Según el informe El Estado del Ransomware en Retail 2025 de Sophos, basado en encuestas a responsables de TI y ciberseguridad de 16 países, desvela que el 46% de los ataques en retail se iniciaron a partir de brechas de seguridad desconocidas, mientras que el 58% de las organizaciones con datos cifrados terminaron pagando el rescate.
El informe también señala que la media de demanda de rescate llegó casi a los dos millones de dólares, el doble que en 2024. Además, también subraya que los atacantes están diversificando técnicas, combinando explotación de vulnerabilidades, extorsión y compromiso de cuentas. Todo con el objetivo de maximizar su impacto en el sector.
El comercio minorista sigue siendo un objetivo destacado para los atacantes. Los motivos para ellos son múltiples, y entre ellos están su elevada dependencia tecnológica, la criticidad de sus operaciones y el valor de los datos que gestionan. La complejidad de sus ecosistemas, además, que abarcan pagos, inventarios y plataformas online, amplía la superficie de ataque y facilita la explotación de las brechas operativas o técnicas.
La causa técnica más frecuente de los ciberataques es, nuevamente, la explotación de vulnerabilidades, presente en el 30% de los ataques. Le siguen el uso de credenciales comprometidas y el phishing. Un 46% de los incidentes se originaron en brechas desconocidas, mientras que un 40% se debieron a falta de experiencia especializada y carencias de protección.
A pesar de que las demandas de rescate en el sector retail se han duplicado en un año, el pago promedio aumentó solo un 5% hasta situase en un millón. De las organizaciones que pagaron, un 29% abonó la cantidad exigida en un principio, mientras que la mayoría consiguió una rebaja, lo que muestra más resistencia y uso de asesoramiento externo con más frecuencia.
El coste medio de recuperación, rescates aparte, bajó un 40% hasta 1,65 millones de dólares, gracias a una mejor detección temprana y a la adopción de servicios especializados. Además, el 51% de retailers se recuperaron en una semana, y el 96% en menos de tres meses. Un 98% de empresas afectadas por cifrado consiguió restaurar sus datos a pesar de que ha descendido el uso de copias de seguridad.
Un 47% de los profesionales del sector retail experimentaron un aumento de presión tras sufrir un ataque que implicó cifrado de datos. En el 26% de los casos, además, se produjeron cambios en los equipos directivos responsables de TI y ciberseguridad después de un ataque. Estos datos ponen de manifiesto que el ransomware no solo afecta a sistemas y procesos, sino también a la estructura y la dinámica de los equipos técnicos.
Ante este escenario, Sophos recomienda a los retailers reforzar sus defensas en cuatro áreas: prevención (identificar y corregir vulnerabilidades antes de los picos de actividad comercial), protección (asegurar que los endpoints, servidores y redes tienen defensas específicas anti ransomware), detección y respuesta (implementar servicios de MDR para vigilancia continua y respuesta experta en tiempo real), y planificación. Esto último, implica contar con un plan de respuesta probado, mantener copias de seguridad verificadas y formar al personal en verificación de identidad.
Chester Wisniewski, Director de Seguridad de Campo Global (Field CISO) en Sophos, ha recordado además que «en momentos de alta presión comercial, la combinación de ingeniería social y ransomware convierte a las personas en la nueva frontera de la ciberseguridad. La prevención, la verificación y la visibilidad continua son esenciales para evitar que la próxima brecha comience con una simple voz conocida».