El comercio minorista entra en la campaña navideña con un diagnóstico dual: mejora la capacidad de frenar el cifrado, pero la presión económica y operativa del cibercrimen no afloja. El informe State of Ransomware in Retail 2025 sitúa a los equipos de TI y ciberseguridad ante un escenario de visibilidad insuficiente, tácticas de extorsión sin cifrado al alza y exigencias de rescate más agresivas, todo ello en un sector con márgenes ajustados y operaciones altamente distribuidas.

La fotografía, extraída de una encuesta independiente a 361 responsables de TI y ciberseguridad de compañías del retail en 16 países (todas afectadas por ransomware en los últimos 12 meses), deja cifras para tomar decisiones: el 46 % de los ataques comenzó por una brecha de seguridad desconocida; el 30 % explotó vulnerabilidades conocidas (tercer año seguido como causa técnica principal); y solo el 48 % acabó en cifrado de datos, el mínimo de cinco años. En el reverso de la moneda, la extorsión “sin cifrado” —chantaje con publicar información robada— se triplica en el retail, del 2 % al 6 %, y la mediana de la demanda de rescate se duplica hasta 2,0 millones de dólares, mientras que el pago medio sube un 5 % hasta 1,0 millón.

Un perímetro con puntos ciegos: lo que no se ve sigue abriendo la puerta

El dato más inquietante del informe es operativo, no técnico: casi la mitad de los incidentes (46 %) arrancan en una brecha desconocida para la propia organización. En un entorno con tiendas, logística, comercio electrónico, terminales de punto de venta (TPV) y proveedores, la dispersión de activos y la rotación de servicios generan “esquinas oscuras”: dispositivos sin inventariar, credenciales heredadas, accesos remotos con políticas dispares o equipos de red sin telemetría.

El 30 % de los ataques que sí tienen raíz técnica clara explotó vulnerabilidades conocidas, señal de que la gestión de parches y exposición —sobre todo en accesos remotos, servicios en Internet y equipos de red— sigue siendo un talón de Aquiles. A este caldo de cultivo se suma la compra de accesos y el abuso de identidades: tras el ransomware, el compromiso de cuentas es el segundo incidente más común en retail, y el BEC (fraude por correo para desviar pagos) ocupa el tercer lugar.

Menos cifrado, más presión: el giro de los adversarios

La tasa de cifrado cae al 48 %, un hito que sugiere mejores detección y contención tempranas. Pero los adversarios no abandonan: pivotan. Cuando el cifrado fracasa, roban datos y extorsionan (amenazan con publicarlos), una táctica que se triplica hasta el 6 % en dos años. El objetivo es el mismo —forzar pago— por una vía distinta, con “relojes” de presión (contadores de publicación en portales de fugas) y mensajes diseñados para obligar a una decisión en caliente.

En paralelo, el mercado criminal aprieta: la mediana de la demanda sube a 2,0 millones de dólares; el pago medio, a 1,0 millón (un 5 % más que en 2024). La “buena noticia” es que solo el 29 % de las víctimas que pagaron abonaron exactamente lo pedido; el 59 % pagó menos y el 11 % más, un recordatorio de que negociar sin una base sólida (copia de seguridad fiable, soporte legal y forense, seguro cibernético con protocolo) incrementa el riesgo y el coste.

Indicadores de resiliencia: avances medibles… y deberes pendientes

• Detección antes del cifrado, máximo de cinco años. Las organizaciones soportan mejor la “primera mordida” del ataque: hay más comportamientos anómalos detectados y respuestas automáticas que aíslan endpoints a tiempo.
• Recuperación más barata y rápida. El coste medio de recuperación (sin contar rescate) baja un 40 % hasta 1,65 millones de dólares, mínimo de tres años; el 51 % se recupera en ≤ 1 semana.
• Backups: mejor con pruebas reales. Solo el 62 % restauró desde copias, mínimo de cuatro años. La lección es conocida: copias 3-2-1, versionadas, offline/immutables y ensayos con cronómetro.

La cara humana del ataque: presión, rotación y desgaste del equipo

Más allá del balance técnico-financiero, el informe cuantifica el impacto en personas y estructuras. Tras un incidente con cifrado, el 47 % de los equipos de TI/ciberseguridad sufre aumento de presión, y en uno de cada cuatro casos (26 %) se releva al liderazgo del área. El estrés y la carga sostenida se traducen en bajas, rotación y, lo más delicado, en pérdida de memoria operativa: justo lo que se necesita para aprender y mejorar tras un ataque.

El tablero de amenazas 2025: casi 90 grupos y TTP mezcladas

Los equipos de inteligencia de amenazas y MDR han observado casi 90 grupos distintos apuntando a uno o más minoristas en el último año. En primera línea aparecen nombres sobradamente conocidos —Akira, Cl0p, Qilin, PLAY, Lynx—, pero la lista rota con rapidez: “nuevas marcas” y campañas multimodales (ransom + exfiltración + BEC) conviven con cadenas de infección que reciclan vulnerabilidades en accesos remotos o dispositivos perimetrales no parcheados. La consecuencia directa es que el perímetro de retail no es ya el “muro” de la tienda: es la suma de tiendas, e-commerce, integraciones con proveedores, API y SaaS.

