El tema de los ataques de programas de rescate lleva varios años en las primeras páginas de los medios especializados. Pero si a principios de la década pasada se percibían como un problema de empresas aisladas, hoy son una amenaza sistémica para sectores enteros de la economía.
El 2025 solo confirmó esta tendencia: los delincuentes han elegido un objetivo "preferido" y continúan atacándolo de forma metódica. Y aunque la magnitud del daño varía, las consecuencias resultan dolorosas tanto para las empresas como para la sociedad.
En este artículo analizaremos por qué la industria sigue siendo el principal objeto de atención de los extorsionadores, cómo cambian las técnicas de intrusión y qué se puede hacer realmente contra estos ataques.
La industria manufacturera en el punto de mira
Según los datos de Dragos, una empresa especializada en la protección de sistemas industriales, alrededor de dos tercios de todos los casos conocidos de uso de programas de rescate contra instalaciones industriales en el segundo trimestre de 2025 correspondieron al sector manufacturero. Esta estadística no refleja una oscilación accidental, sino una tendencia sostenida. En comparación, transporte y otras ramas, aunque siguen entre las afectadas, quedan muy por detrás en escala de los ataques.
Merece atención especial el sector de la construcción. Su aparición inesperada en el top por número de incidentes se explica por varios factores: una red extensa de contratistas, muchos nodos poco protegidos y el uso de equipos obsoletos en la periferia de la infraestructura.
Cada uno de estos elementos se convierte en un punto de entrada para los atacantes. Según el informe IBM X-Force Threat Intelligence Index 2025, la industria conserva el liderazgo como el sector más atacado del mundo por cuarto año consecutivo.
Cómo se infiltran los atacantes
Contrariamente a las esperanzas de los defensores, el panorama de los métodos de ataque cambia lentamente. El informe "State of Ransomware 2025" de Sophos muestra que la causa técnica más frecuente de las infecciones sigue siendo la explotación de vulnerabilidades en el software. En segundo lugar está la comprometimiento de credenciales, seguido por correos maliciosos y sus adjuntos.
Al mismo tiempo es cada vez más evidente el desplazamiento hacia ataques que no requieren la carga de archivos maliciosos. Según el informe "Global Threat Report 2025" de CrowdStrike, crece rápidamente la proporción de intrusiones denominadas "sin malware". En ellas los atacantes actúan no rompiendo el sistema, sino haciéndose pasar por usuarios legítimos, explotando cuentas válidas, mecanismos de autenticación obsoletos y herramientas de administración remota.
El factor humano se convierte en el eslabón decisivo: justamente las contraseñas débiles, la reutilización de credenciales y el control insuficiente sobre servicios remotos abren las puertas a los atacantes.
El sector educativo: un objetivo con consecuencias particulares
Aunque las instituciones educativas no encabezan las listas por número de incidentes, las consecuencias de los ataques contra ellas suelen ser especialmente dolorosas. Según K-12 Dive, el número de ataques a escuelas, colegios y universidades en la primera mitad de 2025 aumentó un 23% respecto al mismo periodo del año anterior. Los rescates suelen alcanzar de media cientos de miles de dólares.
Un ejemplo destacado es el condado de Uvalde en Texas, donde tras un ataque se tuvo que suspender una semana de clases. No solo sufrieron los planes de estudio, sino también sistemas críticos: telefonía, climatización y comunicaciones internas. En esos casos el daño no se mide solo en dinero: afecta la calidad educativa y la vida cotidiana de miles de personas.
Dónde concentrar la protección
Los expertos de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), en su guía StopRansomware, indican dos áreas clave que requieren especial atención: la gestión de vulnerabilidades y la protección de las credenciales.
En la práctica, esto significa actualizar puntualmente el firmware de pasarelas VPN, cortafuegos, herramientas de acceso remoto, y ejercer un control estricto sobre el uso de software de administración remota. Es crucial implementar autenticación multifactor, preferiblemente con métodos resistentes al phishing.
Prepararse para el peor escenario
Incluso con un alto nivel de protección no se puede excluir la posibilidad de un incidente. Por eso una estrategia de seguridad adecuada incluye no solo medidas preventivas, sino también un plan de recuperación. La experiencia muestra que las empresas con copias de seguridad offline actualizadas y que las verifican regularmente se recuperan mucho más rápido.
Uno de los enfoques más fiables para las copias de seguridad es la metodología 3-2-1-1-0. Propone tener tres copias de los datos en dos tipos de medios diferentes, una copia almacenada fuera de línea, otra en formato inmutable, además de la verificación obligatoria de recuperación con cero errores. Parecen reglas sencillas, pero su cumplimiento exige disciplina y recursos, lo que sigue siendo un reto serio para muchas organizaciones.
Por qué fábricas y escuelas siguen siendo presa fácil
Las plantas de producción suelen operar con sistemas heredados que son difíciles o caros de actualizar. Cualquier modernización implica riesgo de paradas y, por tanto, pérdidas financieras. Como resultado, componentes críticos quedan años sin parches. En el sector educativo el problema es distinto: escasez de personal cualificado y presupuestos limitados para ciberseguridad. A ambas categorías de víctimas las une una misma limitación: la imposibilidad de construir una protección multicapa completa.
Conclusión
El 2025 confirmó una verdad antigua: los atacantes siempre eligen objetivos fáciles. las fábricas con nodos periféricos vulnerables y las escuelas con déficit de especialistas se convierten en objetivos ideales para los programas de rescate. Las técnicas de ataque evolucionan: desde la explotación de fallos en el software hasta el abuso de cuentas legítimas. Pero la esencia sigue siendo la misma: los delincuentes buscan la forma más fácil de entrar.
¿Qué se puede hacer? En primer lugar, trabajar de forma sistemática con las vulnerabilidades: actualizaciones regulares, control del estado de los servicios críticos y aislamiento de componentes obsoletos. En segundo lugar, gestión rigurosa de la identificación y el acceso, incluida la autenticación multifactor y la minimización de privilegios. En tercer lugar, disciplina en las copias de seguridad siguiendo el principio 3-2-1-1-0. Y, por último, una visión realista de los riesgos: la cuestión no es si se podrá evitar totalmente un ataque, sino con qué rapidez y sin grandes daños se recuperará la actividad.
Mientras unas organizaciones consideran excesivos los gastos en seguridad, otras reciben una lección real de los extorsionadores. Solo quienes toman la amenaza en serio y se preparan con antelación tienen la posibilidad de convertir una catástrofe en un incidente desagradable pero manejable. En un contexto en que la delincuencia digital se convierte en una industria con miles de millones en movimiento, no hay otra vía.
