Un ataque de ransomware a la cadena británica Marks & Spencer en 2025 dejó su canal de ventas online paralizado durante semanas y un impacto estimado de 300 millones de libras en resultados operativos. No fue un caso de datos robados en silencio: fue un negocio que dejó de funcionar. El ransomware en 2026 ya no es una amenaza de nicho reservada a grandes corporaciones. Las pymes españolas están en el punto de mira exactamente por las mismas razones que siempre han estado: menos recursos de seguridad, mayor dependencia de accesos remotos y, con frecuencia, sin un plan de respuesta si algo falla.
Qué ha cambiado en el ransomware: más grupos, más presión, menos pagos
El ecosistema criminal del ransomware se ha fragmentado. Según datos de Check Point Research, en el tercer trimestre de 2025 operaban simultáneamente 85 grupos de ransomware en todo el mundo — un máximo histórico. Cuando las grandes bandas caen o son desmanteladas por operaciones policiales, sus afiliados no desaparecen: se reorganizan en grupos más pequeños, más difíciles de rastrear y, a menudo, más dispuestos a atacar objetivos medianos como las pymes.
El volumen se mantiene alto: unos 535 ataques documentados al mes en 2025, un 25% más que el año anterior. Pero hay un dato que cambia el análisis: solo el 23% de las víctimas pagó el rescate en 2025, el porcentaje más bajo registrado. Las bandas han respondido adaptando su modelo. Si antes el objetivo era cifrar datos y cobrar el descifrado, ahora la prioridad es robar información antes de cifrar — o incluso en lugar de cifrar — para usar la amenaza de publicación como palanca de extorsión. En tres de cada cuatro ataques recientes se produjo exfiltración de datos antes del cifrado.
Dato clave
En el tercer trimestre de 2025, el grupo Akira fue responsable del 34% de los incidentes de ransomware analizados por Coveware, concentrando sus ataques en empresas medianas mediante campañas de alto volumen con credenciales VPN comprometidas y phishing. Es el perfil de víctima más cercano a una pyme española.
Las tres puertas de entrada que más se explotan
Entender cómo entran los atacantes es más útil que conocer sus nombres. Los vectores iniciales del ransomware en 2025 se repiten con llamativa consistencia, y los tres principales son perfectamente abordables con medidas que no requieren grandes presupuestos.
Credenciales comprometidas y accesos remotos expuestos
Más de la mitad de los incidentes analizados en 2025 comenzaron por aquí: una VPN mal configurada, un escritorio remoto (RDP) accesible desde internet sin autenticación multifactor, o credenciales filtradas que nadie había desactivado. Los atacantes no rompen la puerta: entran con la llave. Una vez dentro, se mueven lateralmente por la red, escalan privilegios y desactivan las copias de seguridad antes de lanzar el cifrado. El tiempo medio entre la intrusión inicial y el despliegue del ransomware puede ser de días o semanas.
La protección aquí no es compleja: MFA en todos los accesos remotos, revisión periódica de qué servicios están expuestos a internet y rotación de credenciales cuando un empleado abandona la empresa. Muchas intrusiones aprovechan accesos activos de usuarios que ya no están en la organización.
Phishing y ingeniería social
El correo electrónico sigue siendo el vector de entrada preferido. Los ataques actuales no son los mensajes genéricos en inglés mal escrito de hace diez años: imitan comunicaciones corporativas con precisión, aprovechan urgencias reales (vencimientos, trámites, alertas de sistemas) y en algunos casos usan IA generativa para personalizar el mensaje al destinatario concreto. En España, una campaña en 2024 suplantó a la Fábrica Nacional de Moneda y Timbre para distribuir malware a través de un supuesto certificado digital adjunto.
«Los atacantes no necesitan explotar una vulnerabilidad técnica si pueden convencer a alguien de que les abra la puerta.»
— Coveware, Ransomware Marketplace Report 2025
La concienciación del equipo es la primera línea de defensa, pero no puede ser la única. Configurar DMARC correctamente en tu dominio reduce de forma significativa la capacidad de terceros de suplantar tu dirección de correo, algo relevante tanto para proteger a tus empleados como a tus clientes.
Software sin parchear y configuraciones incorrectas
Los grupos de ransomware escanean internet de forma continua en busca de sistemas con vulnerabilidades conocidas. En 2025, Microsoft alertó de ataques activos contra servidores SharePoint on-premises que explotaban un fallo de día cero; grupos como Clop han construido toda su operativa alrededor de vulnerabilidades en software de transferencia de archivos empresarial, llegando a comprometer cientos de organizaciones en una sola campaña. Las configuraciones incorrectas en entornos cloud — buckets de almacenamiento abiertos, permisos excesivos — funcionan como vectores silenciosos que no requieren malware: simplemente alguien accede a lo que no debería estar accesible.
Lo que marca la diferencia cuando el ataque llega
Las organizaciones que han salido mejor paradas de un incidente de ransomware comparten algunas características. No son necesariamente las que tienen más presupuesto de seguridad: son las que tenían procesos mínimos funcionando antes del ataque.
- Copias de seguridad aisladas y probadas. La palabra clave es aisladas: un backup conectado permanentemente a la red puede ser cifrado junto con el resto de los datos. Igual de importante es haberlo probado — saber que puedes restaurar no es lo mismo que haberlo hecho.
- Segmentación de red. Si todos los equipos de la empresa comparten el mismo segmento de red, un ransomware puede propagarse lateralmente sin obstáculos. La segmentación limita el radio de daño.
- Plan de respuesta documentado. No hace falta un plan de 50 páginas. Hace falta saber quién llama a quién, qué sistemas se aíslan primero y qué proveedor IT externo tiene acceso de emergencia. Ese documento, en papel si es necesario, vale más que cualquier herramienta si el ataque cifra también los sistemas donde está guardado.
- MFA activado en todos los accesos críticos. Correo, VPN, herramientas de gestión, paneles de administración. El coste de activar MFA es mínimo comparado con el coste de un acceso no autorizado.
- Gestión de parches con cadencia real. No basta con tener una política de actualización: hay que ejecutarla. Un parche disponible que no se aplica durante semanas es una ventana abierta.
El ransomware en 2026 es una amenaza madura, bien organizada y adaptada a las realidades del mercado. Las pymes españolas no son objetivos secundarios: son el objetivo preferido de grupos como Akira precisamente porque combinan datos de valor con defensas más débiles. La buena noticia es que las medidas que más reducen el riesgo no son las más costosas. Si quieres revisar el estado real de exposición de tu empresa — accesos remotos, política de backups, configuración de correo — es un buen momento para hacer esa revisión antes de que alguien más lo haga por ti.
ransomware pymes España
ciberseguridad empresas
protección ransomware 2026
doble extorsión
seguridad IT pymes
backup empresas
phishing corporativo