A lo largo de los años, la conversación sobre ransomware ha seguido un guión familiar. El sistema se cae. Los archivos están cifrados. Operación estancada. Los ejecutivos preguntan si la empresa puede restaurar desde una copia de seguridad o si tiene que pagar.
Esa escena todavía sucede. Pero un informe de toda la industria publicado el mes pasado encontró que la amenaza se divide en vías paralelas.
Analista líder de seguridad cibernética en Fortra.
El informe, basado en cientos de operaciones de respuesta a incidentes del mundo real, encontró que los incidentes de minería de datos por sí solos aumentaron once veces durante el año, del 2% al 22% de los casos.
El artículo continúa a continuación.
El Informe de investigaciones de violaciones de datos de 2025 de Verizon refleja esta evolución más amplia al tratar el ransomware con o sin cifrado como parte del mismo panorama de extorsión, y señala que el ransomware apareció en el 44% de las violaciones que revisó.
Repensar cómo las empresas definen la resiliencia
Esto debería obligar a las empresas a repensar cómo definen la resiliencia. Muchas organizaciones todavía abordan el ransomware como si fuera principalmente un problema de recuperación operativa. Las preguntas clave son qué tan rápido se pueden restaurar los sistemas, si las copias de seguridad están segregadas y cuánto tiempo de inactividad puede tolerar la empresa.
Éstas siguen siendo preguntas importantes. Simplemente ya no son suficientes. Comienza cuando los atacantes pasan de la pérdida de disponibilidad a la pérdida de privacidad, todo el modelo de decisión cambia.
Las preguntas inmediatas ya no son sólo técnicas. ¿Qué información se tomó? ¿A quién pertenece? ¿Fue una base de datos de clientes, datos controlados, propiedad intelectual, comunicaciones internas o una combinación de todo lo anterior? ¿Se almacenó en un entorno central, se duplicó en una plataforma SaaS, se compartió con un proveedor o se conservó durante años más de lo necesario?
Si el liderazgo no puede responder estas preguntas rápidamente, puede restaurar los sistemas pero aún así no lograr mitigar las consecuencias mayores.
Informes recientes de Coveware subrayan por qué este cambio es importante. En su análisis de ransomware del segundo trimestre de 2025, se observó exfiltración en el 74% de los casos, y la empresa describió el robo de datos como el evento principal de muchos ataques, en lugar de simplemente un precursor del cifrado.
Los actores de amenazas están optimizando el estrés, no solo la disuasión. Los propios datos se han convertido en rehenes.
La doble extorsión sigue siendo parte del manual
Esto no significa que el cifrado haya desaparecido del ransomware. En muchas campañas de doble extorsión, esto sigue siendo una parte clave del manual. El punto es que el robo de datos confidenciales ahora a menudo conlleva suficientes beneficios por sí solos como para que las copias de seguridad, aunque siguen siendo esenciales, no definan la preparación.
Esto hace que la vieja historia centrada en las copias de seguridad sea cada vez más incompleta. La copia de seguridad es esencial. CISA continúa enfatizándolos, especialmente las copias de recuperación probadas y fuera de línea, al tiempo que advierte que las copias de seguridad automáticas en la nube pueden ser insuficientes si los archivos cifrados se sincronizan nuevamente con el entorno y sobrescriben las versiones limpias. Pero esa directriz apunta a una verdad más amplia.
Esa recuperación es sólo una parte de la resiliencia. Aquí es también donde el mercado se enfrenta silenciosamente a amenazas. No es casualidad que gran parte de la industria de la seguridad esté enfatizando la protección y la visibilidad de los datos en lugar de tratar el ransomware simplemente como un problema de recuperación.
Este cambio refleja una realidad más amplia: las organizaciones se están dando cuenta de que la resiliencia no se trata solo de restaurar los sistemas después de una interrupción. Se trata de reducir la incertidumbre sobre la exposición de los datos antes de que se vean obligados a convertirse en una cuestión de crisis.
