A pocos días del inicio de El Buen Fin 2025, programado del 13 al 17 de noviembre, un nuevo informe de la firma de ciberseguridad Sophos alerta sobre una tendencia preocupante en el sector minorista, revelando que el 58% de los comercios que sufren un cifrado de datos paga el rescate exigido por los cibercriminales.
El panorama de riesgo en México
El informe global llega en un momento crítico para el comercio electrónico en México, que ya experimentó un aumento del 47% en intentos de fraude durante la edición de El Buen Fin en 2024, según datos de la firma Signifyd.
Esta vulnerabilidad se refleja en cifras locales, ya que el Banco de México reportó que las afectaciones económicas por ciberataques a entidades financieras crecieron un alarmante 443% entre 2023 y 2024, evidenciando un entorno de alto riesgo para las transacciones digitales.
Hallazgos clave del informe global de Sophos
El quinto informe anual «El Estado del Ransomware en Retail 2025» de Sophos encuestó a líderes de TI en 16 países, cuyos hallazgos pintan un cuadro complejo de mejoras defensivas y amenazas financieras crecientes.
La alta tasa de pago y el costo del rescate
El hecho de que el 58% de las víctimas pague el rescate representa la segunda tasa de pago más alta registrada en los últimos cinco años. Aunque el pago promedio aumentó solo un 5% hasta alcanzar el millón de dólares, la presión sobre las empresas es mayor.
La demanda de rescate mediana se duplicó en el último año, alcanzando los 2 millones de dólares, lo que sugiere que aunque las empresas negocian y pagan menos de lo exigido (solo el 29% pagó el monto exacto), el costo de un incidente sigue escalando.
Causas principales: brechas desconocidas y vulnerabilidades
Casi la mitad de los incidentes analizados (46%) se atribuyeron a brechas de seguridad previamente desconocidas por las propias organizaciones, lo que demuestra serias deficiencias en la visibilidad y gestión de la superficie de ataque.
A este factor operativo se suma que el 30% de los ataques explotaron vulnerabilidades conocidas (la principal causa técnica por tercer año) y que la falta de experiencia interna (45%) fue el segundo factor operativo que facilitó las intrusiones.
Mejoras en la detección temprana
No todas las métricas son negativas, ya que el informe destaca que la tasa de cifrado de datos se encuentra en su punto más bajo en cinco años (48%). Esto indica que un mayor porcentaje de ataques se detiene antes de que los adversarios logren cifrar la información.
El auge de la doble extorsión
Pagar el rescate para recuperar el acceso a los archivos cifrados ya no garantiza la resolución del incidente. Los grupos de ransomware ahora operan bajo un modelo de doble extorsión: primero roban la información sensible (datos de clientes, finanzas) y luego cifran los sistemas.
Si la víctima paga, recupera sus sistemas, pero los atacantes aún poseen los datos y amenazan con publicarlos si no se realiza un segundo pago, lo cual se refleja en el informe de Sophos al notar que los ataques de «solo extorsión» (robo de datos sin cifrado) se triplicaron del 2% en 2023 al 6% en 2025.
Recomendaciones de ciberseguridad para retailers
Sophos recomienda las siguientes mejores prácticas para que las organizaciones del sector minorista fortalezcan sus defensas ante un panorama de amenazas que explota activamente las debilidades operativas:
- Eliminar causas raíz: Abordar proactivamente las debilidades técnicas, como vulnerabilidades no parchadas, y las operativas, como la falta de visibilidad de activos.
- Proteger todos los endpoints: Asegurar servidores y dispositivos con defensas específicas contra ransomware, capaces de detectar y detener ataques activos.
- Planificar y prepararse: Contar con planes de respuesta a incidentes probados y realizar copias de seguridad confiables, practicando regularmente su restauración.
- Monitorear 24/7: Implementar visibilidad continua en toda la infraestructura o asociarse con un proveedor de Detección y Respuesta Gestionada (MDR) para vigilancia experta.
El impacto real para el consumidor
Cuando un comercio minorista sufre un ciberataque de ransomware, los datos personales y financieros de sus clientes (usted) se convierten en el principal activo de negociación para los delincuentes.
La alta tasa de pago (58%) demuestra la presión operativa que sufren las empresas, pero esto no elimina el riesgo de que la información sensible sea filtrada o vendida en la dark web. La capacidad de un comercio para gestionar sus brechas de seguridad y responder a incidentes impacta directamente en la privacidad y seguridad financiera del usuario final, especialmente en temporadas de alta demanda como El Buen Fin.
