Sophos State of Ransomware 2023 Wpes

El estado del
ransomware 2023
Resultados de una encuesta independiente y desvinculada
de cualquier proveedor a 3000 responsables de TI/ciberseguridad
en 14 países, realizada entre enero y marzo de 2023.
Monográficos de Sophos. Mayo de 2023

El estado delransomware 2023
Introducción
El estudio anual de Sophos sobre las experiencias reales con el ransomware
de los responsables de TI/ciberseguridad deja clara la realidad a la que se enfrentan
las organizaciones en 2023. Revela las causas raíz más comunes de los ataques
3000
encuestados
y arroja nueva luz sobre cómo las experiencias con el ransomware difieren
en función de los ingresos de la organización. El informe también expone el impacto
empresarial y operativo de pagar el rescate para recuperar los datos en lugar 14
de utilizar copias de seguridad. países
Acerca de la encuesta
100-5000
Sophos encargó una encuesta independiente y desvinculada de cualquier empleados
proveedor a 3000 responsables de TI/ciberseguridad en organizaciones de entre
100 y 5000 empleados en 14 países de América, EMEA y Asia-Pacífico. La encuesta
Enero-marzo 2023
se realizó entre enero y marzo de 2023 y a los encuestados se les pidió que
respondieran a partir de sus experiencias del año anterior.
periodo de la encuesta
Dentro del sector educativo, los encuestados se dividieron en educación primaria

y secundaria (comprendiendo a los estudiantes hasta 18 años) y educación
< 10 millones USD -
superior (estudiantes a partir de 18 años). > 5000 millones USD
ingresos anuales

Contenido
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Índice de los ataques de ransomware . . . . . . . . . . . . . . . . . . . . . . . . . 4
Causas raíz de los ataques de ransomware . . . . . . . . . . . . . . . . . . . . . 6
Índice del cifrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Recuperación de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
El impacto de los ciberseguros en la recuperación de datos . . . . . . . . . .11
Pagos de rescate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Costes de recuperación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Coste de recuperación por ingresos . . . . . . . . . . . . . . . . . . . . . . . . . .15
Impacto empresarial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Pérdida de negocio/ingresos por sector . . . . . . . . . . . . . . . . . . . . . . .17
Tiempo de recuperación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Gráficos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Metodología de investigación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Índice de los ataques de ransomware Ataques por sector

El estudio reveló que el índice de ataques de ransomware se ha mantenido El sector educativo fue el más propenso a sufrir un ataque de ransomware
en el mismo nivel: un 66 % de los encuestados indicaron que sus organizaciones en el último año: el 80 % de las escuelas primarias y secundarias y el 79 %
fueron víctimas de ataques de ransomware en el año anterior, igual que en nuestra de las instituciones de educación superior afirmaron haberse visto afectadas.
encuesta de 2022. Viendo que los adversarios ahora son capaces de ejecutar Tradicionalmente, la educación tiene que lidiar con niveles de recursos
sistemáticamente ataques a escala, podría decirse que el ransomware es el mayor y tecnología más bajos que muchos otros sectores, y los datos demuestran
ciberriesgo al que se enfrentan las organizaciones hoy día. que los adversarios son conocedores de estas debilidades y las aprovechan.
Los ciberdelincuentes han ido desarrollando y puliendo el modelo de ransomware El sector de TI, tecnología y telecomunicaciones registró el nivel más bajo de
como servicio durante varios años. Este modelo operativo reduce la barrera ataques (50 %), lo que indica un nivel más alto de ciberpreparación y ciberdefensas.
de entrada para los operadores de ransomware en potencia, al tiempo que aumenta
Para más detalles, consulte el índice de los ataques de ransomware por sector
la sofisticación de los ataques al permitir la especialización de los adversarios
en la página 21.
en las diferentes fases de un ataque. Para más información sobre el ransomware
como servicio, lea el Informe de Sophos sobre amenazas 2023.
66 % han sufrido un ataque de ransomware

2020 2021 2022 2023
Singapur: el índice más alto de ataques (país)
51 % 37 % 66 % 66 %
Reino Unido: el nivel más bajo de ataques (país)
En el último año, ¿su organización ha sido víctima del ransomware?
Sí. n=3000 (2023), 5600 (2022), 5400 (2021), 5000 (2020)
Educación: el nivel más alto de ataques (sector)
Ataques por país TI, tecnología y telecomunicaciones:
Mientras que el índice de ransomware general registrado se mantiene estable el nivel más bajo de ataques (sector)
comparado con 2022, la encuesta reveló variaciones a nivel de país. Singapur
registró el índice más alto de ataques de ransomware en el estudio de este año:
un 84 % de las organizaciones se vieron atacadas en el último año. En cambio,
el Reino Unido registró el índice más bajo de ataques (44 %).
Austria registró la mayor caída en el índice de ataques, pasando del 84 %

de las organizaciones afectadas al 50 %. Sudáfrica experimentó el mayor
aumento en el índice de ataques: el 78 % de las organizaciones se vieron
afectadas en la encuesta de 2023, comparado con el 51 % en 2022.
Para más detalles, consulte el índice de ataques de ransomware por país:

2022 frente a 2023 en la página 20.

