Ransomware en PYMEs españolas: 1 de cada 3 ha sido atacada — y solo la mitad recupera sus datos pagando

Hace diez años, el ransomware era una palabra que solo aparecía en los titulares cuando atacaban a un hospital grande, a una multinacional o a una administración pública. Hoy el escenario ha cambiado: el blanco principal son las pequeñas y medianas empresas, precisamente las que menos recursos tienen para defenderse. Cuando un dueño de PYME nos contacta tras enterarse de un caso en su sector, la pregunta de fondo siempre es la misma: «¿yo estoy realmente protegido?». La respuesta honesta, después de muchas auditorías, es que la mayoría de empresas no lo está tanto como cree.

Este artículo no va de meter miedo. Va de poner sobre la mesa los datos que se han publicado en las últimas semanas — son públicos, son verificables — y traducirlos a lo que significan para una empresa de 5 a 50 empleados en España. Y, sobre todo, qué hacer.

Qué dicen exactamente los datos del Informe Hiscox 2025

El Informe de Ciberpreparación 2025 de Hiscox — una de las grandes aseguradoras internacionales de ciberseguros, con presencia directa en España — recoge los datos sobre ransomware en PYMEs españolas que conviene leer juntos:

• El 31 % de las PYMEs españolas ha sufrido un ataque de ransomware en los últimos doce meses. Sobre el censo total, hablamos de cientos de miles de empresas afectadas en España.
• De las que decidieron pagar el rescate, solo el 57 % recuperó algunos o todos sus datos. Es decir: de cada diez empresas que pagan, cuatro se quedan sin datos y sin el dinero del rescate.
• El 25 % de las que pagaron acabó con su información filtrada pese al pago. En 2024 esa cifra era del 7 %. Es decir: pagar, además de no garantizar la recuperación, ya tampoco impide la filtración pública.
• El 31 % descubrió que la clave de descifrado proporcionada por los atacantes no funcionaba o solo funcionaba a medias.
• El 29 % de las empresas que sufrieron un ataque, sufrió otro nuevo en los meses siguientes. Pagar no compra paz, pone diana.
• El 28 % de los atacantes exigió pagos adicionales después del rescate inicial. Una vez que entras en la rueda, no salen las cuentas.
• El 46 % de las empresas tuvo que reconstruir sus sistemas por completo incluso después de haber recibido una clave válida. Es decir: pagas, recuperas la clave, recuperas algunos datos… y aun así te toca rehacer media infraestructura.

Por qué pagar el rescate es la peor opción

Esta es la conversación que tenemos con clientes que se ven en la situación, y siempre cuesta convencer. La tentación de pagar es enorme — la empresa está parada, los empleados sin trabajar, los clientes quejándose. Cuesta razonar en frío. Pero los datos son claros:

1. Pagar no garantiza recuperar los datos

El 43 % de quienes pagan no recibe la clave de descifrado, o la recibe pero está corrupta, o solo descifra parte de los archivos. Estás financiando un secuestro sin que te devuelvan al rehén.

2. Pagar no impide que filtren tus datos

Los grupos modernos de ransomware practican lo que se llama doble extorsión: además de cifrar tus datos, los copian a sus servidores y amenazan con publicarlos. Aunque pagues por la clave de descifrado, en uno de cada cuatro casos publican igualmente los datos para presionar a la siguiente víctima. La filtración es el mayor problema reputacional y de RGPD que puede tenerte una empresa.

3. Pagar te marca como objetivo

Las empresas que pagan se intercambian en listas. La probabilidad de sufrir un segundo ataque dentro de los siguientes dos años es significativamente mayor para quien ya ha pagado una vez. Estás indicando al ecosistema de atacantes: "a esta empresa le funcionó la presión, volved".

4. Pagar puede ser ilegal

Si el grupo de ransomware está sancionado por la OFAC norteamericana o por la Unión Europea — y muchos de los grandes lo están —, pagar el rescate puede constituir un delito de financiación a una organización sancionada, con consecuencias penales para los administradores. La AEPD también puede sancionar el pago si se considera negligencia en la protección de datos personales. Y si el ataque destruye facturas que tenías obligación de conservar 6 años (algo crítico desde la entrada en vigor de la facturación electrónica obligatoria), la pérdida de defensa fiscal se suma al problema.

