Resumen del Blog del Informe de Tendencias de Ransomware de Veeam
SBVeeam recientemente lanzó su informe anual sobre ransomware para crear conciencia sobre la crisis moderna del ransomware y compartir conocimientos sobre cómo los actores de amenazas atacan a sus víctimas. Este último informe destaca las 6 principales tendencias de ransomware observadas este año y ofrece información sobre su evolución esperada.
En este informe, Veeam encuestó a líderes de TI, Directores de Seguridad de la Información (CISOs) y profesionales de seguridad en 1,300 organizaciones de todo el mundo para ver cómo se recuperaron de ciberataques.
El propósito de este blog es resumir el informe de 18 páginas de Veeam en un breve análisis de cada una de las seis tendencias destacadas, los factores clave de éxito sobre cómo las organizaciones se recuperaron con éxito de las amenazas cibernéticas y los impactos positivos de cambiar a una postura proactiva de ciberseguridad.
Las 6 Principales Tendencias del Ransomware en 2025
#1: Las Fuerzas del Orden Obligan a los Actores de Amenazas a Adaptarse
En 2024, las agencias de aplicación de la ley desmantelaron con éxito varios grupos importantes de ransomware, incluyendo LockBit, BlackCat y Black Basta. Si bien estas desarticulaciones fueron un paso significativo en la defensa cibernética, provocaron un cambio en el ransomware, muy parecido a un virus que se adapta para eludir nuevas vacunas.
Los actores de amenazas más pequeños y los cibercriminales independientes han proliferado, apuntando cada vez más a pequeñas y medianas empresas (PYMES) con defensas más débiles. Además, algunos grupos se han alejado de ataques a infraestructuras críticas de alto perfil para evitar el escrutinio de las fuerzas del orden, adaptando sus estrategias para continuar operando.
#2: Aumentan los Ataques de Exfiltración de Datos
Los actores de ransomware priorizan la exfiltración de datos como táctica principal, con un número creciente de víctimas que pagan rescates sin que se produzca ninguna encriptación. Este cambio hacia ataques de "romper y agarrar" a menudo explota aplicaciones y infraestructuras en la nube mal aseguradas, y se acompaña de un aumento en la doble extorsión, donde los datos robados son tanto bloqueados como amenazados con publicación.
Al mismo tiempo, los atacantes han reducido drásticamente el tiempo de permanencia, el período entre la primera violación y la ejecución del ataque, con algunos de los principales grupos de ransomware operando dentro de las 24 horas posteriores a la violación de una red. Aprovechando el movimiento lateral y apuntando a infraestructuras críticas como hipervisores VMware ESXi, estos grupos obligan a las víctimas a pagar, particularmente cuando las defensas de ciberseguridad débiles dificultan la detección y contención.
#3: Los Pagos de Ransomware Están Disminuyendo
Los pagos de ransomware disminuyeron de 2023 a 2024, marcando un cambio positivo en la resiliencia cibernética. Más de un tercio de las organizaciones afectadas se negaron a pagar (36%), y el 25% recuperó sus datos sin un rescate. Aquellos que sí pagaron a menudo negociaron montos más bajos, con el 60% pagando menos de la mitad de la demanda inicial. Y vale la pena mencionar que el 17% de los encuestados aún pagaron el rescate pero nunca recuperaron sus datos.
Los expertos en respuesta a incidentes son contribuyentes clave a estos hechos: las empresas que trabajan con Coveware by Veeam fueron significativamente menos propensas a pagar, reforzando el valor de las medidas proactivas de ciberseguridad.
Las organizaciones están resistiendo las demandas de ransomware debido a la falta de convicción de que recuperarán sus datos: los hackers a menudo no liberan los datos incluso después del pago. Para contrarrestar esto, muchos han fortalecido sus estrategias de respuesta a incidentes, encontrando proveedores que ofrecen copias de seguridad inmutables para garantizar la protección y recuperación de datos sin pagar un rescate.
#4: Consecuencias Legales Emergentes de los Pagos de Rescate
La creciente presión regulatoria y la aplicación coordinada a través de jurisdicciones también han contribuido a la disminución de los pagos de rescate. La Iniciativa Internacional Contra el Ransomware (CRI) ha unido a 68 países en la interrupción de operaciones de ransomware, con 40 miembros comprometiéndose a disuadir a las organizaciones de pagar rescates.
