Ransomware 2026: qué sucede cuando las empresas pagan – y qué sucede cuando no
7 min de lectura
La dirección se reúne en la sala de crisis, los servidores están cifrados, las operaciones están paralizadas. Los atacantes exigen 800.000 euros. El responsable de IT confirma que las copias de seguridad tienen tres semanas de antigüedad. Y ahora surge la pregunta que nadie quiere responder: ¿pagamos? La respuesta es más compleja que un simple sí o no. Pero los datos muestran claramente por qué pagar casi nunca es la decisión correcta.
Lo más importante en resumen
- La disposición a pagar rescates de ransomware ha caído a un mínimo histórico: solo el 25 por ciento de las víctimas pagó en el cuarto trimestre de 2024 (Coveware).
- El pago promedio de rescate cayó de 2 millones de dólares estadounidenses en 2024 a unos 592.000 dólares estadounidenses a finales de 2025 (Coveware Q4 2025).
- El 80 por ciento de las víctimas de ransomware en Alemania son pequeñas y medianas empresas (BKA Bundeslagebild Cybercrime 2024).
- El daño total por ciberataques en Alemania aumentó a 266.600 millones de euros en 2024, un incremento del 29 por ciento (Bitkom).
- Las empresas que pagan recuperan en promedio solo el 60 por ciento de sus datos. La restauración completa es la excepción.
Advertencia: el pago no es ninguna garantía
Aunque una empresa pague el rescate, no hay garantía de recuperación total de los datos. Según el informe Sophos State of Ransomware 2025, las empresas que pagaron recuperaron en promedio solo el 60 por ciento de sus datos. Las herramientas de descifrado de los atacantes suelen ser defectuosas, lentas o incompletas. Y el pago señala disponibilidad para pagar, lo que aumenta el riesgo de un nuevo ataque.
Los números detrás del dilema
La evolución de los dos últimos años muestra una tendencia clara: cada vez menos empresas pagan. Según los informes trimestrales de Coveware, especialista en negociaciones de ransomware, la tasa de pago cayó en el cuarto trimestre de 2024 a un mínimo histórico del 25 por ciento. En 2025 subió levemente al 28 por ciento, pero se mantiene muy por debajo del 62,8 por ciento que aún pagaba en 2023.
Al mismo tiempo, los importes medios de pago disminuyen. Mientras que en 2024 las empresas pagaban en promedio 2 millones de dólares estadounidenses, la media en el cuarto trimestre de 2025 fue de 592.000 dólares estadounidenses. La mediana se situó en 325.000 dólares estadounidenses. En el tercer trimestre de 2025 la media había caído incluso a 377.000 dólares estadounidenses, un descenso del 66 por ciento respecto al trimestre anterior.
25 %
de las víctimas de ransomware pagaron el rescate en el Q4 2024. Un mínimo histórico que confirma la tendencia hacia el no pago.
813,55 millones de dólares estadounidenses
Suma total de todos los pagos de ransomware en 2024, un descenso del 35 por ciento respecto al año récord 2023.
266.600 millones de euros
Daño total por ciberataques en Alemania en 2024, del que una parte considerable proviene de ransomware e interrupciones operativas.
Fuentes: Coveware Q4 2024, Chainalysis Crypto Crime Report 2025, Bitkom Wirtschaftsschutz 2024
Estas cifras cuentan dos historias al mismo tiempo. La buena: las empresas aprenden a no pagar. La mala: los daños totales siguen aumentando, porque los costes por interrupción de operaciones, restauración y daño reputacional superan con creces la demanda de rescate. Según el IBM Cost of a Data Breach Report 2025, el coste total promedio de un incidente de ransomware fue de 5,13 millones de dólares estadounidenses, independientemente de si se pagó o no.
Qué ocurre cuando las empresas pagan
La idea de que un pago restaura la normalidad es la ilusión más peligrosa en la defensa contra el ransomware. La realidad es diferente.
En primer lugar, la restauración de datos es incompleta. En promedio, las empresas que pagan recuperan solo alrededor del 60 por ciento de sus datos. Las herramientas de descifrado que proporcionan los atacantes suelen ser lentas y defectuosas. Algunos tipos de archivos no se descifran en absoluto. Las bases de datos que estaban activas durante el cifrado suelen estar corruptas y de todas formas deben restaurarse desde copias de seguridad.
En segundo lugar, el pago convierte a la empresa en objetivo recurrente. Los grupos de ransomware intercambian información sobre víctimas que pagan. Quien ha pagado una vez envía una señal: aquí hay dinero, y probablemente las vulnerabilidades de seguridad siguen abiertas. Estudios de varios proveedores de seguridad muestran que las empresas que han pagado una vez tienen una probabilidad significativamente mayor de ser atacadas de nuevo.
En tercer lugar, los costes secundarios son considerables. Al pago del rescate se suman costes de investigación forense, asesoría legal, comunicación de crisis, notificación a clientes afectados según el RGPD, primas de seguro más elevadas y, con frecuencia, pérdida de productividad durante meses. Estos costes superan típicamente el rescate entre tres y cinco veces.
