección económica de Bitkom 2024, informe sobre la situación de ciberseguridad del BSI 2024
Continental: exigidos 50 millones, pagados cero
El caso Continental de 2022 muestra cómo las empresas industriales alemanas gestionan la extorsión mediante ransomware. El 1 de julio de 2022, un atacante obtuvo acceso a la red mediante la descarga de un navegador por parte de un empleado. Durante aproximadamente cuatro semanas, el atacante se movió sin ser detectado por los sistemas. El resultado: unos 40 terabytes de datos exfiltrados. LockBit 3.0 ofreció esos datos en la dark web por 50 millones de dólares estadounidenses.
Continental no pagó. En febrero de 2023, el grupo informó a decenas de miles de empleados sobre el robo de datos, colaboró con las autoridades y asumió los costes reputacionales. No fue la decisión más cómoda, pero sí la correcta: los datos ya habían sido exfiltrados; un pago no habría impedido de forma fiable su publicación y habría marcado a la empresa como víctima dispuesta a pagar.
Destacable: Continental no fue cifrado de forma clásica. El ataque consistió únicamente en exfiltración de datos seguida de extorsión – una tendencia que se ha intensificado masivamente en 2024. Los atacantes han comprendido que las empresas con copias de seguridad funcionales pueden sobrevivir al cifrado. Por ello, recurren cada vez más a robo de datos y amenazan con su publicación. Contra este vector de ataque, las copias de seguridad solas no bastan. Se requieren detección y respuesta en la red (NDR), una segmentación rigurosa de la red y una [respuesta ante incidentes](https://www.securitytoday.de/es/2026/01/22/incident-response-bsi-cert-dcso-deutschland-reboot-2026/) rápida.
El hecho de que Continental permaneciera comprometida durante cuatro semanas sin ser detectado revela otro problema central alemán: el tiempo medio de detección (MTTD) es demasiado largo en muchas empresas. Cuatro semanas son tiempo suficiente no solo para exfiltrar 40 terabytes, sino también para instalar puertas traseras, escalar privilegios de acceso y comprometer todo el directorio activo. Las inversiones en detección y monitorización son al menos tan importantes como las inversiones en prevención – una lección que Continental aprendió a un alto precio.
Südwestfalen-IT: la anatomía de un colapso total
El 30 de octubre de 2023, el grupo de ransomware Akira atacó a Südwestfalen-IT – el proveedor de servicios de TI municipal para más de 70 municipios y administraciones de distrito en Renania del Norte-Westfalia. El vector de entrada: una solución VPN sin autenticación multifactor (MFA), presumiblemente comprometida mediante fuerza bruta.
La factura fue devastadora: 1.463 servidores afectados, 871 tuvieron que reinstalarse completamente y 592 fueron recuperados. 1,6 millones de ciudadanos resultaron afectados y aproximadamente 20.000 puestos de trabajo municipales dejaron de funcionar. Las oficinas de atención al ciudadano no pudieron expedir documentos de identidad, las matriculaciones de vehículos fueron imposibles y no se pudieron tramitar prestaciones sociales. La restauración tardó un año completo: en octubre de 2024, el 98 % de los servicios estaban nuevamente disponibles.
Los costes adicionales directos únicamente para SIT: al menos 2,8 millones de euros. El distrito de Hochsauerland estimó sus costes en unos 1,5 millones de euros para los primeros cuatro meses. El distrito de Siegen-Wittgenstein planea invertir 1,4 millones de euros solo para 2025. Según toda la información disponible, no se pagó ningún rescate.
Este caso demuestra dos cosas simultáneamente: las organizaciones alemanas tampoco pagan bajo presión extrema – esa es la buena noticia. Pero los costes de no pagar son considerables si la infraestructura de copias de seguridad y recuperación no está a la altura de la tecnología actual. Una solución VPN sin autenticación multifactor no debería haber estado operativa en 2023. La industria de TI llevaba años sabiéndolo; la obligatoriedad de la MFA ya estaba plenamente incorporada en las recomendaciones del BSI.
Südwestfalen-IT constituye también una señal de advertencia para el panorama general de la TI municipal. Según el BSI, el 80 % de todos los ciberataques notificados se dirigen contra pymes – y los proveedores municipales de servicios de TI son, de facto, pymes con la responsabilidad de un gran conglomerado. Prestan infraestructura crítica para cientos de miles de ciudadanos, pero carecen tanto del presupuesto como del personal de una empresa del índice DAX. NIS2 pretende cerrar esta brecha, pero sigue siendo una incógnita si las 30.000 empresas recién reguladas estarán realmente conformes para 2026.
Las empresas alemanas pagan con menos frecuencia – no porque no sean atacadas, sino porque la cultura de copias de seguridad, la orientación del BSI y la presión regulatoria convierten el pago en el último recurso, no en la primera opción.