“El 69% de las organizaciones que pagaron un rescate fueron atacadas más de una vez.”
—Tendencias de Ransomware 2025 & Estrategias Proactivas
Algunos gobiernos, incluidos el Reino Unido y dos estados de EE. UU., han promulgado o propuesto leyes que prohíben los pagos de rescate en el sector público. Además, el FBI advierte en contra de pagar rescates, y el Tesoro de EE. UU. ha declarado riesgos potenciales de sanciones, reforzando la necesidad de que las organizaciones evalúen las repercusiones legales de pagar el rescate en momentos de crisis.
#5: La Colaboración Refuerza la Resiliencia Contra el Ransomware
Los equipos de seguridad están sobrecargados debido a múltiples vectores de ataque. Mejorar la colaboración entre las operaciones de TI y los equipos de seguridad ayuda a las organizaciones a fortalecer sus defensas, ya que el cambio a nivel de empresa nunca se materializa en un silo. Sin embargo, el 52% dice que se necesitan cambios importantes para alinear estos grupos.
Mientras tanto, los proveedores de tecnología están trabajando juntos para compartir información sobre ransomware y ofrecer soluciones de seguridad. Informar sobre ciberataques a las fuerzas del orden y redes de la industria también ayuda a las organizaciones a mantenerse por delante de las amenazas.
#6: Aumentan los Presupuestos para Seguridad y Recuperación, pero Se Necesita Más
De las organizaciones encuestadas, el 94% aumentó su presupuesto de recuperación para 2025 y el 95% aumentó su presupuesto de prevención. A pesar del aumento en los presupuestos de ciberseguridad y recuperación, las organizaciones aún enfrentan brechas significativas en las defensas contra ransomware; la necesidad de más recursos está superando el presupuesto que lo apoya. Veeam observó que las organizaciones tienden a priorizar la seguridad sobre la recuperación; aunque se debe encontrar un equilibrio, la falta de inversión en cualquiera de los dos puede ser una vulnerabilidad potencial para los actores de amenazas.
Factores Clave de Éxito
Recuperarse de un ataque de ransomware requiere acción rápida y un enfoque estructurado. Las organizaciones pueden fortalecer su recuperación actuando rápidamente para contener la violación, priorizando la restauración de datos sobre los pagos de rescate y mejorando la seguridad para prevenir futuros incidentes. La recuperación efectiva también depende de la coordinación entre equipos y la capacitación continua de los empleados para mejorar la conciencia cibernética.
En el núcleo de una estrategia resiliente está la capacidad de maximizar la recuperación de datos y sistemas: por ejemplo, apuntando a la restauración de más del 80% de los servidores y el 90% de los datos afectados. Igualmente crítico es mejorar la preparación a través de ejercicios rigurosos de ciberseguridad, estrategias de respaldo validadas y pruebas frecuentes, especialmente dado que las organizaciones a menudo sobreestiman su preparación, con la confianza disminuyendo en un promedio del 20% después del ataque. Énfasis en la Proactividad.
Veeam insta a todos los lectores a pasar de una posición reactiva a una proactiva en resiliencia cibernética y recuperación. Elabore un plan antes de que el ransomware ataque, ya que es una cuestión de cuándo, no de si. En Object First, seguimos una mentalidad de “Asumir Violación” que acepta que individuos, dispositivos y servicios que intentan acceder a los recursos de la empresa están comprometidos y no deben ser confiables. La mejor manera de planificar una recuperación resiliente y exitosa es asegurar los repositorios de datos con copias de seguridad inmutables y verificación de copias de seguridad para que los atacantes no puedan modificar o eliminar archivos de recuperación.
Veeam informa que solo el 32% de los encuestados utilizaron repositorios inmutables, a pesar de que el 89% de las organizaciones informaron que los atacantes apuntaron a sus copias de seguridad. Dada esta amenaza persistente, asegurar las copias de seguridad con inmutabilidad es crítico. Su verdadera última línea de defensa no son AV, IAM, IDS, EDR o XDR, es una solución segura, backup inmutable y los cibercriminales lo saben.