Ataques según el tamaño de la organización: Porcentaje de organizaciones atacadas por ransomware según los ingresos
Empleados frente a ingresos
El estudio reveló una correlación clara entre los ingresos anuales
y la propensión a ser el blanco de un ataque de ransomware, puesto que
72 %
el porcentaje de organizaciones afectadas por el ransomware aumentaba 69 %
progresivamente con los ingresos. El 56 % de las organizaciones con 67 % 67 %
63 %
ingresos de entre 10 y 50 millones USD sufrió un ataque de ransomware
en el último año, llegando al 72 % en aquellas empresas con ingresos 58 %
56 %
de más de 5000 millones USD.
En cambio, no se observó una relación clara entre sufrir un ataque

de ransomware y el número de empleados en una organización.
Fuera del segmento de 1001-3000 empleados, el índice de los ataques
de ransomware fue muy constante:
Ì 100-250 empleados 62 %
Ì 1001-3000 empleados 73 %
Ì 3001-5000 empleados 63 %

Menos 10-50 50-250 250-500 500 1000 Más
Los datos ponen de manifiesto que, en el contexto del tamaño de la de 10 millones millones millones a 1000 a 5000 de 5000
organización, los ingresos anuales son un indicador mucho más relevante millones USD USD USD millones millones millones
en cuanto a la probabilidad de sufrir un ataque que el número de empleados. USD (n=241) (n=674) (n=430) USD USD USD
(n=106) (n=633) (n=447) (n=469)
En el último año, ¿se ha visto afectada su organización por el ransomware? – Sí. Números base en la tabla

Causas raíz de los ataques de ransomware Causas raíz por sector

Según los encuestados, la causa raíz más común de los ataques de ransomware El sector de medios de comunicación, ocio y entretenimiento registró el porcentaje
fue la explotación de una vulnerabilidad (36 %), seguida del compromiso más alto de ataques cuya causa principal fue la explotación de una vulnerabilidad
de credenciales (29 %). Estos hallazgos coinciden casi exactamente con (55 %), lo que indica carencias de seguridad generalizadas en esta área. El gobierno
las conclusiones del último análisis retrospectivo de Sophos de 152 ataques central y federal registró el mayor porcentaje de ataques que empezaron con
en los que nuestros equipos de respuesta a incidentes y detección y respuesta credenciales comprometidas (41 %). Esto puede ser debido a un mayor índice
gestionadas (MDR) tuvieron que intervenir. En él se detalla que el 37 % había del robo de credenciales en este sector, a una capacidad menor para evitar
empezado con la explotación de una vulnerabilidad y el 30 % con el compromiso la explotación de credenciales robadas o a una combinación de ambos.
de credenciales.
El sector de TI, tecnología y telecomunicaciones presenta los índices más
Los correos electrónicos fueron la causa raíz del 30 % (redondeando) de los bajos en ambos casos: explotación de vulnerabilidades (22 %) y credenciales
ataques: El 18 % empezó con un correo malicioso y el 13 % con phishing. comprometidas (22 %), lo que probablemente refleja los altos niveles
El 3 % comenzó con un ataque por fuerza bruta y solo un 1 % con una descarga. de ciberdefensas en este sector. Sin embargo, sí que registró las cifras más
altas en ataques basados en el correo electrónico, ya que más de la mitad (51 %)
se iniciaron en la bandeja de entrada de los usuarios.
36 % 29 % 18 % Para más detalles, consulte las causas raíz de los ataques por sector
en la página 22.
Explotación de Compromiso
Correo malicioso
una vulnerabilidad de credenciales
13 % 3 % 1 %

Ataque por
Phishing Descargas
fuerza bruta
¿Conoce la causa raíz del ataque de ransomware que su organización sufrió en el último año? Si fue atacado más de
una vez, piense en el ataque más significativo. (n=1974 organizaciones afectadas por el ransomware en el último año)

Causas raíz por ingresos

El análisis de las causas raíz en función de los ingresos anuales revela que la (más de 5000 millones USD: 45 %), reduciéndose hasta el 30 % en el grupo
explotación de vulnerabilidades y el compromiso de credenciales siguen curvas intermedio (entre 250 y 500 millones USD). En cambio, el uso de credenciales
de tendencia opuestas. Los porcentajes más altos de ataques que se iniciaron con comprometidas alcanza el pico en el grupo de ingresos intermedio (33 %),
la explotación de una vulnerabilidad corresponden a los grupos de organizaciones mientras que el uso más bajo corresponde a los grupos de ingresos más bajos
con los ingresos más bajos (menos de 10 millones USD: 50 %) y más altos (23 %) y más altos (26 %).
50 %
45 %
36 % 36 % 36 %
32 % 33 % 32 %

31 % 30 % 29 %
26 %
24 %
23 %
21 % 20 %
19 % 19 %
16 % 16 %
15 % 15 %
13 % 13 % 14 %
11 % 12 %
8 %
4 % 4 %
2 % 3 % 3 %
2 %
Menos de 10-50 50-250 250-500 500 1000 Más de 5000

10 millones USD millones USD millones USD millones USD a 1000 millones a 5000 millones millones USD
(n=62) (n=135) (n=426) (n=286) USD (n=422) USD (n=307) (n=336)
Ingresos anuales
Explotación de vulnerabilidades Credenciales comprometidas Correo malicioso Phishing Ataque por fuerza bruta
¿Conoce la causa raíz del ataque de ransomware que su organización sufrió en el último año? Selección de opciones de respuesta. Números base en la tabla

Índice del cifrado de datos Cifrado de datos por sector

El cifrado de datos continuó aumentando, y los adversarios consiguieron cifrar Casi todos los sectores luchan por detener los ataques antes de que se produzca
los datos en más de tres cuartas partes (76 %) de los ataques de ransomware. el cifrado de datos: con solo una excepción, en cada sector, más de dos
De hecho, los niveles de cifrado se sitúan ahora en su punto más alto de los últimos tercios de los ataques comportaron el cifrado de datos. La máxima frecuencia
cuatro años. Esto probablemente refleja el nivel de habilidades cada vez mayor del cifrado de datos (92 %) fue registrada por los servicios empresariales
de los adversarios, que continúan innovando y perfeccionando sus métodos. y profesionales.
El sector de TI, tecnología y telecomunicaciones es el que rompe la tendencia,