Una perspectiva única sobre la recuperación ante desastres
Este concepto merece más atención en las salas de juntas, salas de guerra de seguridad y con los clientes. A muchas empresas se les ha enseñado a ver la preparación contra el ransomware a través de la lente singular de la recuperación ante desastres. Muchos MSP todavía empaquetan de esta manera. El lenguaje se centra en los objetivos de recuperación de datos, pruebas de respaldo y continuidad del negocio.
Pero en un modelo de extorsión basado en el robo de datos, una medida más reveladora de madurez es si una organización realmente sabe dónde residen sus datos confidenciales, cómo se mueven, quién tiene acceso a ellos y si deberían seguir ahí. El Marco de Ciberseguridad del NIST apunta 2.0 en esa dirección.
Sus ejemplos de implementación se solicitan explícitamente para mantener inventarios de tipos de datos específicos y con metadatos, procedencia, propietario de datos y geolocalización asociados.
Vincula la gestión del ciclo de vida con la reducción de la exposición innecesaria, incluida la destrucción segura de datos almacenados en función de políticas de retención y la identificación de sistemas y servicios redundantes que aumentan la superficie de ataque. La guía actual de respuesta a incidentes del NIST hace que el punto sea más directo.
Dice que los inventarios de datos, incluida la clasificación, el propietario y las ubicaciones lógicas y físicas, proporcionan información valiosa sobre qué datos pueden estar asociados con un incidente. Exactamente el problema que muchas empresas descubren demasiado tarde.
Comprender la verdadera superficie de ataque de datos
Aquí es donde el ransomware, la privacidad, la gobernanza y la estrategia empresarial chocan en el mismo evento. Una sola infracción puede convertirse en una interrupción operativa, un problema legal, una crisis de confianza del cliente, un ejercicio de presentación de informes regulatorios y un problema de exposición competitiva.
Por eso surge la antigua pregunta: “¿Tenemos copias de seguridad?” Ahora parece demasiado estrecho. La pregunta más difícil y útil es si la empresa comprende su verdadera superficie de ataque a los datos antes de que se produzca la intrusión. También hay un problema organizativo más profundo.
Muchas empresas han mejorado las arquitecturas de recuperación y al mismo tiempo han permitido que empeore la dispersión de datos. Los archivos confidenciales se copian entre plataformas de colaboración, repositorios en la nube, unidades compartidas, puntos finales no controlados y sistemas de terceros. Los datos heredados permanecen porque nadie quiere tomar la decisión de eliminarlos.
El acceso se acumula más rápido que las reseñas. En ese entorno, una empresa puede parecer resiliente sobre el papel y al mismo tiempo realizar silenciosamente una gran cantidad de extorsión dentro de su propio patrimonio.
lecciones estratégicas
La lección estratégica no es que las copias de seguridad sean menos importantes. Es que las copias de seguridad resuelven un problema diferente. Ayudan a restaurar el sistema. Una vez que se toman los datos, no restablecen la privacidad, la confianza ni la posición negociadora. La resiliencia debe centrarse más en los datos en una era de extorsión.
Esto significa una mejor clasificación, controles de gestión de identidades más estrictos en torno a repositorios de alto valor, una mayor visibilidad en entornos de nube y de terceros, y prácticas de retención más disciplinadas para que sea menos probable que los atacantes los roben en primer lugar. Esto significa conversaciones más honestas con clientes y juntas directivas sobre la diferencia entre recuperación operativa y verdadera resiliencia.
Las empresas que naveguen mejor por esto no tendrán un tiempo de recuperación rápido. Serían las que nunca tendrían que adivinar lo que se tomó. La copia de seguridad es infraestructura. Estrategias para comprender sus datos. En el actual entorno de amenazas, la brecha entre estas dos cosas es exactamente donde reside la extorsión.
Lea nuestra lista de los mejores servicios de recuperación de datos.