NIS2: la resiliencia frente al ransomware se convierte en ley
Desde el 6 de diciembre de 2025, la [ley de transposición de NIS2](https://www.securitytoday.de/es/2026/01/05/nis2-standortvorteil-cybersecurity-regulierung-deutschland-reboot-2026/) está en vigor en Alemania, sin período de transición. Más de 30.000 empresas de 18 sectores (con al menos 50 empleados o un volumen de negocios de 10 millones de euros) deben ahora implementar una serie de medidas dirigidas directamente a la resiliencia frente al ransomware.
La lista de obligaciones suena como un concepto de protección contra ransomware del BSI: copias de seguridad inmutables y cifradas (las copias de seguridad inmutables como requisito explícito), segmentación de redes, MFA para cuentas administrativas, análisis y gestión de riesgos, [seguridad de la cadena de suministro](https://www.securitytoday.de/es/2026/02/26/supply-chain-security-nis2-sbom-cra-wettbewerbsvorteil-reboot-2026/) y formación de la dirección ejecutiva. Los incidentes de seguridad deben notificarse dentro de las 24 horas – más estricto que el plazo de 72 horas del RGPD.
Para la resiliencia frente al ransomware, NIS2 representa una ofensiva de calidad: lo que hasta ahora era buenas prácticas se convierte ahora en ley. Las empresas que ya han implementado el estándar de protección básica de TI del BSI o ISO 27001 están bien preparadas. Todas las demás deben invertir ahora – no porque quieran, sino porque la responsabilidad personal de la dirección ejecutiva ante un incumplimiento de la normativa es una amenaza real. Un caso como el de Südwestfalen-IT – una VPN sin MFA – sería, bajo NIS2, no solo un fallo operativo, sino un riesgo de responsabilidad personal para la dirección ejecutiva. Esto cambia fundamentalmente la dinámica en los consejos de administración: las inversiones en ciberseguridad ya no son partidas presupuestarias opcionales de TI, sino gastos obligatorios para evitar responsabilidades personales.
La obligación de notificación en 24 horas tiene además un efecto disciplinador adicional: las empresas deben configurar su detección de incidentes de modo que puedan identificar y clasificar un incidente dentro de ese plazo. En el caso de Continental, la detección tardó cuatro semanas. Bajo NIS2, esto constituiría un incumplimiento normativo, porque la obligación de notificación solo puede aplicarse si la detección funciona. Esto obliga a las empresas a invertir en centros de operaciones de seguridad (SOC) y en detección automatizada de anomalías – precisamente aquellas áreas que marcan la diferencia entre un ataque prevenido y un colapso total frente al ransomware.
Qué hacen mejor las empresas alemanas – y dónde fallan
Mejor: La tasa de pago sigue bajando. La recomendación del BSI contra el pago se ha consolidado como una directriz normativa. La obligación de notificación del RGPD hace insensata la ocultación. El sector asegurador disciplina mediante sublímites y condiciones. Y NIS2 convierte las inversiones en copias de seguridad en una obligación de cumplimiento normativo. Se trata de un sistema de cuatro capas cuya eficacia conjunta supera la de cualquier medida individual.
Peor: La situación de amenazas sigue agravándose. Se detectan 309.000 nuevas variantes de malware cada día, 78 nuevas vulnerabilidades diarias y 22 grupos avanzados de amenazas persistentes (APT) están activos en Alemania. El 80 % de todos los ciberataques notificados afectan a pymes, que con frecuencia no han implementado ni el estándar de protección básica de TI del BSI ni ISO 27001. Y los tiempos de recuperación no son más cortos que a nivel global: según Sophos, el tiempo medio de inactividad en Alemania es de un mes y el 92 % de las víctimas experimentan interrupciones operativas.
A nivel mundial existe una tendencia contraria preocupante: según Sophos 2025, el uso de copias de seguridad para la recuperación descendió a un mínimo de cuatro años, al 53 % a nivel mundial. Esto no se debe a que las copias de seguridad hayan empeorado, sino a que los atacantes comprometen intencionadamente los sistemas de copias de seguridad antes de cifrar los sistemas productivos. Las copias de seguridad inmutables – que estén físicamente o lógicamente aisladas de la red de producción – son la única respuesta fiable y, bajo NIS2, ahora obligatorias.
Otro motivo de esperanza: el 53 % de las víctimas de ransomware a nivel mundial se recuperaron en 2025 dentro de una semana – un aumento notable respecto al 35 % del año anterior (Sophos 2025). Esto demuestra que las inversiones en capacidades de recuperación surten efecto, incluso mientras la situación de amenazas se vuelve más compleja. Para las empresas alemanas significa: la combinación de presión regulatoria (NIS2), orientación oficial (BSI) e incentivos aseguradores (BaFin/GDV) crea un ecosistema que fomenta sistemáticamente la resiliencia frente al ransomware. Esto no es casualidad, sino un resultado políticamente deseado y aplicado mediante regulación.
