Resumen: Panorama y evolución del ransomware 2024–2025

El período 2024–2025 consolidó al ransomware como uno de los ciberataques más críticos y de mayor impacto para empresas a nivel global. Su relevancia no solo se refleja en el volumen de incidentes, sino en la capacidad de generar interrupciones operativas significativas y pérdidas económicas cuantiosas.

Los ataques han evolucionado de modelos masivos relativamente homogéneos hacia operaciones altamente dirigidas, personalizadas y automatizadas, apoyadas en inteligencia artificial y modelos Ransomware-as-a-Service (RaaS). Esto ha elevado su sofisticación y ha hecho que los enfoques tradicionales de defensa resulten insuficientes.

Situación de España y evolución reciente

España sigue entre los países más afectados por el ransomware, tanto por la cantidad de ataques como por su complejidad. Entre 2024 y 2025, los incidentes crecieron de forma notable, superando ampliamente la media europea, y reflejan un cambio de enfoque hacia operaciones más dirigidas y estratégicas.

• Ocupa el 2.º lugar mundial por detecciones de ransomware, representando cerca del 5 % del total global.
• Entre 2024 y 2025, los ataques se incrementaron de 62 a 134, un crecimiento interanual superior al 116 %, muy por encima de la media europea.
• Se sitúa entre los top 15 países atacados, con aproximadamente el 2 % de todos los ataques globales.

Este incremento refleja un cambio cualitativo: los ciberdelincuentes priorizan la extorsión basada en datos sobre el cifrado clásico, impulsando estrategias de doble y triple extorsión. Las filtraciones de información aumentaron un 70 %, con volúmenes de exfiltración crecientes un 92 % respecto al año anterior.

Inteligencia artificial y ransomware

La IA ya forma parte de los ataques más sofisticados, potenciando su automatización y precisión. Hoy, los ataques no solo cifran sistemas, sino que seleccionan información crítica y maximizan su impacto económico y operativo.

• 1 de cada 6 brechas involucró IA, principalmente en phishing avanzado (37 %) y deepfakes (35 %).
• El primer ransomware con IA generativa local (gpt-oss:20b) fue capaz de generar scripts dinámicos, decidir qué datos cifrar o exfiltrar y operar en Windows, Linux y macOS, facilitando ataques altamente dirigidos y de extorsión pura.

Impacto económico y operativo

El ransomware sigue generando pérdidas muy relevantes, tanto por los rescates como por los costes de recuperación y la interrupción de la actividad.

• Pago medio de rescate global: 1 millón USD en 2025, tras un pico de 2 millones USD en 2024.
• Coste medio de recuperación por incidente: 2,73 millones USD en 2024, con mejoras en tiempos de recuperación en 2025 (53 % de los incidentes se recupera en ≤1 semana).
• Coste medio global de brechas: 4,44 millones USD en 2025, con incidentes de ransomware/extorsión superando 5,08 millones USD.

Panorama español

Según INCIBE, en 2024 se gestionaron 97.348 incidentes, de los cuales 357 correspondieron a ransomware. Los sectores más afectados fueron manufactura, tecnología, sanidad, retail y finanzas, mientras que entre operadores esenciales destacan transporte (24,6 %) y sistema financiero-tributario (23,8 %).

El ransomware en España evidencia la necesidad de estrategias avanzadas de prevención, copias de seguridad robustas, monitorización constante y planes de respuesta rápidos, así como la colaboración con especialistas en ciberseguridad para reducir la exposición y garantizar la continuidad del negocio.

¿Quieres saber más?

En ESED hemos elaborado un informe detallado sobre: Resumen Ciberataques de ransomware 2025. Este muestra un análisis completo con cifras y estrategias de defensa específicas para empresas, sobre el estado de ciberataques de ransomware tanto a nivel global como de España. Descarga el informe completo en el siguiente banner.