Cómo entran exactamente: los cuatro vectores típicos

En la inmensa mayoría de ataques contra PYMEs documentados por la industria, el origen del problema se reduce a una de estas cuatro puertas de entrada. Ninguna es exótica. Todas son evitables con higiene básica:

• Correo electrónico con adjunto malicioso o enlace de phishing. Suplantando a un proveedor habitual, a Hacienda, al banco, a Correos. Sigue siendo la vía número uno. Un solo click de un empleado abre la puerta.
• Conexión RDP (escritorio remoto) expuesta a internet con contraseña débil. Esto se puso de moda en pandemia para que la gente trabajase desde casa, y muchas empresas no han cerrado la puerta. Los atacantes escanean internet buscando puertos 3389 abiertos y prueban contraseñas en masa.
• Software desactualizado. Windows 10 sin parches desde octubre de 2025 (cubrimos esto en otro artículo), Office 2016 sin actualizar, antivirus de hace cinco años, firmware de router que nunca se ha tocado. Cualquier vulnerabilidad pública sin parchear es una entrada.
• Credenciales filtradas. Una contraseña que un empleado usaba en una web comprometida — LinkedIn, Adobe, MyHeritage, lo que sea — y que reutilizaba para acceder al correo de empresa. Los atacantes tienen bases de datos con miles de millones de combinaciones email/contraseña y las prueban contra empresas concretas.

Qué hace el ransomware una vez dentro

Esta parte la cuento porque ayuda a entender por qué la prevención importa más que la detección. Una vez que el atacante tiene un punto de apoyo dentro de tu red — un solo PC con credenciales válidas — el patrón típico es:

1. Reconocimiento silencioso (días o semanas). No cifra nada todavía. Mira qué hay, qué servidores existen, dónde están los backups, qué cuentas tienen permisos de administrador. Aprende tu red mejor que tú.
2. Borrado de copias de seguridad. Es el primer objetivo serio. Si tus backups están en un disco USB conectado al servidor, en una carpeta compartida de la red o en una nube con la misma contraseña que el dominio, los borran o los cifran antes de empezar contigo. Por eso un backup que no esté aislado no es un backup, es un trámite.
3. Exfiltración de datos. Copia los archivos sensibles a sus servidores (clientes, contabilidad, personal, cualquier cosa con valor). Esto es lo que permite la doble extorsión.
4. Cifrado masivo. Lanza el ransomware en todos los equipos a la vez, normalmente un viernes por la tarde para que tardes el fin de semana en darte cuenta. El lunes, todo bloqueado.
5. Nota de rescate. Aparece la pantalla pidiendo el pago en bitcoin, normalmente entre 10.000 y 200.000 € para una PYME, con cuenta atrás de 72 horas o aumenta el precio.

Las cuatro cosas que SÍ funcionan

No hay bala de plata. Pero la inmensa mayoría de los ataques exitosos contra PYMEs se hubieran evitado o quedado en susto si la víctima tenía estos cuatro pilares:

1. Backup 3-2-1 con copia inmutable o aislada

La regla 3-2-1 es vieja pero sigue siendo la respuesta correcta: 3 copias de los datos, en 2 tipos de soporte distintos, con 1 copia fuera de la oficina (offsite). Lo nuevo en 2026 es añadir la regla "+1": una copia inmutable — que no se puede borrar ni cifrar aunque tengas las credenciales — o físicamente desconectada. Es la única forma de garantizar que el ransomware no toca el backup. Si pierdes tus datos cifrados, restauras del backup inmutable y, en cuestión de horas, vuelves a operar sin pagar nada.

Si quieres profundizar en esto sin más rodeos, tenemos una guía completa de copias de seguridad para empresas donde explicamos la regla 3-2-1, el cifrado AES-256, los siete errores más caros y comparativa de software.

2. Sistema operativo y software al día

Parches de seguridad aplicados en una media inferior a 72 horas desde que se publican. Esto incluye Windows, Office, navegador, antivirus, firmware del router y de la NAS, y software vertical (ERP, CRM, contabilidad). Si todavía tienes equipos con Windows 10 sin ESU, son entradas abiertas — lo cubrimos en nuestra guía sobre el fin de soporte de Windows 10.

3. MFA en correo, banca y accesos críticos

La autenticación en dos factores (MFA) — aunque sea por SMS, idealmente por aplicación — bloquea el 90 % de los ataques basados en credenciales filtradas. Activarla en Microsoft 365, Google Workspace, banca empresa y cualquier panel de administración (web, ERP en la nube, etc.) es trabajo de una tarde y previene la mayoría de los problemas serios.