---

Hoja técnica para un medio tech: de la detección a la reducción del MTTR

1) Asset & Exposure First: inventariar, priorizar, parchear

• Inventario real (no solo CMDB): endpoints, servidores, TPV, dispositivos de red/seguridad, SaaS críticos, accesos remotos y APIs.
• Mapa de exposición: qué está en Internet (VPN, paneles, edge, reverse proxies, dispositivos de red), con parches/cambios pendientes y configuraciones “por defecto”.
• Priorización por explotación: ante decenas de boletines, escalar lo explotado activamente y lo expuesto; automatizar donde sea posible (WSUS/Intune, Ansible, etc.).
• Telemetría de superficie: external attack surface management y config drift en tiendas y sedes.

2) Identidad y correo: el 80/20 de muchos incidentes

• MFA por defecto y acceso condicional; higiene de credenciales (rotación, almacenar fuera de código, PAM para privilegios).
• Correo: DMARC, SPF, DKIM y reglas anti-BEC en áreas de pagos/finanzas; simulacros de vishing/email bombing (técnicas que reaparecen).

3) Endpoints “en serio”: EDR/XDR y control de aplicaciones

• EDR/XDR con aislamiento automático y rollback ante comportamiento de cifrado.
• Allow-listing y modo kiosco en TPV, quioscos y equipos de tienda; matar la superficie de ejecución evita la “mordida” inicial.

4) Segmentación y control de movimiento

• Microsegmentación o, como mínimo, VLANS y ACL entre tienda–backoffice–servicios centrales; evitar que un TPV “vea” la joyería de datos.
• DLP/monitoreo de exfiltración en repositorios sensibles y e-commerce; frena la extorsión sin cifrado.

5) Backups con pruebas (y reloj)

• 3-2-1 con inmutabilidad y offline; automatizar verificación.
• Restauraciones cronometradas de sistemas críticos (ERP, e-commerce, inventario). Documentar RTO/RPO real y huecos.

6) 24/7 o MDR: porque el ransomware no descansa

• Equipos sin turnos permanentes deberían contratar MDR con SLA de respuesta y caza de amenazas proactiva; medir la caída de MTTD en semanas.
• Tablero de crisis: roles (técnico, legal, negocio), guías de decisión (cuándo involucrar forense/autoridades/PR) y plantillas.

---

Métricas que importan (y que el comité entiende)

• MTTD/MTTR por dominio (tiendas, logística, e-commerce, pagos).
• Tasa de cifrado frente a tasa de contención temprana; objetivo: que el 48 % sea solo el principio.
• Tasa de restauración de copias (con pruebas reales).
• Coste de recuperación (sin rescate) frente a la referencia sectorial (1,65 millones de dólares).
• Semana 1: porcentaje de servicios críticos operativos en ≤ 7 días (objetivo: ≥ 51 %).
• Exposición: activos críticos con vulnerabilidades explotables y días de exposición.

---

Preguntas frecuentes

¿Por qué baja el cifrado pero sube la presión económica?
Porque los atacantes se adaptan: cuando el cifrado no cuaja (mejor detección/contención), exfiltran y extorsionan con publicar datos. El cifrado cae al 48 %, pero la extorsión sin cifrado sube al 6 % y la mediana del rescate se duplica a 2,0 millones de dólares. El objetivo es forzar un pago por otra vía.

¿Tiene sentido pagar un rescate si tengo backups?
El informe muestra que el 58 % de quienes sufrieron cifrado pagaron, y solo el 62 % restauró con copia (mínimo de cuatro años). Si tus copias no están probadas o tu ventana RTO es inviable, la presión de negocio empuja a pagar. La salida sostenible es backups 3-2-1 con pruebas reales, EDR/XDR y MDR 24/7 para no llegar a ese punto.

¿Qué TTP debo priorizar en la defensa de una cadena minorista?
Exposición y acceso remoto, identidad (MFA/condicional), correo (anti-BEC), EDR/XDR con aislamiento, segmentación entre tienda–backoffice–corporativo, y telemetría unificada. Son las palancas que más bajan MTTD/MTTR y reducen el radio de explosión.

¿Cómo medir el retorno de invertir en MDR y en parches “que no se ven”?
Con datos comparables: coste medio de recuperación (objetivo: ≤ 1,65 M$ sector retail), tiempo hasta detección y resolución, días de exposición por activo, tasa de contención temprana y semana 1 de recuperación operativa. La inversión en “lo invisible” se justifica cuando bajan minutos y baja la factura.

vía: Ramsonware in retail