Encuesta sobre Ataques de Ransomware de Hornetsecurity – Tercer Trimestre de 2024

Los ataques de ransomware van en descenso, pero recuperarse de ellos es más complicado, según la Encuesta de Ataques de Ransomware de Hornetsecurity del tercer trimestre de 2024

Conclusiones principales de la Encuesta sobre Ataques de Ransomware de Hornetsecurity – Tercer Trimestre de 2024

• El 18,6% de los encuestados dijo que su empresa había sufrido un ataque de ransomware en 2024, manteniendo la tendencia a la baja de años anteriores.
• Un 16,3% de las víctimas acabó pagando el rescate para recuperar sus datos, un buen aumento comparado con el 6,9% en 2023.
• El 14% de los que sufrieron un ataque también vieron comprometidas sus copias de seguridad.
• El 52,3% de los ataques de ransomware llegaron por intentos de phishing a través de correo electrónico, siendo el vector de ataque más común en los últimos años.
• El 55,8% de los ataques se centraron en pequeñas empresas (1-50 empleados), y 1 de cada 5 optó por pagar el rescate.
• El 32,6% de las víctimas no tenía claro si sus datos habían sido robados durante el ataque.
• El 81,3% de las empresas forman a sus empleados para que reconozcan y eviten los ataques de ransomware.
• El 52,2% de los encuestados cree que esa formación debería ser “más accesible en cuanto a tiempo”.
• El 27,4% destinaría más presupuesto a mejorar las habilidades del equipo de IT si contaran con más fondos para seguridad.
• El 66,9% de los encuestados confesó que la aparición de la IA generativa les hace estar más preocupados por ser víctimas de ransomware.
• Un 9,8% desconocía que los datos de Microsoft 365 podían verse afectados por ransomware, aunque esta cifra ha mejorado frente a años anteriores.
• El 54,6% de las empresas ya cuenta con un seguro contra ransomware, un buen salto frente al 42,2% en 2023.

Sobre la Encuesta de Ataques de Ransomware 2024

El ransomware sigue siendo una de las mayores amenazas para empresas de todo el mundo. Para mantenerse al día con estos cambios, el equipo de Hornetsecurity hace encuestas regularmente para detectar tendencias y recopilar información de profesionales de IT.

En la encuesta de ataques de ransomware de este año, ampliamos el enfoque para analizar no solo la frecuencia e impacto de estos ataques, sino también cómo las empresas están reforzando sus defensas para plantar cara a estas amenazas cada vez más sofisticadas.

El año pasado, nuestra encuesta mostró que seis de cada diez participantes estaban “muy” o “extremadamente” preocupados por los ataques de ransomware, y esa preocupación sigue ahí en 2024, ya que recuperarse de estos ataques es cada vez más complicado. Este año, con la participación de 502 personas, los resultados de la encuesta nos dan una buena idea de los avances y retos que siguen existiendo en la lucha contra el ransomware.

En los últimos cuatro años, el porcentaje de empresas que han sido víctimas de ataques de ransomware ha ido cambiando, con una bajada importante al 18,6% en 2024, el nivel más bajo desde que empezamos con la encuesta en 2021.

Sin embargo, los datos también muestran un aumento preocupante en la complejidad de estos ataques. Cada vez más empresas se ven obligadas a pagar un rescate para recuperar sus datos, llegando al 16,3% en 2024, frente al 6,9% en 2023.

El ransomware es un tipo de malware especialmente peligroso que cifra los archivos o sistemas completos de la víctima, dejándolos inaccesibles. Luego, los ciberdelincuentes piden un rescate, normalmente en criptomonedas, a cambio de la clave de descifrado necesaria para recuperar el acceso a los datos.

Estos ataques pueden tener consecuencias graves, como pérdidas económicas importantes, parones en la actividad y daños a la reputación de las empresas a largo plazo.

Este año, más de 500 personas participaron en nuestra encuesta, aportando información muy útil sobre los vectores de ataque más comunes, como el phishing por correo electrónico, y las herramientas que se están utilizando para combatir el ransomware, como el software de detección de endpoints, soluciones de backup y formación en seguridad para los empleados.