¿Consiguieron los ciberdelincuentes cifrar los datos de su organización
puesto que los adversarios consiguieron cifrar los datos en menos de la mitad
en el ataque de ransomware?
(47 %) de los ataques. Este es otro indicador del alto nivel de ciberdefensas
y de preparación para responder a incidentes por el que se caracteriza este sector.
76 %
73 %
Para más detalles, consulte el cifrado de datos por sector en la página 23.
65 %
54 %
39 %
31 %
24 %
21 %
7 %
3 % 4 % 3 %
2020 2021 2022 2023

(n=2538) (n=2006) (n=3702) (n=1974)
No. Los datos no se cifraron pero se pidió un rescate (extorsión)

No. El ataque se detuvo antes de que consiguieran cifrar los datos
Sí. Se produjo el cifrado de datos.

Robo de datos Recuperación de datos

En el 30 % de los ataques en que se cifraron datos, también se produjo el robo El 97 % de las organizaciones cuyos datos fueron cifrados los recuperaron.
de los datos. Este enfoque «double dip» de los adversarios cada vez es más Las copias de seguridad fueron el enfoque más común, y se utilizaron en el 70 %
común, ya que buscan la manera de incrementar su capacidad de monetizar de los incidentes. El 46 % pagó el rescate y recuperó los datos, mientras que el 2 %
los ataques. Pueden amenazar con divulgar los datos robados para extorsionar empleó otros medios. En general, uno de cada cinco (21 %) utilizó varios métodos
dinero e incluso vender los datos. La alta frecuencia del robo de datos aumenta para restaurar sus datos. El 1 % de las organizaciones cuyos datos fueron cifrados
la importancia de detener los ataques lo antes posible antes de que se exfiltre pagaron el rescate pero no pudieron recuperar los datos.
la información.
Usaron copias Pagaron el rescate Usaron otros
de seguridad para y recuperaron medios para
30 % restaurar datos los datos recuperar datos
ataques de ransomware en que se cifraron
datos y también se robaron datos 70 % 46 % 2 %
¿Consiguieron los ciberdelincuentes cifrar los datos de su organización en el ataque de ransomware?
Sí; Sí, y los datos también fueron robados. n=1497
Resulta preocupante que el uso de copias de seguridad para recuperar los datos haya
disminuido con respecto al año anterior, cuando se utilizó en el 73 % de los casos.
El índice de pago de rescates se ha mantenido en el mismo nivel del año anterior.
73 %
70 %
56 % 57 %
46 % 46 %
32 %
26 %
2020 2021 2022 2023

(n=1849) (n=1086) (n=2398) (n=1497)
Pagaron el rescate y recuperaron los datos

Usaron copias de seguridad para restaurar los datos
¿Recuperó su organización los datos? Sí, pagamos el rescate y recuperamos los datos; Sí, usamos copias de seguridad
para restaurar los datos. Números base en la tabla

Recuperación de datos por país Pago de rescate y uso de copias de seguridad por ingresos
En general, los encuestados de la región EMEA registraron en conjunto mayores niveles En general, a medida que los ingresos anuales aumentan, también crece
de uso de copias de seguridad (75 %) y menores niveles de pago de rescate (40 %) la predisposición de una organización a recuperar los datos pagando el rescate.
que los de América (65 %/55 %) y Asia-Pacífico (67 %/49 %). A nivel de país, Francia Al mismo tiempo, la frecuencia del uso de copias de seguridad disminuye.
es el que más usa las copias de seguridad (87 %), seguido de cerca por Suiza (84 %).
De las organizaciones con ingresos por encima de los 5000 millones USD, el 55 %
La importancia de las copias de seguridad se demuestra cuando vemos que los dos recuperó los datos pagando el rescate y el 63 % usó copias de seguridad. Al mismo
países menos propensos a usar las copias de seguridad para restaurar datos, Italia tiempo, el 36 % de las organizaciones con ingresos inferiores a 10 millones USD
(55 %) y Singapur (57 %), son también los dos países con los índices de recuperación recuperaron los datos pagando el rescate, mientras que el 80 % usó copias
de datos generales más bajos (93 % y 90 %, respectivamente). Italia es también de seguridad: el índice más alto en el uso de copias de seguridad de todos
el país más propenso a pagar el rescate (56 %), seguido de cerca por EE. UU. y Brasil los grupos de ingresos.
(ambos 55 %).
Las organizaciones con ingresos anuales más bajos tienen menos dinero para
En la mayoría de casos, las organizaciones que pagaron el rescate pudieron financiar el pago de rescates, lo que las obliga a centrarse en las copias de seguridad
recuperar los datos. Sin embargo, en Francia y el Reino Unido, alrededor de una de para la recuperación de datos. Paralelamente, las organizaciones con mayores
cada diez organizaciones que pagaron el rescate no pudieron recuperar los datos. ingresos suelen tener infraestructuras de TI complejas, hecho que puede dificultar
usar copias de seguridad para recuperar los datos en un tiempo razonable. También
Para más detalles, consulte la recuperación de datos por país en la página 24.
son las empresas más propensas a pagar para salir de este tipo de situaciones.
Pago de rescate y uso de copias de seguridad por ingresos
80 %
77 % 75 %
72 %
68 % 66 % 63 %
55 %
51 % 52 %
41 % 42 %
36 %
33 %
< 10 millones 10-50 millones USD 50-250 millones USD 250-500 millones USD 500 a 1000 millones 1000 a 5000 millones Más de
USD (n=45) (n=96) (n=324) (n=212) USD (n=333) USD (n=216) 5000 millones USD
(n=271)
Pagaron el rescate y recuperaron los datos Usaron copias de seguridad para restaurar los datos
¿Recuperó su organización los datos? Sí, pagamos el rescate y recuperamos los datos; Sí, usamos copias de seguridad para restaurar los datos. Números base en la tabla

