•Los atacantes intensificaron el robo de datos y las tácticas de extorsión para mantener presión.
•Sophos X-Ops identificó a Akira, Qilin y PLAY entre los grupos de Ransomware más activos contra el sector.
Sophos, líder global en soluciones innovadoras de seguridad para derrotar ciberataques, dio a conocer nuevos hallazgos de su informe Sophos State of Ransomware in Manufacturing and Production 2025. El estudio revela que las empresas manufactureras están logrando detener más ataques de Ransomware antes de que los datos sean cifrados; sin embargo, los adversarios recurren cada vez más al robo de información y a tácticas de extorsión sin cifrado para mantener su influencia. Como resultado, más de la mitad de las organizaciones del sector que sí sufrieron cifrado de datos terminaron pagando el rescate, a pesar de los avances en sus medidas defensivas. El informe se basa en una encuesta independiente realizada a 332 organizaciones manufactureras que fueron víctimas de Ransomware durante el último año.
El informe Sophos State of Ransomware in Manufacturing and Production encontró que:
-
Disminuyen las tasas de cifrado, pero los atacantes cambian de estrategia: El 40% de los ataques contra fabricantes resultó en el cifrado de datos, el nivel más bajo en cinco años y una caída frente al 74% registrado el año pasado. No obstante, los ataques de extorsión sin cifrado aumentaron al 10%, frente a solo el 3% en 2024, ya que los atacantes dependen cada vez más del robo de datos como mecanismo de presión.
-
El robo de datos sigue siendo una preocupación relevante: El 39% de los fabricantes que experimentaron cifrado también reportaron robo de información, una de las tasas más altas entre todos los sectores analizados.
-
Más organizaciones logran detener los ataques antes del cifrado: El 50% de las empresas manufactureras logró frenar el ataque antes de que los datos fueran cifrados, más del doble del 24% registrado el año pasado.
-
La falta de experiencia y protección impulsa los ataques: El 42.5% de las organizaciones citó la falta de experiencia como un factor clave. El 41.6% señaló brechas de seguridad desconocidas y el 41% mencionó una protección insuficiente. En promedio, los encuestados identificaron tres factores internos que contribuyeron al ataque.
-
Más de la mitad de los fabricantes con datos cifrados pagó el rescate: El 51% de las organizaciones afectadas pagó el rescate. El monto mediano pagado fue de 1 millón de dólares, frente a una demanda mediana de 1.2 millones de dólares
-
Mejoran los costos y tiempos de recuperación: El costo promedio de recuperación tras un ataque de Ransomware, excluyendo el pago del rescate, disminuyó un 24%, hasta 1.3 millones de dólares. El 58% de los fabricantes se recuperó por completo en una semana, frente al 44% del año anterior.
-
Los incidentes de Ransomware impactan a los equipos de TI y seguridad: El 47% de los fabricantes reportó un aumento en el estrés de sus equipos tras el cifrado de datos. El 44% indicó mayor presión por parte de la alta dirección y el 27% reportó cambios en el liderazgo como consecuencia del ataque.
“La industria manufacturera depende de sistemas interconectados, donde incluso breves periodos de inactividad pueden detener la producción y afectar a toda la cadena de suministro”, señaló Alexandra Rose, directora de Investigación de Amenazas de Sophos Counter Threat Unit. “Los atacantes se aprovechan de esta presión: aunque las tasas de cifrado bajaron al 40%, el rescate mediano pagado aún alcanzó el millón de dólares. Si bien la mitad de los fabricantes logró detener los ataques antes del cifrado, los costos de recuperación promedian 1.3 millones de dólares y el estrés en el liderazgo sigue siendo elevado. Las defensas en capas, la visibilidad continua y los planes de respuesta bien ensayados son esenciales para reducir tanto el impacto operativo como el riesgo financiero”.
Lo que Sophos está observando en el sector manufacturero
Durante los últimos doce meses, Sophos X-Ops analizó la actividad de Ransomware en sitios de filtración de datos y detectó que 99 grupos de amenazas distintos apuntaron a organizaciones manufactureras. Los grupos más destacados, con base en estas observaciones, son GOLD SAHARA (Akira), GOLD FEATHER (Qilin) y GOLD ENCORE (PLAY)
En línea con las tendencias del informe, en más de la mitad de los incidentes de Ransomware en los que intervino Sophos Emergency Incident Response, los atacantes robaron y cifraron datos, lo que evidencia el uso de tácticas de doble extorsión, donde la información es retenida para exigir un rescate y se amenaza con su publicación en sitios de filtración.
Fortalecer las defensas a largo plazo
Con base en su experiencia protegiendo organizaciones manufactureras a nivel global, Sophos recomienda las siguientes mejores prácticas para mantenerse un paso adelante del Ransomware y otras ciberamenazas:
-
Eliminar las causas raíz: Tomar medidas proactivas para abordar debilidades técnicas y operativas comunes —como vulnerabilidades explotadas— que los atacantes suelen aprovechar. Soluciones como Sophos Managed Risk ayudan a evaluar la exposición y reducir riesgos en todo el entorno.
-
Proteger cada endpoint: Asegurar que todos los endpoints, incluidos los servidores, cuenten con defensas dedicadas contra Ransomware para evitar que los ataques se consoliden.
-
Planear y prepararse: Establecer y probar periódicamente un plan integral de respuesta a incidentes. Mantener respaldos confiables y practicar la restauración de datos de forma regular para minimizar el tiempo de inactividad ante un ataque.
-
Monitorear 24/7: La visibilidad continua es clave. Las organizaciones sin recursos internos pueden fortalecer su resiliencia al asociarse con un proveedor confiable de Managed Detection and Response (MDR) para contar con monitoreo permanente y respuesta experta.
Para más información, descarga el informe Sophos State of Ransomware in Manufacturing and Production 2025