Con las tácticas de ransomware en constante evolución, las empresas tienen que estar muy atentas e invertir en estrategias de protección extremadamente avanzadas y en planes de recuperación para minimizar el impacto de estas amenazas, que cada vez son más complejas.

El 16,3% de las víctimas de ransomware acabaron pagando el rescate, y el 14% también vio afectadas sus copias de seguridad

Sorprendentemente, un 16,3% de las empresas que sufrieron un ataque de ransomware en 2024 acabó pagando el rescate para recuperar sus datos, un aumento alarmante comparado con años anteriores, cuando el porcentaje no llegaba al 10%.

Este aumento refleja la desesperación de muchas empresas por recuperar sus datos, especialmente porque los ataques de ransomware son cada vez más sofisticados. Ahora, muchos atacantes no solo cifran los sistemas principales, sino que también se centran en las copias de seguridad, que antes eran el último recurso de protección para las compañías.

Hay otra cifra preocupante: el 14% de las víctimas de ransomware dijo que sus copias de seguridad también se vieron afectadas durante el ataque, ya sea porque fueron cifradas o quedaron inaccesibles. Esto complica mucho la recuperación de datos de la forma tradicional, lo que hace que sea más probable que las empresas terminen pagando el rescate.

Que los atacantes apunten a las copias de seguridad no solo frena cualquier intento de recuperación inmediata, también deja claro que hay que reforzar las estrategias de respaldo con opciones más seguras y diversificadas para protegerse ante esta creciente amenaza, como por ejemplo respaldos inmutables o almacenamiento desconectado (air-gapped).

Sin sistemas de respaldo sólidos y bien aislados, las empresas se sienten másvulnerables y esto aumenta la probabilidad de pagar los rescates.

Los ataques de phishing por correo electrónico siguen siendo la puerta de entrada más habitual para el ransomware

Los ataques de phishing a través del correo electrónico siguen siendo la principal puerta de entrada para el ransomware, y en 2024 fueron responsables de algo más de la mitad de los incidentes.

Este tipo de ataques buscan engañar a los empleados para que pinchen en enlaces peligrosos o abran archivos adjuntos infectados, permitiendo que el ransomware se cuele en la red. Suelen esquivar las medidas de seguridad aprovechándose de fallos humanos: los trabajadores, sin querer, descargan malware o entregan sus credenciales, lo que da a los atacantes acceso a sistemas críticos.

El problema es que los correos de phishing son más sofisticados con el paso del tiempo, y los ciberdelincuentes siguen afinando sus tácticas para que parezcan correos totalmente legítimos, lo que hace más difícil que los usuarios sepan si un mensaje es real o falso.

En 2022, los ataques de phishing y otros relacionados con el correo electrónico supusieron el 58,6% de los incidentes de ransomware. Esa cifra bajó un poco al 51,7% en 2023 y volvió a subir al 52,3% en 2024. Aunque los datos fluctúan ligeramente, el phishing y el correo siguen siendo los métodos más constantes y efectivos que usan los ciberdelincuentes para saltarse las defensas de las empresas.

Las pequeñas empresas son las más vulnerables al ransomware, ya que un 55,8% de los ataques están dirigidos a negocios que tienen entre 1 y 50 empleados

Las pequeñas organizaciones, sobre todo las que tienen entre 1 y 50 empleados, siguen siendo un blanco frecuente de ataques de ransomware. Esto se debe, en gran parte, a la falta de recursos y a que su infraestructura de ciberseguridad suele ser más vulnerable.

En 2024, el 55,8% de los incidentes de ransomware reportados afectaron a pequeñas empresas, lo que resalta su vulnerabilidad. Los ciberdelincuentes saben muy bien que estas compañías suelen tener menos recursos para implementar medidas de seguridad avanzadas, lo que las convierte en blancos más fáciles en comparación con organizaciones más grandes que cuentan con equipos y herramientas de ciberseguridad especializados.

El impacto financiero de estos ataques en las pequeñas empresas es alarmante: de las pequeñas empresas que sufrieron un ataque, 1 de cada 5 terminó pagando el rescate para recuperar sus datos.