El impacto de los ciberseguros

en la recuperación de datos
Las organizaciones con un ciberseguro contratado tenían muchas más Impacto del seguro en la propensión a pagar el rescate
probabilidades de recuperar los datos cifrados que aquellas sin este tipo de pólizas.
Sin embargo, el tipo de cobertura en materia de ciberseguridad no supone una gran Una póliza más
Ciberpóliza Sin póliza
amplia que incluye
diferencia: el 98 % de las empresas con una ciberpóliza independiente y el 97 % independiente de ciberseguridad
la ciberseguridad
de aquellas con una póliza más amplia con una cláusula de ciberseguridad pudieron
recuperar los datos. En comparación, el 84 % de aquellas organizaciones sin una
póliza pudieron recuperar sus datos cifrados. 58 % 36 % 15 %
pagaron el rescate pagaron el rescate pagaron el rescate
Porcentaje de víctimas de ransomware que recuperaron sus datos cifrados
¿Recuperó su organización los datos? Sí, pagamos el rescate y recuperamos los datos. n=1497 organizaciones
98 % 97 % 84 % afectadas por el ransomware en el último año y cuyos datos fueron cifrados (771 ciberpóliza independiente,
658 cláusula de ciberseguridad como parte de una póliza más amplia, 67 sin póliza de ciberseguridad)
Con una ciberpóliza Con una póliza más Sin una póliza
independiente amplia que incluye de ciberseguridad
la ciberseguridad
¿Recuperó su organización los datos? n=1497 organizaciones afectadas por el ransomware en el último año y cuyos datos
fueron cifrados
Probablemente hay varios factores que podrían explicar esta variación. Primero,
los ciberseguros suelen requerir que las organizaciones tengan copias de seguridad
y planes de recuperación como requisito para obtener cobertura. Las aseguradoras
también pueden guiar a las víctimas del ransomware a través del proceso
de recuperación para optimizar los resultados. Además, es más probable que las
organizaciones con un ciberseguro paguen el rescate para recuperar los datos
que aquellas sin una póliza.

Pagos de rescate
Mientras que la predisposición general a pagar el rescate se mantiene en El estudio reveló una amplia distribución de los pagos, aunque la proporción
el mismo nivel que en el estudio del año anterior, los pagos en sí han aumentado de organizaciones que pagaron rescates más altos ha aumentado en comparación
considerablemente durante el último año: el importe de rescate medio casi con nuestro estudio de 2022: un 40 % notificaron pagos de 1 millón USD o más,
se ha duplicado, pasando de 812 380 USD en 2022 a 1 542 333 USD en 2023. en comparación con el 11 % del año anterior. En cambio, solo un 34 % pagó menos
La mediana del pago de rescates según el estudio de este año es de 400 000 USD. de 100 000 USD, una disminución comparado con el 54 % del año anterior.
Pagos de rescate: 2023 frente a 2022
27 %
17 %
14 %
13 % 13 %
11 % 12 %
9 % 10 % 10 %
8 % 7 % 7 %
6 % 6 % 6 %
5 % 6 %
5 %
4 % 4 %
2 %
Menos de Entre Entre Entre Entre Entre Entre Entre Entre Entre 5 millones
1000 USD 1000 USD 5000 USD 10 000 USD 20 000 USD 50 000 USD 100 000 USD 250 000 USD 500 000 USD 1 millón USD y USD
y 4999,99 y 9999,99 y 19 999,99 y 49 999,99 y 99 999,99 y 249 999,99 y 499 999,99 y 999 999,99 4 999 999,99 o más
USD USD USD USD USD USD USD USD USD
2022 (n=965) 2023 (n=216)

¿Cuál fue el importe del rescate que pagó su organización a los atacantes? Se excluyen las respuestas «No lo sé».

Pagos de rescate por ingresos

Quizás no es de extrañar que las organizaciones con mayores ingresos pudieran
pagar rescates más altos. Esto refleja que los adversarios ajustan el importe
que exigen en función de la capacidad de pago de la víctima. El estudio
no distingue entre los pagos financiados internamente y los pagos financiados
por ciberaseguradoras.
Es interesante observar que había muy poca diferencia tanto en la media

como en la mediana de los pagos de rescates para las organizaciones con
ingresos de entre 250 y 500 millones USD y aquellas con ingresos de entre
500 y 1000 millones USD.
50-250 250-500 500 A 1000 1000 A 5000 MÁS DE 5000

MILLONES USD MILLONES USD MILLONES USD MILLONES USD MILLONES USD
(N=37) (N=33) (N=72) (N=45) (N=21)
Importe medio
690996 $ 1523652 $ 1466240 $ 2049817 $ 2464339 $
del rescate
Mediana del pago

145000 $ 428000 $ 425000 $ 1000000 $ 3000000 $
de rescate
¿Cuál fue el importe del rescate que pagó su organización a los atacantes? Se excluyen las respuestas «No lo sé».
Se excluyen las organizaciones con ingresos por debajo de 50 millones USD debido a números base muy bajos.
Números base en la tabla. Los datos para segmentos con menos de 30 respuestas deben considerarse como
meramente indicativos.

