Los ciberdelincuentes recurren al robo de datos en fabricación ante su bloqueo del ransomware

El sector manufacturero está mejorando su resistencia frente a la ciberamenaza del ransomware.

Las compañías del sector fabricación están logrando detener más ataques de ransomware antes de que los datos sean cifrados; sin embargo, los adversarios recurren cada vez más al robo de información corporativa y a tácticas exclusivas de extorsión para mantener la presión.

Así se desprende del último informe State of Ransomware in Manufacturing and Production 2025 de Sophos, líder mundial en soluciones de seguridad innovadoras para combatir los ciberataques, que desvela cómo más de la mitad de las organizaciones afectadas por el cifrado han pagado el rescate, a pesar de los avances en medidas de defensa.

Basado en una encuesta independiente realizada a 332 organizaciones de fabricación que han sufrido ataques de ransomware durante el último año, el informe destaca importantes conclusiones:

•   Las tasas de cifrado están disminuyendo, pero los adversarios cambian sus tácticas: el 40% de los ataques a fabricantes resultaron en cifrado de datos, lo que representa el nivel más bajo en cinco años y una caída del 74% desde el pasado año. Sin embargo, los ataques de extorsión han aumentado un 10% frente al 3% que representaron en 2024. Esto se debe a que los atacantes dependen cada vez más del robo de datos para obtener dicha ventaja.

•   El robo de datos sigue constituyendo una preocupación importante: el 39% de los fabricantes que sufrieron ataques de cifrado, también sufrieron robo de datos. Esto representa una de las tasas más altas entre todos los sectores encuestados.

•   Más organizaciones están deteniendo los ataques antes del cifrado: el 50% de las organizaciones manufactureras detuvieron el ataque antes de que los datos pudieran ser cifrados, lo que supone más del doble respecto al 24% del pasado año.

•   La falta de experiencia y la protección inadecuada alimentan los ataques: el 42,5% de las organizaciones citó la falta de experiencia como posible causa de los ataques. El 41,6% mencionó brechas de seguridad desconocidas, y el 41% la falta de protección. Los consultados identificaron un promedio de tres factores internos que contribuyeron al ataque.

•   Más de la mitad de los fabricantes con datos cifrados pagaron el rescate: el 51% de las organizaciones afectadas pagaron el rescate, siendo la cantidad media pagada de 1 millón de dólares -860.000 €-, frente a una demanda media de 1,2 millones de dólares (más de 1 millón de euros).

•   Los costes y tiempos de recuperación están mejorando: el coste medio para recuperarse de un ataque de ransomware, excluyendo el pago del rescate, disminuyó un 24%, lo que se traduce en 1,3 millones de dólares -alrededor de 1,1 millones de euros-. El 58% de los fabricantes se recuperó completamente en una semana, frente al 44% del pasado año.

•   Los incidentes de ransomware afectan a los equipos de TI y Seguridad: el 47% de los fabricantes reconocieron un aumento del estrés en el equipo tras experimentar cifrado de datos. El 44% indicó mayor presión por parte de los directivos y el 27% cambios en el liderazgo como resultado del ataque.

“El sector fabricación depende de sistemas interconectados en los que incluso una breve interrupción puede detener la producción y afectar a toda la cadena de suministro”, apunta Alexandra Rose, Directora de Investigación de Amenazas en Sophos Counter Threat Unit. “Los atacantes explotan esta presión: a pesar de que las tasas de cifrado bajaron al 40%, el rescate medio pagado aún alcanza el millón de dólares. Y aunque la mitad de los fabricantes detuvieron los ataques antes del cifrado, los costes de recuperación rondan los 1,3 millones de dólares. Las defensas en capas, la visibilidad continua y los planes de respuesta bien ensayados son esenciales para reducir tanto el impacto operativo como el riesgo financiero”.

Casi 100 grupos atacan al sector

En los últimos doce meses, Sophos X-Ops ha detectado que las organizaciones manufactureras han sido atacadas por 99 grupos de amenazas distintos. Los grupos más destacados son GOLD SAHARA (Akira), GOLD FEATHER (Qilin) y GOLD ENCORE (PLAY). En más de la mitad de los incidentes de ransomware en los que Sophos Emergency Incident Response intervino, los atacantes robaron y cifraron datos, destacando el uso de tácticas de doble extorsión donde los datos se retienen para pedir un rescate y se amenaza con su publicación en sitios de filtraciones.

Fortaleciendo las defensas a largo plazo

Basado en su experiencia protegiendo organizaciones manufactureras a nivel mundial, Sophos recomienda las siguientes prácticas para ayudarle a protegerse frente al ransomware y otras ciber-amenazas:

•   Eliminar las causas de origen: tomar medidas proactivas para abordar debilidades técnicas y operativas comunes -como vulnerabilidades explotadas- que los adversarios suelen atacar. Soluciones como Sophos Managed Risk pueden ayudar a las organizaciones a evaluar su exposición y reducir el riesgo en sus entornos.

•   Defender cada terminal: asegurar que todos los endpoints, incluyendo los servidores, estén protegidos con defensas anti-ransomware para evitar los ataques.

•   Planificar y prepararse: establecer y probar rutinariamente un plan integral de respuesta a incidentes. Es recomendable mantener copias de seguridad fiables y practicar la restauración 
de datos regularmente para minimizar el tiempo de inactividad en caso de un ataque.

•   Monitorización 24/7: la visibilidad continua es esencial. Las organizaciones sin recursos internos pueden fortalecer su resiliencia asociándose con un proveedor de Detección y Respuesta Gestionadas (MDR) para una monitorización y respuesta profesional 24/7.