En cuarto lugar, existen riesgos regulatorios. En la UE, el pago de rescates no es ilegal, pero puede vulnerar la normativa de sanciones si los destinatarios figuran en listas de sanciones. La Oficina de Control de Activos Extranjeros (OFAC) de Estados Unidos y los organismos equivalentes de la UE mantienen dichas listas. Una empresa que sin saberlo paga a un grupo sancionado se expone a consecuencias penales. El BSI y las autoridades policiales de la UE desaconsejan expresamente los pagos. Las empresas sujetas a NIS2 deben notificar los incidentes en un plazo de 24 horas y se arriesgan a inspecciones adicionales de las autoridades si han pagado.
En quinto lugar, cada pago financia el ecosistema criminal. Los grupos de ransomware operan como empresas profesionales con desarrolladores, afiliados y personal de soporte. Los ingresos de los rescates se destinan al desarrollo de nuevas herramientas de ataque, la captación de nuevos afiliados y, en algunos casos, la financiación de operaciones respaldadas por estados. Según Chainalysis, los pagos totales a grupos de ransomware en 2024 ascendieron a 813,55 millones de dólares estadounidenses. Cada pago individual fortalece este ecosistema.
Qué ocurre cuando las empresas no pagan
No pagar no es un salvoconducto. Significa: la reconstrucción lleva más tiempo y consume más recursos operativos. Pero los resultados son mejores a largo plazo.
El proceso de restauración sin pago dura según Sophos entre 14 y 30 días de mediana, en función de la complejidad del entorno IT y de la calidad de las copias de seguridad disponibles. Durante ese tiempo se activan procesos de emergencia: los flujos de trabajo manuales sustituyen a los digitales, los sistemas críticos se restauran con prioridad y el análisis forense identifica el vector de ataque. Es doloroso y supone pérdida de ingresos. Pero resuelve el problema real en lugar de limitarse a puentear sus síntomas.
Una ventaja frecuentemente subestimada de no pagar: el análisis forense sin presión de tiempo. Las empresas que pagan se ven presionadas a volver a poner en producción los sistemas descifrados lo antes posible, a menudo sin entender completamente la causa raíz. Las empresas que no pagan y reconstruyen desde cero tienen la oportunidad de mejorar fundamentalmente su arquitectura de seguridad. Muchos responsables de IT reconocen en retrospectiva que la reconstrucción forzada fortaleció su postura de seguridad a largo plazo.
Las empresas que no pagan se encuentran en mejor posición a largo plazo porque se ven obligadas a cerrar realmente sus brechas de seguridad. El pago alivia el dolor pero no elimina la causa. Quien paga y deja abierta la misma vulnerabilidad volverá a ser atacado. Quien no paga y cierra la vulnerabilidad ha elevado permanentemente su nivel de seguridad.
La clave está en la preparación. Las empresas con estrategias de copia de seguridad probadas, un plan de respuesta a incidentes documentado y un seguro cibernético con cobertura de respuesta a incidentes están en condiciones de sobrevivir a un incidente de ransomware sin pagar. El 36 por ciento que en 2025 no tuvo que pagar había establecido por lo general estas bases con anterioridad.
La empresa mediana alemana como principal objetivo
En Alemania, el ransomware afecta de forma desproporcionada a las medianas empresas. Según el informe BKA Bundeslagebild Cybercrime 2024, el 80 por ciento de todas las víctimas de ransomware son pequeñas y medianas empresas. El BSI notifica 950 ataques de ransomware registrados, aunque la cifra real no declarada es significativamente mayor. Muchas pymes no reportan los incidentes para evitar daños reputacionales. El número real de ataques es, por tanto, considerablemente mayor.
La vulnerabilidad tiene causas estructurales. Las pymes cumplen en promedio solo el 56 por ciento de los requisitos básicos de seguridad IT y suelen sobreestimar su propio nivel de protección. El 83 por ciento de las pymes lidia con una grave escasez de personal especializado en IT. Un equipo de seguridad dedicado capaz de gestionar profesionalmente un incidente de ransomware no existe en la mayoría de las medianas empresas.
El BSI recomienda la verificación CyberRisiko según DIN SPEC 27076 como punto de entrada para las pymes. Esta auditoría estandarizada identifica las principales brechas y cuesta unos pocos miles de euros. Adicionalmente, la administración federal y los estados ofrecen programas de ayuda para consultoría de seguridad IT en medianas empresas.
La posición contraria: cuándo pagar puede ser racional
Existen escenarios en los que no pagar pone en riesgo existencial a la empresa. Un hospital con datos de pacientes cifrados y sin copias de seguridad actualizadas se enfrenta a una ponderación diferente que una empresa de software con sistemas redundantes. Una empresa manufacturera que pierde ingresos de seis cifras por cada día de parada calcula el punto de equilibrio de otra manera.
En estos casos extremos, el pago puede ser la decisión pragmática si se cumplen tres condiciones: las copias de seguridad son realmente inutilizables, la interrupción operativa genera daños mayores que el rescate y se contrata a un proveedor profesional de negociación. Este último puede reducir la demanda en un 47 por ciento de media según Coveware.