Costes de recuperación
El pago de rescates es solo un elemento de los costes de recuperación en la
gestión de los eventos de ransomware. Si excluimos cualquier rescate pagado,
las organizaciones notificaron un coste medio estimado para recuperarse
de los ataques de ransomware de 1,82 millones USD, un aumento comparado
con la cifra de 1,4 millones USD de 2022 y en línea con los 1,85 millones USD
registrados en 2021.
Nota: el enunciado de la pregunta de los estudios de 2021 y 2022 incluía el

importe del rescate pagado en los costes estimados, pero este importe se eliminó
del enunciado en la encuesta de 2023. Como resultado, la comparación interanual
debe considerarse meramente informativa.
Coste de recuperación medio
2021 2022 2023
1,85 1,4 1,82

millones millones millones
USD USD USD
¿Cuál fue el coste aproximado que tuvo que asumir la organización para rectificar los perjuicios del ataque de ransomware
más significativo (teniendo en cuenta el tiempo de inactividad, las horas del personal, el coste de dispositivos, el coste
de redes, las oportunidades perdidas, etc.)? n=1974 (2023)/ 3702 (2022)/ 2006 (2021). Nota: el enunciado de la pregunta
en las encuestas de 2022 y 2021 también incluía «pago de rescate».
Los costes de recuperación medios registrados se iniciaron en 165 520 USD para

las organizaciones con ingresos anuales inferiores a 10 millones USD y subieron
hasta 4 496 086 USD en el grupo de más de 5000 millones USD. Aunque estas
cifras enmascaran distintos costes de recuperación, se ha observado un patrón
claro de aumento de los costes de recuperación con los ingresos, tal y como
se indica en el gráfico de la página siguiente.

Coste de recuperación por ingresos
35 %
30 %
25 %
20 %
15 %
10 %
5 %
0 %
< 10 000 USD 10 000 USD - 50 000 USD - 100 000 USD - 250 000 USD - 500 000 USD - 1 millón USD - 5 millones USD - 10 millones
50 000 USD 100 000 USD 250 000 USD 500 000 USD 1 millón USD 5 millones USD 10 millones USD USD -
15 millones
USD
Menos de 10 millones USD (n=62) 10-50 millones USD (n=135) 50-250 millones USD (n=426) 250-500 millones USD (n=286)
500-1000 millones USD (n=422) 1000-5000 millones USD (n=307) Más de 5000 millones USD (n=336)
de redes, las oportunidades perdidas, etc.)? Números base en la tabla

Coste de recuperación por método de recuperación de datos Impacto empresarial

Se mire como se mire, sale mucho más a cuenta usar copias de seguridad para El 84 % de las organizaciones del sector privado que se han visto afectadas por
recuperarse de un ataque de ransomware que pagar el rescate. La mediana un ataque de ransomware señalaron que sufrieron pérdidas de negocio/ingresos.
del coste de recuperación para aquellos que utilizaron copias de seguridad Los ingresos anuales influyeron relativamente poco en la pérdida de negocio.
(375 000 USD) es la mitad del coste incurrido por las empresas que pagaron El índice más bajo (79 %) se registró en el grupo con una facturación de entre
el rescate (750 000 USD). De forma similar, el coste de recuperación medio 250 y 500 millones USD, y el índice más alto (88 %) en aquellos con ingresos
es casi 1 millón USD menor para los que usaron copias de seguridad. de menos de 10 millones USD y de más de 5000 millones USD.
Si se necesitaban más pruebas de las ventajas financieras de invertir
El tipo de sector ha desempeñado un papel mucho más significativo en la
en una estrategia sólida de copias de seguridad, aquí están.
propensión a sufrir pérdidas de negocio/ingresos. En general, la educación primaria
y secundaria (94 %) y la construcción y propiedad (93 %) fueron los sectores
Pagaron el rescate Usaron copias de seguridad más propensos a declarar una pérdida de negocio/ingresos debido a los ataques,
y recuperaron los datos para restaurar datos mientras que el sector de la fabricación y producción fue el menos propenso (77 %).
Si profundizamos en esta cuestión, vemos una variación considerable en los

750 000 USD 375 000 USD sectores que afirmaron haber sufrido «grandes pérdidas» de negocio/ingresos:
mediana mediana los servicios empresariales y profesionales (64 %) son cinco veces más propensos
a sufrir un ataque si lo comparamos con el 12 % del sector de TI, tecnología
2,6 millones USD 1,62 millones USD y telecomunicaciones.
promedio promedio
de redes, las oportunidades perdidas, etc.)? n=694 que pagaron el rescate y recuperaron los datos y 1053 que usaron
copias de seguridad para restaurar los datos.

Pérdida de negocio/ingresos por sector
68 %
64 %
60 %
59 %
47 % 47 %
46 % 46 % 46 % 46 %
45 % 44 % 44 %
43 %
42 % 42 % 42 %42 %
41 %
39 % 38 %
34 % 34 %
32 %
31 %
28 %
27 %
12 %
Media Servicios Construcción Distribución Educación Educación Energía, Servicios Sanidad TI, tecnología y Fabricación y Medios de Minoristas Otro
(n=1523) empresariales y propiedad y transporte primaria superior petróleo/gas financieros (n=73) telecomunicaciones producción comunicación, (n=244) (n=59)
y profesionales (n= 96) (n= 92) y secundaria (n= 74) y servicios (n= 216) (n= 73) (n= 205) ocio y
(n= 84) (n= 110) públicos entretenimiento
(n= 101) (n= 96)
Ha sufrido una pérdida importante de negocio/ingresos Ha sufrido una pequeña pérdida de negocio/ingresos
¿El ataque de ransomware provocó pérdidas de negocio/ingresos a su organización? Sí, la pérdida de negocio/ingresos fue significativa;
Sí, la pérdida de negocio/ingresos fue escasa. Las organizaciones del sector privado que se vieron afectadas por el ransomware, números base en el gráfico

Tiempo de recuperación Tiempo de recuperación por método de recuperación de datos