Entre las empresas que pagaron el rescate, el 60% tuvo que desembolsar entre $10,000 y $100,000. El resto de víctimas pagaron menos de $10,000, pero incluso esas cantidades más pequeñas perjudican a negocios que tienen unos presupuestos más ajustados. En definitiva, son pagos que pueden afectar seriamente la salud financiera de la empresa, obligándola a recortar en iniciativas de crecimiento, salarios de empleados o en necesidades operativas.

Casi 1 de cada 10 empresas no tiene ni idea de cómo lograron infiltrarse en sus sistemas

Un gran problema en la prevención y recuperación del ransomware es que algunas empresas no tienen ninguna manera de averiguar cómo se hackearon sus sistemas.

En 2024, casi 1 de cada 10 personas encuestadas no sabía cómo el ransomware había entrado en sus sistemas. Este factor “desconocido” acaba siendo un gran problema para las empresas que quieren mejorar su ciberseguridad y evitar otro ataque el día de mañana.

Lo preocupante es que, si una empresa no sabe cuál fue el vector de ataque, tampoco conoce los puntos débiles de sus sistemas, ya que ambas cosas están relacionadas. Esto complica mucho que se puedan aplicar mejoras de seguridad específicas.

Si una empresa no tiene claro por dónde están sus vulnerabilidades, es posible que no se dé cuenta de si la brecha se debió a un correo de phishing, una red hackeada o incluso a una amenaza interna. Al final, no podrán solucionar los fallos de seguridad que permitieron la entrada del ransomware, quedando expuestos a nuevos ataques.

El problema de no saber bien cómo se produjeron los ataques es que tanto el análisis como la recuperación se complican mucho después de un incidente. Si no entienden cómo se infiltraron en el sistema, es más difícil diseñar estrategias efectivas para responder al ataque, reforzar los sistemas afectados y recuperar la actividad normal cuanto antes.

Además, esto puede retrasar la adopción de medidas preventivas, que hoy en día son imprescindibles, ya que las amenazas de ransomware no paran de evolucionar y volverse más complejas.

De cada tres personas que sufren un ataque de ransomware, una no está segura si sus datos fueron filtrados

En 2024, un 32,6% de quienes sufrieron un ataque de ransomware desconocían si sus datos confidenciales habían sido sustraídos por los cibercriminales. Esta incertidumbre refleja la creciente sofisticación de estos ataques y la dificultad que enfrentan muchas empresas para monitorear y proteger sus datos, incluso después de un incidente.

Los ciberdelincuentes que usan ransomware ya no se conforman con bloquear los archivos. Ahora roban los datos más importantes para extorsionar a las víctimas aún más. Esta doble amenaza hace que los ataques sean mucho más peligrosos.

En estos casos, los ciberdelincuentes no solo piden un rescate para desbloquear los sistemas, sino también para no publicar o vender los datos robados. El hecho de que casi un tercio de las víctimas no sepa si sus datos fueron robados muestra que muchas empresas todavía no tienen las herramientas ni los protocolos necesarios para rastrear el movimiento de datos y detectar accesos no autorizados.

Esta falta de información puede ser un verdadero desastre. Si las empresas no saben si sus datos han sido robados, es fácil que estén infravalorando el impacto real del ataque.

No detectar el robo de datos puede dejar expuesta información sensible durante más tiempo, perjudicar la reputación de la empresa, acarrear problemas legales e incluso incumplir normativas de protección de datos como el GDPR o la CCPA.

El 81,3% de las empresas ofrece formación a sus empleados para prevenir el ransomware

La formación de los trabajadores se ha vuelto clave en las defensas de las organizaciones frente a este tipo de ataques.

En 2024, el 81,3% de las empresas afirmó educar a sus empleados para reconocer e identificar posibles ataques de ransomware.

Esto muestra que la preparación de los trabajadores está mejorando de forma continua y resalta la importancia de concienciar al personal para que sea la primera línea de defensa frente a las ciberamenazas.