Pero incluso entonces: el pago nunca debe realizarse sin una respuesta a incidentes en paralelo. El vector de ataque debe identificarse y cerrarse. De lo contrario, el siguiente cifrado es solo cuestión de tiempo.
Lista de verificación: preparación ante un ataque de ransomware
Prevención
- Implementar la estrategia de copias de seguridad 3-2-1: 3 copias, 2 soportes, 1 copia fuera de las instalaciones, con pruebas regulares
- Implementar segmentación de red: separar las redes de producción, oficina y copias de seguridad
- Activar autenticación multifactor para todos los accesos remotos y cuentas privilegiadas
- Establecer una gestión de parches con una ventana máxima de 72 horas para vulnerabilidades críticas
Preparación para el caso de emergencia
- Documentar el plan de respuesta a incidentes: quién decide, quién comunica, quién dirige el análisis forense
- Mantener fuera de línea los datos de contacto del proveedor de respuesta a incidentes y del abogado
- Revisar y mantener actualizado el seguro cibernético con cobertura de respuesta a incidentes
- Realizar ejercicios de simulación al menos una vez al año: practicar el escenario de ransomware
En caso de emergencia
- Aislar de inmediato los sistemas afectados, no apagarlos (preservar datos forenses)
- Notificar al BKA y al BSI (cumplir con la obligación de notificación según NIS2)
- Contratar a un proveedor profesional de respuesta a incidentes
- No comunicarse de forma independiente con los atacantes
Conclusión: la decisión se toma antes del ataque
La pregunta de si una empresa debe pagar en un ataque de ransomware no puede responderse en la sala de crisis. Se decide meses antes: por la calidad de las copias de seguridad, la existencia de un plan de respuesta a incidentes documentado y probado, y si alguien en la empresa sabe qué hacer cuando llegue el momento.
Los datos son inequívocos: la disposición a pagar disminuye, los costes totales aumentan y las empresas preparadas se encuentran en una posición notablemente mejor. La verificación CyberRisiko del BSI es un buen punto de partida. Un ejercicio de simulación anual en el que se practique un escenario de ransomware cuesta un día de trabajo y puede ahorrar millones en caso de emergencia. Quien haya hecho los deberes nunca tendrá que plantearse seriamente el pago. Quien no los haya hecho pagará un precio elevado de todas formas, con o sin rescate.
Preguntas frecuentes
¿Deben las empresas pagar en caso de ransomware?
El BSI, el BKA y las autoridades policiales de la UE desaconsejan expresamente el pago. Los datos muestran que las empresas que pagan recuperan en promedio solo el 60 por ciento de sus datos y tienen un mayor riesgo de ataques posteriores. En casos extremos excepcionales, cuando las copias de seguridad son inutilizables y la interrupción operativa es existencialmente amenazante, el pago a través de un proveedor profesional de negociación puede considerarse.
¿Cuál es la demanda promedio de ransomware?
El pago promedio de rescate en el cuarto trimestre de 2025 fue de unos 592.000 dólares estadounidenses con una mediana de 325.000 dólares estadounidenses (Coveware). Las demandas varían considerablemente según el tamaño de la empresa y el sector. Los negociadores profesionales pueden reducir la demanda en un 47 por ciento de media.
¿Cuánto tiempo tarda la restauración sin pago?
La restauración desde copias de seguridad dura según Sophos entre 14 y 30 días de mediana, dependiendo de la complejidad del entorno IT y de la calidad de las copias de seguridad. Durante ese tiempo se activan procesos de emergencia para la operación del negocio. Las empresas con estrategias de copia de seguridad probadas y un plan de respuesta a incidentes documentado reducen considerablemente este tiempo.
¿Cuánto cuesta en total un ataque de ransomware?
Según el IBM Cost of a Data Breach Report 2025, el coste total promedio de un incidente de ransomware es de 5,13 millones de dólares estadounidenses. Esto incluye investigación forense, asesoría legal, comunicación de crisis, notificaciones según el RGPD, pérdida de productividad y primas de seguro más elevadas. Estos costes se producen independientemente de si se pagó el rescate.
¿Es ilegal pagar un rescate de ransomware?
En la UE, el pago de rescates de ransomware no es fundamentalmente ilegal. Sin embargo, puede vulnerar la normativa de sanciones si los destinatarios figuran en listas de sanciones de la UE o de Estados Unidos. Las empresas deben realizar una verificación de sanciones antes de cualquier pago. El BSI y las autoridades policiales desaconsejan los pagos por razones de política criminal, ya que financian el modelo de negocio de los atacantes.
Lecturas recomendadas
- Seguro cibernético 2026: qué comprueba realmente el asegurador y qué deben preparar los CISO (SecurityToday)
- Gestión de accesos privilegiados: por qué las cuentas de administrador son la mayor puerta de entrada para los ataques (SecurityToday)
- OWASP Agentic AI Top 10: cuando los agentes de IA se convierten en la mayor superficie de ataque (SecurityToday)
- Threat Intelligence para medianas empresas: detectar amenazas antes de que golpeen (SecurityToday)
Más de la red MBF Media
Fuente imagen: Pexels / Miguel A. Padrinan (px:3520692)