Mientras que el tiempo para recuperarse de un ataque de ransomware va La investigación reveló que las organizaciones que usan copias de seguridad para
en la misma línea que el informe de 2022, el porcentaje de los que pudieron recuperar sus datos se recuperan del ataque mucho más rápido que las que pagan
recuperarse en menos de un día ha caído del 14 % al 8 %. el rescate. El 45 % de aquellas que usaron copias de seguridad se recuperaron
en una semana, comparado con el 39 % de las que pagaron un rescate. Casi un
tercio (32 %) de las que pagaron el rescate tardaron más de un mes en recuperarse,
39 % 39 %
mientras que la cifra de las empresas que emplearon las copias de seguridad es
del 23 % (redondeando). Aunque estas dos opciones de respuesta no se excluían
mutuamente y algunos encuestados aplicaron ambos métodos, las ventajas
29 % de las copias de seguridad en el proceso de recuperación son evidentes.
27 %
40 %
16 % 18 %
33 % 32 %
14 %
29 %
8 %
6 % 21 %
4 %
19 %
Menos Hasta una Hasta 1 mes En 1-3 meses En 3-6 meses 10 %
de un día semana 6 % 5 % 5 %
2022 (n=3702) 2023 (n=1974) 0 % 0 %
¿Cuánto tiempo necesitó su organización para recuperarse por completo del ataque de ransomware? Menos Hasta una Hasta En 1-3 En 3-6 Más de
Números base en la tabla de un día semana 1 mes meses meses 6 meses
Pagaron el rescate y recuperaron los datos (n=694)

Usaron copias de seguridad para restaurar los datos (n=1053)
¿Cuánto tiempo tardó su organización en recuperarse totalmente del ataque de ransomware?

Organizaciones que pagaron el rescate y/o usaron copias de seguridad para recuperar los datos. Números base en la tabla

Conclusión
Independientemente de los ingresos, la geografía o el sector, el ransomware
continúa siendo una amenaza importante para las organizaciones. A medida
que los adversarios continúan mejorando sus tácticas, técnicas y procedimientos
de ataque (TTP), los responsables de la seguridad luchan por seguir el ritmo
de los delincuentes, lo que resulta en mayores índices de cifrado.
La caída en el uso de copias de seguridad para recuperar datos cifrados

es un motivo de preocupación importante. Si se necesitaban más pruebas
de los beneficios financieros y operativos de invertir en una estrategia sólida
de copias de seguridad, este informe las proporciona.
Con el crecimiento del modelo de negocio del ransomware como servicio,

no prevemos un descenso de los ataques en el próximo año. Las organizaciones
deben centrarse en:
Ì Seguir reforzando sus escudos defensivos con:
herramientas de seguridad para defenderse ante los vectores de ataque más

comunes, incluida la protección de endpoints con sólidas funciones antiexploits
para evitar la explotación de vulnerabilidades, y Zero Trust Network Access
(ZTNA) para prevenir el abuso de credenciales comprometidas.
tecnologías adaptativas que respondan automáticamente

a los ataques, desestabilizando a los adversarios y dando tiempo
a los responsables de la seguridad para responder.
detección, investigación y respuesta a amenazas 24/7, ya sea

internamente o en asociación con un proveedor especializado
de servicios de detección y respuesta gestionadas (MDR).
Ì Optimizar la preparación ante los ataques, que incluye realizar

copias de seguridad con regularidad, practicar la recuperación
de datos a partir de copias de seguridad y mantener un plan
de respuesta ante incidentes totalmente actualizado.
Ì Mantener una buena higiene de seguridad que incluya

la aplicación oportuna de parches y la revisión periódica
de las configuraciones de las herramientas de seguridad.

Gráficos adicionales
Índice de los ataques de ransomware por país: 2022 frente a 2023
Porcentaje de organizaciones atacadas por ransomware
84 % 84 %
80 %
78 % 78 %
75 %
75 %
73 % 73 %
70 % 71 %
68 % 68 %
66 % 66 % 67 %
65 % 65 %
64 %
61 % 61 % 60 %
58 % 58 % 48 %
55 % 57 %
50 % 51 %
44 %
Media Australia Austria Brasil Francia Alemania India Italia Japón Singapur Sudáfrica España Suiza Reino Unido EE. UU.
(n= 5600/ (n=250/200) (n=100) (n=200) (n=200/150) (n=400/300) (n=300) (n=200) (n=300) (n=150/100) (n=200) (n=150) (n=100) (n=300/200) (n=500)
3000)
2022 2023
En el último año, ¿se ha visto afectada su organización por el ransomware? Números base en la tabla

Índice de los ataques de ransomware por sector

Porcentaje de organizaciones atacadas por ransomware
80 % 79 %
71 % 70 % 70 % 69 % 69 %

66 % 67 % 67 %
64 %
60 % 60 %
58 % 56 %
50 %
Media Educación Educación Construcción Gobierno Medios de Gobierno Minoristas Energía, Distribución Servicios Servicios Sanidad Otro Fabricación TI, tecnología
(n=3000) primaria y superior y propiedad central/ comunicación, local/ (n=355) petróleo/gas y transporte financieros empresariales (n=233) (n=102) y producción y telecomu-
secundaria (n= 200) (n= 136) federal ocio y estatal y servicios (n= 137) (n= 336) y profesionales (n= 363) nicaciones
(n= 200) (n= 140) entretenimiento (n= 255) públicos (n= 140) (n= 145)
(n= 138) (n= 150)
En el último año, ¿se ha visto afectada su organización por el ransomware? Números base en la tabla

Causas raíz del ataque por sector
Servicios empresariales y prof.