Dado que los ataques de phishing y de ingeniería social siguen siendo puertas de entrada habituales para el ransomware, es fundamental que los empleados tengan los conocimientos y habilidades necesarias para identificar estas amenazas. Con buenos programas de formación, pueden aprender a detectar correos sospechosos, evitar hacer clic en enlaces peligrosos y reportar cualquier actividad rara.

Además de saber identificar intentos de phishing, la formación también enseña a los empleados buenas prácticas de ciberseguridad, como crear contraseñas seguras, evitar usar dispositivos no fiables y seguir los protocolos de la empresa para manejar datos sensibles.

El objetivo no es solo evitar que el ransomware se infiltre, sino también crear una cultura de seguridad que se extienda por toda la empresa.

Eso sí, la efectividad de estos programas depende mucho de cómo se implementen. La formación continua y las actualizaciones frecuentes son fundamentales, ya que las tácticas de los ciberdelincuentes cambian constantemente.

Las empresas que invierten en mantener sus programas de formación actualizados se aseguran de que sus empleados estén atentos a las últimas amenazas, desde esquemas de spear-phishing hasta tácticas avanzadas de ingeniería social.

Las empresas buscan que los programas de formación sobre ransomware sean más “accesibles” en cuanto a tiempo

Aunque la mayoría ya ofrece formación a sus empleados para prevenir estos ataques, muchas están intentando que estos programas sean más eficientes.

En 2024, el 52,2% de las empresas señaló que sus programas de formación podrían mejorar haciéndolos más “accesibles en cuanto a tiempo”. Encontrar un equilibrio entre el nivel de la formación y el tiempo disponible para educar en ciberseguridad es un reto.

La necesidad de programas más accesibles en cuanto a tiempo viene de que los empleados suelen estar saturados de tareas, lo que hace difícil dedicar largos periodos a formación en ciberseguridad. Las sesiones tradicionales, que pueden ser extensas y con mucha información, corren el riesgo de abrumar a los empleados, lo que acaba reduciendo tanto su atención como su capacidad para retener lo aprendido.

Por eso, muchas empresas buscan formas de optimizar estos programas sin perder calidad ni efectividad.

Una solución que está ganando fuerza es el uso de módulos de microaprendizaje: sesiones breves y centradas en temas específicos, que se presentan en pequeñas dosis fáciles de digerir.

Al dividir conceptos complejos de ciberseguridad en lecciones más cortas y manejables, los empleados pueden absorber la información de forma más efectiva, sin interrumpir demasiado su jornada de trabajo. Además, el microaprendizaje permite refrescar el contenido con mayor frecuencia, manteniendo la información presente sin exigir grandes inversiones de tiempo.

Mejorar las habilidades del departamento de TI es una prioridad principal cuando se aumentan los presupuestos de seguridad

En 2024, cuando se preguntó a los encuestados dónde destinarían un presupuesto extra de seguridad, el 27,4% dio prioridad a formar mejor a sus equipos de TI. Este enfoque creciente en la capacitación refleja que cada vez más empresas reconocen la importancia de contar con equipos de TI bien preparados y con conocimientos para hacer frente a ataques de ransomware cada vez más sofisticados.

Con la evolución de las amenazas de ransomware, los equipos de TI necesitan mucho más que conocimientos básicos de ciberseguridad. Deben ser auténticos expertos en protocolos de seguridad avanzados, detección de amenazas y respuesta a incidentes, y estar al día con las últimas tácticas de ransomware.

Potenciar las habilidades del personal de TI asegura que las empresas se mantengan ágiles y preparadas para hacer frente a estos retos. Con una formación especializada, los profesionales de TI pueden identificar mejor las vulnerabilidades, implementar herramientas de seguridad de última generación y desarrollar planes de recuperación ante desastres más sólidos y adaptados a las amenazas actuales.

Además, invertir en el desarrollo profesional de los equipos de TI puede llevar a medidas de seguridad mucho más proactivas. En lugar de depender solo de herramientas automatizadas o servicios externalizados, un equipo de TI bien formado es capaz de analizar riesgos potenciales en tiempo real y responder rápido a cualquier brecha o señal de infiltración de ransomware.

