Chester Wisniewski, director y CISO de campo global de Sophos. Foto: Sophos. Portal ERP Colombia
El sector retail enfrenta uno de sus momentos más críticos en materia de ciberseguridad. Según el informe State of Ransomware in Retail 2025, publicado por Sophos, más de la mitad de las empresas afectadas por ransomware pagaron rescate para recuperar sus datos, una cifra que alcanza su punto más alto en cinco años y que refleja la creciente presión de los ataques digitales.
El estudio —basado en encuestas a líderes de TI y ciberseguridad en 16 países— revela que el 46% de los incidentes en el retail iniciaron por brechas de seguridad desconocidas, lo que evidencia un aumento en la complejidad y sofisticación de las amenazas que afectan a esta industria.
Demandas de rescate al alza y brechas invisibles
Entre los principales hallazgos del informe destacan:
-
46% de los ataques comenzaron por una brecha de seguridad desconocida.
-
30% explotaron vulnerabilidades conocidas, por tercer año consecutivo.
-
58% de las víctimas con datos cifrados pagaron rescate.
-
El monto mediano exigido por los atacantes se duplicó a 2 millones de dólares.
-
El pago promedio aumentó un 5%, alcanzando 1 millón de dólares.
Aunque solo el 48% de los ataques resultó en cifrado de datos —la cifra más baja en cinco años—, el alto nivel de pagos demuestra que la extorsión continúa siendo efectiva.
Te puede interesar: El 76% de los profesionales de ciberseguridad sufre burnout: un riesgo creciente para las empresas
Un sector bajo ataque constante
Durante el último año, Sophos X-Ops identificó casi 90 grupos de amenazas distintos dirigidos a retailers de todo el mundo. Entre los más activos figuran Akira, Cl0p, Qilin, PLAY y Lynx.
Tras el ransomware, el compromiso de cuentas fue el segundo tipo de incidente más frecuente. El retail también es objetivo recurrente de ataques de BEC (Business Email Compromise), que buscan desviar pagos mediante manipulación del correo corporativo.
“Los retailers enfrentan un panorama cada vez más complejo, en el que los atacantes explotan vulnerabilidades en accesos remotos y dispositivos conectados. Con demandas en niveles históricos, la necesidad de estrategias de seguridad integrales es más evidente que nunca”, afirma Chester Wisniewski, director y CISO de campo global de Sophos.
Además de las brechas desconocidas, la falta de experiencia interna (45%) y las fallas en la cobertura de protección (44%) figuran entre los factores operativos más frecuentes que facilitan los ataques.
Señales de avance, pese a la presión
A pesar del incremento de los rescates, el sector muestra signos de mejora:
-
El porcentaje de ataques detenidos antes del cifrado alcanzó su nivel más alto en cinco años.
-
La tasa de cifrado cayó al 48%, también la más baja del periodo.
-
Aunque el rescate promedio subió, representa solo la mitad de lo exigido, lo que sugiere mayor capacidad de negociación y resistencia.
-
Los costos de recuperación (sin incluir rescate) descendieron un 40%, hasta 1,65 millones de dólares, su nivel más bajo en tres años.
No obstante, las copias de seguridad se están debilitando: solo el 62% de los retailers restauró sus datos mediante backups, la cifra más baja en cuatro años.
El impacto humano también es significativo: el 47% de los equipos de TI y seguridad reportó un aumento del estrés tras un ataque, y en uno de cada cuatro casos se reemplazó al liderazgo del equipo.
Cómo fortalecer las defensas
Sophos recomienda adoptar un enfoque proactivo basado en la gestión de riesgos:
-
Eliminar causas raíz: abordar debilidades técnicas y operativas de manera anticipada.
-
Proteger endpoints críticos: reforzar servidores y dispositivos con defensas específicas contra ransomware.
-
Planificar y ensayar: mantener planes de respuesta actualizados y practicar restauraciones de backup.
-
Monitorear 24/7: optar por servicios de Managed Detection and Response (MDR) cuando no existan recursos internos suficientes.