49 % 32 % 14 % 5 %
(n= 84)
Gobierno central/federal (n= 98) 38 % 41 % 10 % 6 % 4 %
Construcción y propiedad (n= 96) 27 % 33 % 24 % 15 % 1 %
Distribución y transporte (n= 92) 38 % 30 % 21 % 10 % 1 %
Educación primaria y secundaria

29 % 36 % 19 % 11 % 4 %
(n= 159)
Educación superior (n= 157) 40 % 37 % 12 % 7 % 2 %
Energía, petróleo/gas y servicios 35 % 31 % 24 % 7 % 3 %

públicos (n= 101)
Servicios financieros (n= 2016) 40 % 23 % 19 % 13 % 3 %
Sanidad (n=139) 29 % 32 % 22 % 14 % 1 %
TI, tecnología y
telecomunicaciones (n= 73) 22 % 22 % 30 % 21 % 1 %
Gobierno local/estatal (n= 155) 38 % 30 % 11 % 14 % 5 %
Fabricación y producción (n=205) 24 % 27 % 21 % 20 % 5 %
Medios de comunicación,
55 % 25 % 13 % 2 % 4 %
ocio y entretenimiento (n= 96)
Minoristas (n=244) 41 % 22 % 15 % 17 % 2 %
Otro (n=59) 46 % 27 % 10 % 15 % 2 %
Explotación de vulnerabilidades Credenciales comprometidas Correo malicioso Phishing Ataque por fuerza bruta Descarga
¿Conoce la causa raíz del ataque de ransomware que su organización sufrió en el último año? Selección de opciones de respuesta. Números base en la tabla

Cifrado de datos por sector
Servicios empresariales y prof. 92 % 8 %

(n= 84)
Gobierno central/federal (n= 98) 84 % 16 %
Construcción y propiedad (n= 96) 85 % 15 %
Distribución y transporte (n= 92) 77 % 23 %
Educación primaria y secundaria

81 % 19 %
(n= 159)
Educación superior (n= 157) 73 % 27 %
Energía, petróleo/gas y servicios

públicos (n= 101) 79 % 21 %
Servicios financieros (n= 2016) 81 % 19 %
Sanidad (n=139) 73 % 27 %
TI, tecnología y telecomunicaciones

(n= 73) 47 % 53 %
Gobierno local/estatal (n= 155) 76 % 23 %
Fabricación y producción (n=205) 68 % 32 %
Medios de comunicación, ocio 81 % 18 %

y entretenimiento (n= 96)
Minoristas (n=244) 71 % 28 %
Otro (n=59) 75 % 25 %
Sí, los datos se cifraron No, los datos no se cifraron
¿Consiguieron los ciberdelincuentes cifrar los datos de su organización en el ataque de ransomware? Consolidación de opciones de respuesta. Números base en la tabla

Recuperación de datos por país

¿Recuperó su organización los datos?
EE. UU. BRASIL ALEMANIA AUSTRIA SUIZA REINO ITALIA ESPAÑA FRANCIA SUDÁFRICA INDIA AUSTRALIA JAPÓN SINGAPUR
(N=274) (N=98) (N=122) (N=48) (N=68) UNIDO (N=82) (N=93) (N=68) (N=139) (N=167) (N=96) (N=125) (N=51)
(N=66)
Sí, pagamos el rescate

54 % 55 % 44 % 42 % 38 % 44 % 54 % 29 % 22 % 45 % 43 % 53 % 52 % 53 %
y recuperamos los datos
Sí, usamos copias de seguridad

66 % 61 % 78 % 73 % 84 % 68 % 55 % 81 % 87 % 76 % 73 % 73 % 60 % 57 %
para restaurar los datos
Sí, usamos otros medios para

1 % 4 % 1 % 0 % 3 % 0 % 0 % 0 % 3 % 3 % 3 % 3 % 6 % 0 %
recuperar nuestros datos
No, aunque pagamos el rescate 1 % 0 % 0 % 0 % 0 % 5 % 2 % 0 % 3 % 0 % 1 % 0 % 0 % 0 %
No, no pagamos el rescate 0 % 1 % 2 % 2 % 1 % 2 % 5 % 2 % 0 % 0 % 1 % 1 % 5 % 10 %
No lo saben 0 % 0 % 2 % 0 % 0 % 0 % 0 % 0 % 0 % 0 % 0 % 0 % 0 % 0 %
Recuperamos los datos

99 % 99 % 95 % 98 % 99 % 94 % 93 % 98 % 97 % 100 % 98 % 99 % 95 % 90 %
mediante cualquier método
Utilizamos más de un método

22 % 21 % 27 % 17 % 26 % 18 % 16 % 12 % 12 % 24 % 20 % 29 % 22 % 20 %
para recuperar los datos
Pagaron el rescate 55 % 55 % 44 % 42 % 38 % 48 % 56 % 29 % 25 % 45 % 44 % 53 % 52 % 53 %
Porcentaje de aquellos
que pagaron el rescate pero 1 % 0 % 0 % 0 % 0 % 9 % 4 % 0 % 12 % 0 % 3 % 0 % 0 % 0 %
no pudieron recuperar los datos

Coste medio de recuperación por ingresos
5 000 000 USD
4 496 086 USD
4 500 000 USD
4 000 000 USD
3 500 000 USD
3 000 000 USD
2 390 607 USD
2 500 000 USD
2 000 000 USD
1 450 824 USD
1 500 000 USD
1 104 811 USD
885 018 USD
1 000 000 USD
704 284 USD
500 000 USD
165 520 USD
0 USD
Menos de 10 10-50 50-250 250-500 500 a 1000 1000 a 5000 Más de 5000
millones USD millones USD millones USD millones USD millones USD millones USD millones USD
(n=62) (n=135) (n=426) (n=286) (n=422) (n=307) (n=336)
¿Cuál fue el coste aproximado que tuvo que asumir la organización para rectificar los perjuicios del ataque
de ransomware más significativo (teniendo en cuenta el tiempo de inactividad, las horas del personal,
el coste de dispositivos, el coste de redes, las oportunidades perdidas, etc.)? Números base en la tabla.