Los costes de recuperación en Alemania se sitúan en unos 1,6 millones de euros, por debajo de la media mundial de 2,73 millones de dólares (Sophos 2024). Este es un beneficio económico cuantificable derivado de una mayor resiliencia. Las empresas que no pagan y pueden recuperarse más rápidamente no solo ahorran el importe del rescate, sino también los costes derivados: primas de seguro más bajas, menor daño reputacional y periodos de interrupción operativa más cortos.
Cinco medidas para una verdadera resiliencia frente al ransomware
1. Implementar copias de seguridad inmutables. La regla 3-2-1 ya no basta si los atacantes comprometen intencionadamente los sistemas de copias de seguridad. Las copias de seguridad inmutables, físicamente o lógicamente aisladas de la red de producción, constituyen la única defensa fiable y última línea. NIS2 las convierte en obligatorias.
2. Aplicar MFA en todas partes – sin excepciones. El ataque a Südwestfalen-IT se habría evitado con MFA en la solución VPN. Todo acceso administrativo, todo acceso remoto y toda cuenta con privilegios debe protegerse mediante un segundo factor. No es una recomendación, sino una obligación según NIS2.
3. Probar periódicamente la recuperación. Una copia de seguridad que nunca se ha probado no es una copia de seguridad. Al menos una vez cada trimestre debe simularse una restauración completa, incluyendo la pregunta: ¿con qué rapidez podemos reanudar la actividad empresarial?
4. Detectar la exfiltración de datos. El caso Continental demuestra: el cifrado ya no es el único vector de ataque. La detección y respuesta en la red (NDR) y la prevención de pérdida de datos (DLP) deben identificar flujos anómalos de datos antes de que 40 terabytes abandonen la red. La inversión en detección es al menos tan importante como la inversión en prevención – porque ningún perímetro es perfecto y la cuestión no es si un atacante logrará entrar, sino con qué rapidez será detectado.
5. Elaborar y practicar un plan de respuesta ante incidentes. No decidir en el momento crítico quién llama a quién ni qué sistemas se restauran primero. El documento de «primeros auxilios» del BSI para incidentes de seguridad informática es una buena base, pero cada empresa necesita un plan personalizado con roles claros, canales de comunicación y niveles de escalado. Al menos una vez al año debe celebrarse un ejercicio tipo mesa redonda en el que la dirección ejecute un escenario de ataque de ransomware – incluida la pregunta de si y en qué circunstancias se pagaría. Esta decisión debe tomarse antes del ataque, no bajo presión y a las tres de la madrugada.
Preguntas frecuentes
¿Con qué frecuencia pagan las empresas alemanas rescates por ransomware?
Según el Informe Sophos sobre el estado del ransomware 2024, el 42 % de las empresas alemanas afectadas pagan rescate, frente al 56 % a nivel mundial. La encuesta de Bitkom arroja un 12 % (base: todas las empresas, no solo las atacadas). La tasa de pago ha venido descendiendo en Alemania durante varios años.
¿Qué coste supone el ransomware para las empresas alemanas?
Los costes medios de recuperación ascienden, según Sophos, a unos 1,6 millones de euros (sin contar el rescate). El daño total por ciberdelincuencia en Alemania alcanza los 178.600 millones de euros anuales (Bitkom 2024). El 31 % de las empresas informa de daños directos por ransomware.
¿Por qué pagan las empresas alemanas con menos frecuencia que otros países?
Cuatro factores: la clara recomendación del BSI/BKA contra el pago, la obligación de notificación del RGPD (que hace insensata la ocultación), las condiciones restrictivas de los ciberseguros y una cultura de copias de seguridad más sólida gracias al estándar de protección básica de TI del BSI y a ISO 27001.
¿Qué exige NIS2 para la protección frente al ransomware?
Copias de seguridad inmutables y cifradas, segmentación de redes, MFA para cuentas administrativas, análisis de riesgos, seguridad de la cadena de suministro, formación de la dirección ejecutiva y una obligación de notificación en 24 horas ante incidentes. Estas obligaciones entran en vigor sin período de transición desde diciembre de 2025.
¿Cubren los ciberseguros los pagos de rescate en Alemania?
De forma limitada. Solo el 25 % de los ciberseguros alemanes paga rescates sin restricciones. El 56 % aplica sublímites u otras condiciones. La BaFin informa de que los pagos de rescate por parte de aseguradoras ascendieron globalmente únicamente al rango de varios millones de euros (2020-2022).
Para seguir leyendo
- NIS2 como ventaja competitiva: por qué la regulación en ciberseguridad fortalece la ubicación económica
- Respuesta ante incidentes hecha en Alemania: cómo colaboran el BSI y las empresas
- Seguridad de la cadena de suministro: del cumplimiento obligatorio a la ventaja competitiva
Fuente de la imagen principal: Pexels / Brett Sayles (px:5480781)
