Sophos ha publicado su informe Estado de Ransomware en la Fabricación y la Producción 2025, revelando un cambio significativo en el comportamiento de los atacantes a medida que los fabricantes mejoran sus defensas iniciales. El estudio global, basado en una encuesta a 332 organizaciones afectadas por ransomware en el último año, muestra que, si bien las tasas de cifrado de datos han disminuido considerablemente, los adversarios están recurriendo cada vez más al robo de datos y a tácticas de extorsión pura para obtener ventajas.
Según el informe, solo el 40 por ciento de los ataques de ransomware contra fabricantes resultaron en el cifrado de datos, el nivel más bajo en cinco años y una fuerte caída con respecto al 74 por ciento en 2024. Al mismo tiempo, los ataques de extorsión pura han aumentado del 3 por ciento al 10 por ciento año tras año, lo que subraya un cambio más amplio hacia el robo de datos como el principal punto de presión. De las organizaciones que experimentaron cifrado, el 39 por ciento también sufrió el robo de datos, una de las tasas intersectoriales más altas registradas por Sophos.
El estudio también destaca una mejora en la detección temprana. La mitad de las organizaciones manufactureras detuvieron un ataque antes de que pudiera ocurrir el cifrado, más del doble que el 24 por ciento del año pasado. A pesar de estas ganancias defensivas, el 51 por ciento de aquellos que sufrieron cifrado aún pagaron el rescate, con un pago medio de 1 millón de dólares frente a una demanda media de 1,2 millones de dólares.
Las métricas de recuperación han mejorado, con una disminución del 24 por ciento en los costos promedio de recuperación (excluyendo el rescate) hasta los 1,3 millones de dólares. La mayoría de las organizaciones, el 58 por ciento, restablecieron completamente las operaciones en una semana, un aumento con respecto al 44 por ciento del año pasado. Sin embargo, el impacto humano sigue siendo grave: el 47 por ciento de los encuestados informó un aumento del estrés en los equipos de TI y seguridad, el 44 por ciento dijo que aumentó la presión de los líderes superiores y más de un cuarto experimentó cambios en el liderazgo después del incidente.
Sophos X-Ops observó 99 grupos de ransomware distintos que se dirigieron a organizaciones manufactureras en los últimos 12 meses. Entre los más activos se encuentran Akira (GOLD SAHARA), Qilin (GOLD FEATHER) y PLAY (GOLD ENCORE). En más de la mitad de los incidentes gestionados por Sophos Emergency Incident Response, los atacantes participaron en una doble extorsión, robando y cifrando datos, y amenazando con publicar información confidencial en sitios de filtración.
Alexandra Rose, Directora de Investigación de Amenazas de Sophos’ Counter Threat Unit, dijo que la sensibilidad operativa de la fabricación continúa convirtiéndola en un objetivo atractivo. Señaló que incluso un breve tiempo de inactividad puede interrumpir la producción y las cadenas de suministro, lo que brinda a los atacantes una fuerte influencia. A pesar de la reducción en las tasas de cifrado, Rose dijo que las consecuencias financieras y operativas siguen siendo significativas, lo que refuerza la necesidad de defensas en capas, visibilidad continua y procesos de respuesta a incidentes bien ensayados.
Para fortalecer la resiliencia, Sophos recomienda abordar las vulnerabilidades de la causa raíz, implementar una protección robusta de puntos finales y servidores, mantener y probar los planes de respuesta a incidentes y las copias de seguridad, y garantizar una supervisión las 24 horas del día, los 7 días de la semana. Para las organizaciones que carecen de recursos internos, asociarse con un proveedor de Detección y Respuesta Gestionadas puede mejorar significativamente la visibilidad de las amenazas y reducir el impacto de los ataques.
