Aunque solo representa el 5% del total de incidentes, el ransomware sigue siendo uno de los ciberataques con mayor capacidad de paralizar la actividad de una empresa y su capacidad destructiva lo convierte en la amenaza más temida por las compañías. Así lo refleja el Informe de Siniestros Cibernéticos de 2025 publicado por Stoïk, primera insurtech de Europa especializada en riesgos cibernéticos y ciberseguridad para empresas con ingresos de hasta 1.000 millones de euros.
Según los datos recogidos por el CERT interno de la compañía, el tiempo máximo de permanencia de los atacantes dentro de los sistemas de una compañía alcanzó los 22 días, con una media de 6 días y medio. Durante ese período, los ciberdelincuentes se desplazan lateralmente por la red, amplían sus privilegios de acceso, sustraen información sensible y preparan el despliegue del ransomware sin levantar alertas.
«Los ciberdelincuentes ya no solo penetran en las compañías, cifran y se van. Ahora permanecen semanas dentro, observando, robando credenciales, filtrando datos y preparando su estrategia de extorsión antes de activar el cifrado», explica Vincent Nguyen, director de ciberseguridad en Stoïk. «En algunos casos incluso, detectamos comportamientos parecidos al espionaje, con atacantes que permanecen dentro de la red durante semanas recopilando información empresarial antes de desplegar el ransomware».
Del cifrado a la extorsión multicanal
El informe de Stoïk revela un cambio estructural en las tácticas empleadas por los grupos de ransomware. El cifrado de datos ha dejado de ser el único mecanismo de presión y, en su lugar, se ha observado un aumento significativo de la extorsión multicanal, un enfoque que combina múltiples vías de presión de forma simultánea para maximizar el impacto sobre la víctima.
Entre las tácticas más recurrentes destaca la doble extorsión, que combina el cifrado con la extracción de datos sensibles y la amenaza de filtración amparándose en el marco sancionador del RGPD. A esta se suman las llamadas telefónicas directas a centralitas o directivos para forzar una negociación, los ataques DDoS coordinados para hacer visible la crisis ante clientes y partners, y el contacto directo con terceros como proveedores, clientes o empleados de la empresa afectada. En paralelo, algunos grupos recurren a la publicación de pruebas en leak sites de la dark web, incluyendo vídeos, capturas de pantalla o datos confidenciales, e incluso contactan con periodistas o publican en redes sociales para amplificar el daño reputacional.
«Esta evolución refleja la adaptación de los ciberdelincuentes a un entorno donde cada vez más empresas se niegan a pagar rescates, al contar con mejores herramientas y equipos especializados. Como respuesta, los atacantes han ampliado sus tácticas para acrecentar la presión psicológica, reputacional y regulatoria, transformando cada incidente en una campaña coordinada de presión», señala Nguyen. «Esto cambia por completo la gestión del incidente y ya no basta con una respuesta técnica. Ahora el ransomware también debe tratarse como una crisis reputacional y humana».
Así, en 2025 las organizaciones que gestionaron con mayor eficacia los incidentes de ransomware en 2025 fueron aquellas que disponían de protocolos predefinidos de comunicación, directrices para medios y preparación psicológica para afrontar días de presión pública e interna.
La prevención funciona, pero sigue habiendo margen de mejora
En un entorno donde el riesgo cero no existe para las empresas, estas deberán encontrar una solución que combine medidas preventivas ante una posible amenaza con soluciones reactivas con las que poder controlar la situación de riesgo. Con más de 3.000 empresas activas semanalmente en la plataforma, Stoïk ha logrado reducir de forma significativa la exposición de sus asegurados mediante monitorización continua y alertas proactivas. Así, el 70% de las vulnerabilidades críticas fueron corregidas gracias a alertas proactivas, bloqueando directamente posibles intrusiones.
Pese a ello, los datos muestran que el 20% de los casos de ransomware podrían haberse evitado si los asegurados o sus proveedores IT hubieran actuado sobre las vulnerabilidades específicas detectadas por los escaneos de Stoïk.
Para hacer frente a esta realidad, Stoïk ha diseñado un modelo de protección 360° que integra prevención, detección, respuesta y transferencia de riesgo en una única plataforma, acompañando a las empresas antes, durante y después de un ciberataque. Su herramienta Stoïk Protect realiza un escaneo continuo de la superficie de ataque y monitoriza credenciales comprometidas en la dark web, mientras que Stoïk MDR, su servicio de detección y respuesta gestionada 24/7, operado íntegramente desde Europa, resulta clave para reducir precisamente ese tiempo de permanencia de los atacantes en los sistemas. A su vez, el equipo CERT interno de la compañía, 100% internalizado y con presencia dedicada en España, lidera la recuperación desde el primer momento del incidente.
«Nuestro enfoque parte de una premisa clara. No basta con asegurar el riesgo, hay que trabajar activamente para reducirlo. Cada vulnerabilidad corregida a tiempo es un ataque que no llega a producirse», concluye Nguyen.