Su experiencia resulta especialmente crucial en situaciones donde una respuesta rápida marca la diferencia entre contener una brecha o sufrir un compromiso generalizado del sistema.

El auge de la IA generativa ha disparado el miedo a los ataques de ransomware

En 2024, esta tecnología ha hecho que aumenten considerablemente las preocupaciones, y el 66,9% de los encuestados reconoce que su disponibilidad les genera más temor a convertirse en objetivo de ransomware.

La IA generativa, capaz de crear contenido muy realista y convincente, está siendo cada vez más utilizada por los ciberdelincuentes para diseñar esquemas de phishing más sofisticados y llevar a cabo ataques complejos de ingeniería social.

Esta tecnología permite a los atacantes automatizar y ampliar sus esfuerzos con una precisión nunca vista. Los correos de phishing generados por IA, por ejemplo, pueden copiar el tono, el estilo e incluso detalles personales de comunicaciones reales, lo que los hace mucho más difíciles de detectar para los usuarios.

Como resultado, las defensas tradicionales que se centran en identificar señales claras de actividad maliciosa, como correos con mala redacción o remitentes desconocidos, están perdiendo eficacia. Los esquemas de phishing con IA pueden engañar incluso a los empleados más atentos, lo que aumenta las probabilidades de que el ransomware se cuele con éxito.

Además, la IA generativa puede aprovechar vulnerabilidades de forma más efectiva, creando malware que se adapta al entorno y esquiva los protocolos de seguridad habituales. Esta capacidad de adaptación supone un reto cada vez mayor para las empresas, ya que se ven obligadas a invertir en soluciones de seguridad más avanzadas, también impulsadas por IA, para mantenerse al día en un panorama de amenazas que cambia constantemente.

La concienciación sobre la vulnerabilidad de Microsoft 365 al ransomware sigue mejorando

En 2024, solo un 9,8% de los encuestados dijo no saber o no creer que los datos de Microsoft 365 pudieran verse afectados por un ataque de ransomware, lo que muestra un mayor conocimiento del riesgo.

Esto supone una mejora considerable respecto a 2023, cuando el 15,6% de los encuestados desconocía el riesgo, y un avance aún mayor frente a 2022, cuando el 25,3% tenía la misma opinión. Esta caída constante en el desconocimiento refleja la efectividad de los esfuerzos educativos para destacar la amenaza que representa el ransomware para servicios en la nube como Microsoft 365.

La evolución a lo largo de los años muestra una tendencia positiva en la concienciación sobre ciberseguridad, ya que cada vez más empresas son conscientes de que los entornos en la nube no están a salvo de ataques de ransomware.

La falta de comprensión en 2022 refleja esas primeras etapas en las que muchas empresas empezaban a usar la nube, centrándose más en la comodidad y funcionalidad de plataformas como Microsoft 365 que en sus posibles vulnerabilidades de seguridad.

Sin embargo, a medida que los ataques de ransomware dirigidos a servicios en la nube se han hecho más frecuentes, las empresas se han dado cuenta de que es necesario proteger sus datos dentro de estos sistemas.

En 2023, gracias a las campañas educativas y a la mayor concienciación pública, el número de empresas que subestimaban los riesgos de Microsoft 365 bajó al 15,6%. Para 2024, este porcentaje se redujo aún más al 9,8%, lo que demuestra que las empresas están tomando medidas más proactivas para proteger sus entornos en la nube.

El 54,6% de las organizaciones ya ha contratado seguros contra ransomware

La adopción de seguros contra ransomware sigue creciendo con fuerza: en 2024, el 54,6% de las empresas encuestadas afirmó tener una póliza. Esto supone un aumento importante respecto a años anteriores, ya que en 2022 solo el 37,9% contaba con este tipo de seguro, y en 2023 la cifra subió al 42,2%.

Este crecimiento constante año tras año muestra un cambio en cómo las empresas gestionan el riesgo de ransomware, cada vez más conscientes de la importancia de trasladar parte de la carga financiera a un seguro.

