Sophos ha publicado su informe El Estado del Ransomware en Retail 2025, basado en encuestas a responsables de TI y ciberseguridad de 16 países. El estudio revela que el 46% de los ataques en retail se originaron en brechas de seguridad desconocidas, mientras que el 58% de las organizaciones con datos cifrados terminaron pagando el rescate.
El informe también muestra que la demanda de rescate alcanzó casi una media de 2 millones de dólares (el doble que el año pasado) y que los atacantes están diversificando técnicas, combinando explotación de vulnerabilidades, extorsión y compromiso de cuentas para maximizar su impacto en el sector.
Causas de los ataques
El comercio minorista continúa siendo un objetivo prioritario para los ciberdelincuentes debido a su alta dependencia tecnológica, la criticidad de sus operaciones y el valor de los datos que gestionan. La complejidad de sus ecosistemas que abarcan pagos, inventarios y plataformas online amplía la superficie de ataque y facilita la explotación de cualquier brecha operativa o técnica.
En este contexto, la explotación de vulnerabilidades volvió a ser la causa técnica más frecuente, presente en el 30% de los ataques, seguida del uso de credenciales comprometidas y del phishing. A nivel organizativo, casi la mitad de los incidentes (el 46%) se originaron en brechas desconocidas, mientras que la falta de experiencia especializada y las carencias de protección afectaron a más del 40% de los casos, mostrando una exposición multifactorial.
Impacto del ransomware en retail
Las demandas de rescate en el sector retail se duplicaron en un año y alcanzaron los 2 millones de dólares de media, mientras que el pago promedio solo aumentó un 5% y se situó en un millón. Aun así, el 58% de las organizaciones que sufrieron cifrado terminaron pagando para recuperar sus datos, aunque sólo un 29% abonaron la cifra inicial exigida y la mayoría lograron reducirla, lo que sugiere una mayor resistencia y un uso más frecuente de asesoramiento experto.
El coste medio de recuperación (excluyendo rescates) cayó un 40% hasta 1,65 millones de dólares, su nivel más bajo en tres años, gracias a una mejor detección temprana y a la adopción de servicios especializados. Además, los tiempos de restablecimiento también mejoraron: el 51% de los retailers se recuperaron en una semana y el 96% lo hicieron en menos de tres meses, mientras que el 98% de las empresas afectadas por cifrado consiguieron restaurar sus datos pese al descenso en el uso de copias de seguridad.
Impacto sobre los equipos de TI
Los ataques de ransomware tuvieron un efecto directo sobre los equipos de TI y ciberseguridad, ya que el 47% de los profesionales del sector retail experimentaron un aumento de presión tras sufrir cifrado de datos. Este incremento refleja la exigencia creciente de responder con rapidez ante incidentes que pueden comprometer operaciones críticas.
El impacto organizativo también fue significativo: en el 26% de los casos se produjeron cambios en los equipos directivos responsables de TI y ciberseguridad tras un ataque. Estos datos evidencian cómo el ransomware no sólo afecta a sistemas y procesos, sino también a la estructura y dinámica interna de los equipos técnicos.
