- A medida que se duplican las demandas de rescate y aumentan los pagos, casi la mitad de los retailers atribuyen sus incidentes de Ransomware a brechas de seguridad que desconocían.
Oxford, Reino Unido, 5 de noviembre de 2025.- Expertos en ciberseguridad, publicaron su quinto informe anual State of Ransomware in Retail, una encuesta neutral de proveedores realizada entre líderes de TI y ciberseguridad en 16 países. El informe de este año revela que casi la mitad (46%) de los incidentes de Ransomware en el sector del retail se atribuyeron a brechas de seguridad previamente desconocidas, lo que pone en evidencia los desafíos actuales visibles dentro del panorama de ataque a esta industria. Entre las organizaciones con datos cifrados, el 58% pagó el rescate para recuperarlos, lo que representa la segunda tasa de pago más alta en los últimos cinco años.
Principales hallazgos del informe
- 46% de los ataques comenzaron por una brecha de seguridad desconocida (principal factor operativo).
- 30% de los ataques explotaron vulnerabilidades conocidas (principal causa técnica por tercer año consecutivo).
- 58% de las víctimas con datos cifrados pagaron; 48% de los ataques resultaron en cifrado de datos (porcentaje más bajo en los últimos cinco años).
- La demanda de rescate mediana se duplicó a 2 millones de dólares desde 2024; el pago promedio aumentó 5%, con lo que alcanzó el millón de dólares.
Lo que observan los especialistas en ciberseguridad, en el sector del retail
En el último año, los expertos han identificado casi 90 grupos de amenazas distintos que atacaron a uno o más retailers mediante ransomware o extorsión, según datos de sitios de filtraciones. Los grupos más activos que se han rastreado a través de respuesta a incidentes y casos de MDR son Akira, Cl0p, Qilin, PLAY y Lynx. Tras el ransomware, el compromiso de cuentas fue el segundo tipo de incidente más común. Al igual que en muchas otras industrias, el sector del retail es objetivo frecuente de grupos de compromiso de correo electrónico empresarial (BEC) que buscan desviar pagos, lo que representa el tercer tipo de incidente más común.
“Los retailers en todo el mundo enfrentan un panorama de amenazas cada vez más complejo, en el que los atacantes buscan y explotan vulnerabilidades existentes, especialmente en accesos remotos y dispositivos conectados a internet. Con demandas de rescate en niveles históricos, la necesidad de implementar estrategias de seguridad integrales es más evidente que nunca. Sin ellas, los retailers se exponen a interrupciones operativas continuas y daños reputacionales duraderos. Afortunadamente, muchos están comenzando a reconocer esto y respondiendo con inversiones en ciberdefensas que les permiten frenar ataques antes de que escalen y recuperarse más rápido”, señala Chester Wisniewski, director, CISO de campo global, Sophos.
La falta de experiencia interna fue el segundo factor operativo más común que contribuyó a las vulneraciones (45%), seguido por brechas en la cobertura de protección (44%). Sin las habilidades y la cobertura adecuadas, los retailers tienen dificultades para detectar y neutralizar los ataques.
Junto a estos desafíos, también hay señales de progreso. El porcentaje de ataques detenidos antes del cifrado alcanzó su nivel más alto en cinco años, lo que indica que las organizaciones del sector del retail están mejorando su capacidad para detectar y neutralizar amenazas rápidamente. La tasa de cifrado de datos se encuentra en su punto más bajo en cinco años, con solo el 48% de los ataques resultando en cifrado de información.
Aunque el pago promedio de rescate en retail aumentó un 5% (1 millón de dólares en 2025, frente a 950 mil dólares en 2024), el monto representa solo la mitad de la demanda promedio, lo que sugiere que las organizaciones del sector están mostrando una mayor resistencia a las demandas elevadas y que posiblemente están recurriendo a asesoría experta para afrontar ataques de ransomware.
Al final, los programas de ciberseguridad exitosos están centrados en la gestión de riesgos. Para evaluar y gestionar esos riesgos, los retailers deben tener visibilidad tanto de las amenazas que enfrentan como de sus activos y su postura de seguridad. Las organizaciones que combinan una sólida gestión de activos y parches con servicios de Detección y Respuesta Gestionada (MDR) y servicios de gestión de riesgos, previenen más ataques y se recuperan más rápido, adoptando un enfoque proactivo en sus defensas cibernéticas.