CÓDIGO ABIERTO

Cuando los datos dejan de estar en tus manos: así actúa el ransomware

08 enero 2026

Imagina que un lunes por la mañana llegas a tu oficina, enciendes tu ordenador y descubres que no puedes abrir ni un solo archivo: los documentos, hojas de cálculo e incluso las copias de seguridad están bloqueadas. En su lugar, un mensaje te exige un pago para recuperar el acceso. Esto es lo que hace el ransomware: un tipo de software (ware) malicioso que secuestra información y sistemas de una empresa, pidiendo un rescate (ransom) a cambio de liberarlos.

De lo cotidiano a lo técnico: cómo funciona el ransomware.

El ransomware no daña físicamente los equipos, pero bloquea el acceso a la información. Para entrar en una empresa, los ciberdelincuentes suelen usar:

• Correos electrónicos falsos con enlaces o archivos maliciosos (conocido como phishing).
• Software desactualizado o con vulnerabilidades sin parchear.
• Accesos remotos inseguros, como servicios de escritorio remoto mal protegidos.

Una vez dentro, el malware se mueve por la red buscando sistemas críticos —bases de datos, servidores, copias de seguridad— y los cifra. Solo tras pagar el rescate, normalmente en criptomonedas, se recibe una clave de descifrado, aunque nunca hay garantía de que funcione.

Impacto global y en España.

A nivel global, casi el 63% de las empresas sufrieron un ataque de ransomware en 2025 (Statista). El coste medio de recuperación se situó en 1,53 millones de dólares por incidente, y casi la mitad de las empresas afectadas decidió pagar el rescate (Bright Defense).

En España, los datos también son preocupantes. El último informe Threat Landscape Report de Thales revela un preocupante incremento de los ciberataques de ransomware en nuestro país.

• España se posiciona como el séptimo más afectado del mundo.
• Se han registrado 79 incidentes en el primer semestre de 2025.
• Los sectores de industria (1.318 ataques), consultoría (464), servicios (273) y sanidad (243) se presentan como los más afectados a nivel mundial.

El modelo Ransomware-as-a-Service (RaaS) se está consolidando, permitiendo a desarrolladores alquilar su malware a terceros. En España, los grupos más activos en 2025 fueron Akira, con 15 ataques registrados; Qilin, con 10; y Fog, con 5.

 

 

Durante la presentación del informe, Threat Landscape Report 2025, ante medios de comunicación, Lourdes Mora, Intelligence Analysts Team Leader de Thales, declaró que:

«Las campañas de operaciones de influencia se han consolidado como herramientas estratégicas de gran alcance. Son utilizadas por actores estatales y no estatales para manipular la opinión pública y socavar la estabilidad democrática de los países, aprovechando tecnologías como la inteligencia artificial generativa. Este fenómeno evidencia cómo la guerra híbrida, al combinar diferentes amenazas, redefine los conflictos internacionales y plantea nuevos retos para la seguridad de los Estados»

Tendencias y estrategias de defensa.

Los ataques están evolucionando: se incorporan inteligencia artificial y técnicas sofisticadas que facilitan la extorsión y la evasión de defensas tradicionales.

Entre las estrategias de defensa más efectivas:

• Copias de seguridad robustas y aisladas, que permiten recuperar datos sin costes.
• Formación continua del personal para reconocer intentos de phishing.
• Actualizaciones y parches regulares en sistemas y software.
• Pentesting o test de penetración, que simula ataques para detectar vulnerabilidades antes de que sean explotadas (INCIBE).

El ransomware no es solo una noticia de tecnología: afecta a empresas de cualquier tamaño y sector. Comprender cómo funciona, qué impacto puede tener y qué medidas pueden reducir el riesgo permite tomar decisiones informadas sobre seguridad digital. No se trata de alarmarse, sino de conocer la amenaza para poder actuar de manera efectiva.