4. Formación básica del equipo

No hace falta convertir a tus empleados en expertos en ciberseguridad. Hace falta que sepan tres cosas: (a) no abrir adjuntos inesperados, (b) llamar al técnico antes de hacer click en algo raro, (c) no reutilizar contraseñas entre la empresa y servicios personales. Una sesión de 45 minutos al año reduce drásticamente el riesgo de phishing exitoso.

Si ya te ha pasado: las primeras 72 horas

Si has llegado a este artículo porque ya estás en medio del problema, te dejamos un orden de actuación razonable. Esto no sustituye una respuesta a incidentes profesional, pero sí marca lo que NO hay que hacer:

• Aísla, no apagues. Desconecta los equipos afectados de la red (cable y wifi), pero no los apagues. Apagar destruye trazas que pueden ayudar a identificar qué ha pasado y cuánto se han llevado.
• No pagues sin asesoramiento legal. Como dijimos arriba, puede ser delito y rara vez funciona. Antes de cualquier negociación, habla con un abogado especializado.
• Notifica al INCIBE a través de su línea 017 — es gratuita y ofrecen asesoramiento inmediato a PYMEs víctimas de ciberataques.
• Notifica a la AEPD en menos de 72 horas si hay datos personales comprometidos — es obligatorio por RGPD y te ahorra sanciones futuras.
• Restaura desde el backup más reciente conocido como sano, no del último que tengas — el último puede estar comprometido. Esto solo es posible si tenías backup inmutable o aislado.
• Cambia TODAS las contraseñas de cuentas con privilegios y, en cuanto vuelvas a operar, activa MFA en todo lo que se pueda.

Lo que hacemos en Redenet

Llevamos dando mantenimiento informático a empresas en Madrid desde 2007. La ciberseguridad no la vendemos como un producto suelto: forma parte del mantenimiento, sin facturación extra. En la práctica esto significa:

• Configuración y supervisión de copias de seguridad cifradas con nuestro software Recovia (incluye modalidad inmutable + offsite, cifrado AES-256, retención configurable). En contratos de mantenimiento va incluido el plan Enterprise de Recovia.
• Gestión de parches de seguridad de Windows, Office y antivirus en todos los equipos del cliente dentro del horario laboral, sin que el usuario tenga que preocuparse.
• Configuración de MFA en correo (Microsoft 365 / Google Workspace), banca y servicios críticos.
• Sesiones cortas de formación a empleados sobre phishing y buenas prácticas, una al año, sin coste extra para clientes de mantenimiento.
• Si ya estás en mitad de un incidente, atendemos por nuestro soporte técnico remoto y, si estás en Madrid, podemos desplazar técnico presencial.

Si quieres saber en qué punto está tu empresa — qué backups tienes, dónde están las puertas abiertas, qué hay que priorizar para no acabar en las estadísticas del próximo trimestre —, lo más rápido es la auditoría informática gratuita. Si lo que te interesa es entender primero el coste real de un servicio profesional de mantenimiento que cubra todo esto, hemos hecho una guía detallada sobre precios de mantenimiento informático para empresas.

Fuentes y estudios citados

Los datos sobre PYMEs españolas citados en este artículo proceden del informe primario de Hiscox. Como complemento sectorial añadimos referencias del informe global de Sophos y los recursos oficiales españoles:

• → Hiscox — Informe de Ciberpreparación de Hiscox 2025 (fuente primaria de los datos sobre PYMEs españolas: 31 % atacadas, 57 % recupera pagando, 25 % filtración tras pago, 31 % clave inválida, 29 % sufre nuevo ataque, 28 % pago adicional, 46 % reconstruye sistemas). Estudio realizado por Wakefield Research sobre 5.750 empresas en EE.UU., Reino Unido, Francia, Alemania y España (1.000 respuestas por país). PDF completo del informe.
• → Sophos — State of Ransomware 2025. Informe global anual basado en encuesta a 3.400 directores IT de 17 países (incluida España). Referencia sectorial sobre vectores de entrada, dwell time del atacante y tendencias.
• → IT User (enero 2026) — Cobertura sectorial española de los datos del informe Hiscox.
• → INCIBE — Línea 017 · Servicio público y gratuito de asesoramiento en ciberseguridad para empresas, autónomos y ciudadanos en España.
• → AEPD — Guía oficial sobre notificación de brechas de seguridad de datos personales (RGPD, plazo de 72 horas).

Escrito por el equipo técnico de Redenet IPM — Móstoles, Madrid. Si tienes dudas concretas sobre tu situación, llámanos al 911 28 72 77 o escríbenos a comercial@redenet.es y te lo contamos sin compromiso.