Metodología de investigación Encuestados por tamaño de la organización

(número de empleados)
Sophos encargó una encuesta independiente y desvinculada de cualquier
proveedor a 3000 responsables de TI/ciberseguridad y se realizó entre
enero y marzo de 2023. Los encuestados provenían de 14 países repartidos 457 279
100-250
por América, EMEA y Asia-Pacífico.
451 251-500
Todos los encuestados pertenecían a organizaciones de entre 100
y 5000 empleados (el 50 % de 100-1000 empleados y el otro 50 % de 1001 501-1000
a 5000 empleados). Dentro del grupo de investigación, los ingresos anuales 1043
770 1001-3000
abarcaban desde menos de 10 millones USD hasta más de 5000 millones USD.
3001-5000
Encuestados por país
NÚMERO DE NÚMERO DE
PAÍS PAÍS
ENCUESTADOS ENCUESTADOS
Encuestados por tamaño de la organización
Estados Unidos 500 Reino Unido 200 (ingresos anuales)
Alemania 300 Sudáfrica 200 106

Menos de 10 millones USD
India 300 Francia 150 469 241 10-50 millones USD
50-250 millones USD

Japón 300 España 150
447
674 250-500 millones USD
Australia 200 Austria 100
500 a 1000 millones USD
Brasil 200 Singapur 100 633
430 1000-5000 millones USD
Italia 200 Suiza 100
Más de 5000 millones USD
Sophos ofrece soluciones de ciberseguridad líderes en el sector a empresas de todos los tamaños, protegiéndolas en tiempo real
de amenazas avanzadas como el malware, el ransomware y el phishing. Gracias a nuestras funcionalidades next-gen probadas, los datos
de su organización estarán protegidos de forma eficiente por productos con tecnologías de inteligencia artificial y Machine Learning.
© Copyright 2023. Sophos Ltd. Todos los derechos reservados.

Constituida en Inglaterra y Gales N.º 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
Sophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados
son marcas comerciales o registradas de sus respectivos propietarios.
2023-05-05 (WP-DD)

Sophos State of Ransomware 2023 Wpes

Cargado por

Copyright:

Formatos disponibles

Sophos State of Ransomware 2023 Wpes

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sophos State of Ransomware 2023 Wpes

Cargado por

Copyright:

Formatos disponibles

El estado del

Monográficos de Sophos. Mayo de 2023

Dentro del sector educativo, los encuestados se dividieron en educación primaria

Monográficos de Sophos. Mayo de 2023

Monográficos de Sophos. Mayo de 2023

Índice de los ataques de ransomware Ataques por sector

66 % han sufrido un ataque de ransomware

Austria registró la mayor caída en el índice de ataques, pasando del 84 %

Para más detalles, consulte el índice de ataques de ransomware por país:

Monográficos de Sophos. Mayo de 2023

En cambio, no se observó una relación clara entre sufrir un ataque

Ì 100-250 empleados 62 %

Ì 251-500 empleados 62 %

Ì 501-1000 empleados 62 %

Ì 1001-3000 empleados 73 %

Ì 3001-5000 empleados 63 %

Monográficos de Sophos. Mayo de 2023

Causas raíz de los ataques de ransomware Causas raíz por sector

13 % 3 % 1 %

Monográficos de Sophos. Mayo de 2023

Causas raíz por ingresos

36 % 36 % 36 %

32 % 33 % 32 %

Menos de 10-50 50-250 250-500 500 1000 Más de 5000

Monográficos de Sophos. Mayo de 2023

Índice del cifrado de datos Cifrado de datos por sector

El sector de TI, tecnología y telecomunicaciones es el que rompe la tendencia,

2020 2021 2022 2023

No. Los datos no se cifraron pero se pidió un rescate (extorsión)

Monográficos de Sophos. Mayo de 2023

Robo de datos Recuperación de datos

2020 2021 2022 2023

Pagaron el rescate y recuperaron los datos

Monográficos de Sophos. Mayo de 2023

Pago de rescate y uso de copias de seguridad por ingresos

Monográficos de Sophos. Mayo de 2023

El impacto de los ciberseguros

Monográficos de Sophos. Mayo de 2023

Pagos de rescate: 2023 frente a 2022

2022 (n=965) 2023 (n=216)

Monográficos de Sophos. Mayo de 2023

Pagos de rescate por ingresos

Es interesante observar que había muy poca diferencia tanto en la media

50-250 250-500 500 A 1000 1000 A 5000 MÁS DE 5000

Mediana del pago

Monográficos de Sophos. Mayo de 2023

Nota: el enunciado de la pregunta de los estudios de 2021 y 2022 incluía el

Coste de recuperación medio

2021 2022 2023

1,85 1,4 1,82

Los costes de recuperación medios registrados se iniciaron en 165 520 USD para

Monográficos de Sophos. Mayo de 2023

Coste de recuperación por ingresos

Monográficos de Sophos. Mayo de 2023

Coste de recuperación por método de recuperación de datos Impacto empresarial

Si profundizamos en esta cuestión, vemos una variación considerable en los

Monográficos de Sophos. Mayo de 2023

Pérdida de negocio/ingresos por sector

Monográficos de Sophos. Mayo de 2023

Tiempo de recuperación Tiempo de recuperación por método de recuperación de datos

herramientas de seguridad para defenderse ante los vectores de ataque más

tecnologías adaptativas que respondan automáticamente

detección, investigación y respuesta a amenazas 24/7, ya sea