El sector fabricación duplica los ataques de ransomware bloqueados

Un informe de Sophos revela un aumento del robo de datos y nuevas tácticas de extorsión en la industria manufacturera

Alexandra Rose, directora de Investigación de Amenazas en Sophos Counter Threat Unit. Foto: cortesía. Portal ERP España.

Las empresas del sector fabricación están logrando bloquear un mayor número de ataques de ransomware antes de que los datos sean cifrados, pero los adversarios están intensificando el robo de información corporativa y las tácticas de extorsión para mantener su capacidad de presión. Esta es una de las principales conclusiones del informe 'State of Ransomware in Manufacturing and Production 2025' de Sophos, basado en una encuesta independiente a 332 organizaciones del sector que han sufrido ataques durante el último año.

El documento señala que más de la mitad de las organizaciones afectadas por cifrado han acabado pagando el rescate, pese a los avances en detección y respuesta. La industria manufacturera experimentó una tasa de cifrado del 40%, el nivel más bajo en cinco años y una caída del 74% respecto al año anterior. Sin embargo, los atacantes han modificado sus tácticas: los ataques de extorsión han aumentado un 10%, frente al 3% registrado en 2024, debido a la creciente dependencia del robo de datos como herramienta de negociación.

El informe detalla que el 39% de los fabricantes que sufrieron cifrado también experimentaron robo de datos, una de las tasas más elevadas entre los sectores analizados. Paralelamente, el 50% de las organizaciones manufactureras consiguió detener el ataque antes de que los datos fueran cifrados, más del doble que el 24% registrado el año anterior, lo que refleja una mejora en la detección temprana.

Te puede interesar: Sophos lanza ITDR para frenar el auge de los ataques de identidad

No obstante, las causas internas siguen desempeñando un papel relevante. El 42,5% de las organizaciones citó la falta de experiencia como factor que contribuyó al ataque, el 41,6% mencionó brechas de seguridad desconocidas y el 41% señaló la falta de protección. De media, los encuestados identificaron tres factores internos que favorecieron la intrusión.

El impacto económico continúa siendo significativo. El 51% de las organizaciones con datos cifrados pagó el rescate, con una cantidad media de un millón de dólares (860.000 euros), frente a una demanda media de 1,2 millones de dólares. Aun así, los costes de recuperación —excluyendo el pago del rescate— han mejorado: el coste medio descendió un 24%, situándose en 1,3 millones de dólares (alrededor de 1,1 millones de euros). Además, el 58% de los fabricantes logró recuperarse completamente en una semana, frente al 44% del año anterior.

El impacto humano también es notable. El 47% de los fabricantes reconoció un aumento del estrés en los equipos de TI y Seguridad tras sufrir cifrado de datos, el 44% reportó mayor presión por parte de la dirección y el 27% indicó cambios en el liderazgo como consecuencia del incidente.

Alexandra Rose, directora de Investigación de Amenazas en Sophos Counter Threat Unit, subraya que “el sector fabricación depende de sistemas interconectados en los que incluso una breve interrupción puede detener la producción y afectar a toda la cadena de suministro”. Añade que “los atacantes explotan esta presión: a pesar de que las tasas de cifrado bajaron al 40%, el rescate medio pagado aún alcanza el millón de dólares”. También destaca que, aunque la mitad de los fabricantes detuvieron los ataques antes del cifrado, “los costes de recuperación rondan los 1,3 millones de dólares”, y que “las defensas en capas, la visibilidad continua y los planes de respuesta bien ensayados son esenciales para reducir tanto el impacto operativo como el riesgo financiero”.

El informe también revela que Sophos X-Ops ha identificado 99 grupos de amenazas distintos atacando al sector en los últimos doce meses. Entre los más activos se encuentran GOLD SAHARA (Akira), GOLD FEATHER (Qilin) y GOLD ENCORE (PLAY). En más de la mitad de los incidentes en los que intervino Sophos Emergency Incident Response, los atacantes robaron y cifraron datos, empleando tácticas de doble extorsión que combinan retención de información y amenazas de publicación en sitios de filtraciones.

En cuanto a la mejora de la resiliencia, Sophos recomienda eliminar causas de origen como vulnerabilidades explotadas, proteger todos los endpoints con defensas anti?ransomware, establecer y probar planes de respuesta a incidentes, y garantizar monitorización continua. La compañía señala que las organizaciones sin recursos internos pueden reforzar su capacidad mediante servicios de Detección y Respuesta Gestionadas (MDR).