El aumento en la compra de pólizas contra ransomware refleja que más empresas se dan cuenta de que estos ataques tienen un impacto económico enorme. No solo se enfrentan a los pagos del rescate, sino también a los costes de recuperación, posibles sanciones y al parón de su actividad mientras se soluciona el problema.

Con los ataques de ransomware volviéndose cada vez más sofisticados y complicados de manejar, más empresas recurren a los seguros para protegerse de estas amenazas. Estas pólizas suelen cubrir un montón de gastos relacionados con el ataque: desde los pagos de rescate hasta honorarios legales, investigaciones forenses y estrategias de relaciones públicas. Con tácticas de ransomware cada vez más complejas, como la doble extorsión (donde los atacantes cifran y además roban datos), los riesgos financieros no han hecho más que crecer.

El auge de estas pólizas demuestra que las empresas buscan maneras de reducir esos riesgos y garantizar que su negocio siga funcionando si llega a sufrir un ataque.

Pero tener un seguro contra ransomware no significa que las empresas puedan relajarse. Las aseguradoras piden cada vez más que las organizaciones cumplan con estrictos estándares de seguridad antes de ofrecer cobertura: tener buenos sistemas de respaldo, formar bien a sus empleados y contar con protocolos avanzados de ciberseguridad.

Es probable que esta tendencia lleve a las empresas a reforzar sus medidas de seguridad, porque aquellas que no cuenten con las protecciones adecuadas podrían enfrentarse a primas más altas o, directamente, quedarse sin cobertura.

---

Sobre los participantes de la Encuesta de Ataques de Ransomware de Hornetsecurity 2024

Nuestra encuesta de ataques de ransomware de 2024 ofrece datos muy interesantes sobre los 502 profesionales de TI que participaron. Una parte importante, el 52,2%, tiene más de 21 años de experiencia en el sector, lo que demuestra la presencia de profesionales con mucha trayectoria.

Además, el 18,5% cuenta con entre 16 y 20 años de experiencia, mientras que los más nuevos en el sector (con 1 a 5 años de experiencia) representan el 7% de los encuestados. Esta diversidad en los niveles de experiencia nos da una perspectiva completa de cómo distintos grados de especialización pueden influir en las estrategias para prevenir y recuperarse de ataques de ransomware.

En cuanto a los roles laborales, el 36,1% de los encuestados se identificó como Proveedores de Servicios Gestionados (MSP), un perfil muy común en el ámbito de TI, ya que gestionan servicios tecnológicos para clientes externos. Los administradores de sistemas sumaron un 21,1%, mientras que el 13,7% eran dueños de empresas que se encargan personalmente del área de TI. Los ejecutivos de nivel C, como CIO, CTO y CISO, representaron el 10,6%, mostrando una amplia variedad de perfiles con distintos niveles de responsabilidad en la toma de decisiones de TI.

Respecto al tamaño de las empresas, la mayoría de los participantes (69,9%) trabaja en pequeñas compañías con entre 1 y 50 empleados. Las empresas medianas, con 51 a 200 trabajadores, representaron el 13,4%, mientras que las grandes empresas (más de 1.000 empleados) sumaron el 8,7% de los encuestados. Esta variedad en el tamaño de las organizaciones aporta información valiosa sobre cómo negocios de diferentes dimensiones se enfrentan a las amenazas de ransomware.

La distribución geográfica de los encuestados añade otro valor a la encuesta. La mayoría, el 60,7%, está en Norteamérica, seguido de Europa con un 34,4%. También participaron regiones como Asia, África, Australia, Oriente Medio y Sudamérica, aunque en menor medida. Esta distribución internacional refleja el alcance global de las amenazas de ransomware y cómo empresas de todo el mundo están lidiando con ellas.

En cuanto a los sectores representados, la encuesta se centró principalmente en empresas de Software y TI (49,9%), seguidas por sectores como Servicios Financieros (5,9%), Ingeniería y Fabricación (4,9%), Salud (4,9%) y Gobierno/Administración Pública (3,6%). Esta variedad de industrias ofrece una mejor perspectiva de cómo diferentes sectores se ven afectados por los ataques de ransomware y cómo están respondiendo a ellos.