Por qué las exigencias de ransomware están aumentando a medida que menos empresas pagan
Por qué las exigencias de ransomware están aumentando
Las exigencias de ransomware aumentaron un 47 % el año pasado. Y, aun así, un número récord de organizaciones se negó a pagar. Uno pensaría que estas dos tendencias harían bajar los costos. No ha sido así.
Entender por qué es fundamental, especialmente si su plan de respuesta a incidentes comienza y termina con respaldos.
El Informe de Reclamaciones Cibernéticas 2026 de Coalition se basa en datos reales de reclamaciones de más de 100,000 asegurados. Reveló que, dentro de esa comunidad, las demandas iniciales de rescate promediaron más de 1 millón de dólares en 2025, mientras que el 86 % de las empresas afectadas se negó a pagar. Esa es una noticia realmente positiva. Mejores respaldos, planes de respuesta a incidentes probados y negociadores experimentados han dado a las organizaciones una ventaja que no tenían hace cinco años.
Sin embargo, los incidentes de ransomware siguen siendo el tipo de reclamación cibernética más costosa para los asegurados de Coalition, con un promedio de $302,000 por incidente en la variante de ataque más común. Negarse a pagar no significa salir ileso. Simplemente significa que los costos aparecen en otro lugar.
El antiguo manual del ransomware era sencillo. Los atacantes bloqueaban sus archivos, usted restauraba desde un respaldo, se negaba a pagar y seguía adelante. Eso todavía ocurre. Pero ya no es lo principal.
En 2025, el 70 % de las reclamaciones por ransomware en los datos de Coalition involucraron tanto el cifrado como el robo de datos. La industria denomina esto doble extorsión. Los atacantes no solo bloquean sus datos: primero los roban y luego amenazan con publicarlos.
Allianz Commercial observó un cambio similar en sus datos de reclamaciones. En la primera mitad de 2025, el 40 % del valor de las reclamaciones cibernéticas de gran magnitud involucró exfiltración de datos, frente al 25 % en todo 2024. Esos incidentes costaron más del doble que los casos sin robo de datos.
Esa diferencia tiene sentido cuando se considera lo que realmente implica. Los datos cifrados representan un problema de recuperación. Los datos robados son un problema legal, regulatorio y de reputación, que puede significar notificaciones de brecha de datos, investigaciones regulatorias y litigios que se prolongan mucho después de que sus sistemas vuelvan a estar en funcionamiento.
Los buenos respaldos siguen siendo la base fundamental. Si sus sistemas pueden restaurarse de manera limpia, elimina la ventaja más inmediata del atacante, lo que explica por qué la tasa de no pago está en un nivel récord.
El problema es que los actores sofisticados de ransomware lo saben. Un patrón común es que no solo cifran los sistemas de producción y desaparecen. Cuando es posible, pasan tiempo dentro del entorno, mapeando cómo funcionan los respaldos y dónde se almacenan, y analizando qué conjuntos de datos críticos son indispensables para el funcionamiento de la organización. Luego, antes de activar el cifrado, atacan los respaldos, cifrándolos o eliminándolos específicamente para eliminar la vía de recuperación más sencilla. Ese es el momento en que un incidente de ransomware se convierte en una crisis de continuidad del negocio y en un problema de seguridad.
Y aunque los respaldos permanezcan intactos, no pueden revertir la exfiltración. Una vez que los datos han salido del entorno, ya están fuera de control. El tiempo de inactividad operativa termina cuando los sistemas se restauran. La exposición no.
Según la experiencia de DriveSavers Data Recovery en miles de casos, la recuperación de datos empresariales suele surgir en tres situaciones que no reciben suficiente atención en la mayoría de las conversaciones sobre planificación ante ransomware.
DriveSavers trabaja con organizaciones en estas tres situaciones, recuperando datos críticos inaccesibles cuando los respaldos han desaparecido, están incompletos o cuando el descifrado no logró restaurar completamente la información.
Aunque el 86 % de las empresas ahora pueden negarse a pagar rescates, la pregunta clave sigue siendo: ¿su organización está realmente preparada para resistir, o simplemente espera que todo salga bien?
Como mínimo, esto implica tres aspectos:
1
Respaldos probados y almacenados fuera del sitio, aislados del entorno de producción y verificados regularmente, no solo asumidos como funcionales.
2
Un plan de respuesta a incidentes que aborde la doble extorsión, no solo el cifrado, con protocolos legales y de comunicación listos para escenarios de exposición de datos.
3
Una visión clara de sus opciones de recuperación de datos cuando los respaldos son parciales, están desactualizados o han desaparecido.
Las tácticas de ransomware seguirán evolucionando. El tiempo entre el acceso inicial y la exfiltración de datos es cada vez más corto. Las organizaciones que salen intactas de estos incidentes son aquellas que trataron la recuperación como una capacidad desarrollada con anticipación, y no como algo que tuvieron que resolver bajo presión.
Si está desarrollando su plan de respuesta ante ransomware y desea comprender dónde encajan los servicios profesionales de recuperación de datos, comuníquese con DriveSavers al +011 52 664 452 0110.
Sources
Informe de Reclamaciones Cibernéticas 2026 de Coalition: https://www.coalitioninc.com/claims-report/2026
Tendencias de riesgos cibernéticos 2025 de Allianz Commercial: https://commercial.allianz.com/news-and-insights/news/cyber-risk-trends-2025.html
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)