El séptimo informe anual de Sophos sobre ransomware revela un giro decisivo en las tácticas de los atacantes: los ataques por correo electrónico y basados en identidad ya dominan el panorama, mientras los pagos de rescate siguen cayendo pese a que la tasa de cifrado repunta.
Los atacantes de ransomware están cambiando de estrategia. Según el informe recién publicado «State of Ransomware 2026» de Sophos, basado en una encuesta a 2.158 responsables de TI y ciberseguridad en 17 países cuyas organizaciones sufrieron un ataque de ransomware en el último año, el compromiso de identidades ha superado a las vulnerabilidades de software explotadas como principal vía de entrada de los atacantes.
El correo electrónico malicioso (26 %) y el phishing (24 %) son ahora las dos causas principales de los incidentes de ransomware, y juntas representan la mitad de todos los ataques, según la encuesta. Las vulnerabilidades explotadas, que habían liderado la clasificación durante tres años consecutivos, cayeron drásticamente del 32 % en 2025 al 18 % este año. Las credenciales comprometidas se mantuvieron estables en el 23 %. En total, según el informe, el 79 % de los ataques comenzó con un enfoque basado en identidad, ya fuera robando credenciales o abusando de las ya obtenidas.
El vínculo con la identidad es aún más profundo: dos tercios (67 %) de las víctimas de ransomware confirmaron que el incidente de ransomware fue también su brecha de seguridad relacionada con identidad más significativa del año, según Sophos.
Los nuevos datos de este año también muestran, por primera vez, dónde se originan físicamente estos ataques dentro de las organizaciones: las aplicaciones y sistemas expuestos representaron el 38 % de los puntos de entrada, seguidos de los dispositivos de usuario (30 %) y los firewalls (21 %), un patrón que el informe vincula con el traslado continuo hacia entornos de nube y SaaS.
La autenticación multifactor (MFA) no basta por sí sola
Uno de los hallazgos más preocupantes del informe se refiere a la autenticación multifactor. Entre las organizaciones cuya brecha se debió a credenciales comprometidas, el 97 % contaba con alguna forma de MFA activada en el momento del ataque, con un promedio de 2,5 métodos. Sophos concluye que, aunque la MFA es esencial, no es suficiente por sí sola si persisten brechas de cobertura en los sistemas.
Los firewalls, por su parte, desempeñaron un papel protector medible: el 61 % de las víctimas indicó que su firewall detectó el ataque antes de que se desplegara el ransomware, lo que se correlacionó con una tasa de cifrado del 50 %, frente al 71 % cuando el firewall no logró detectar el ataque en absoluto.
La tasa de cifrado repunta
Tras dos años de descenso, el porcentaje de ataques que lograron cifrar datos con éxito subió al 56 %, frente al mínimo del 50 % registrado en 2025, aunque sigue muy por debajo del máximo del 76 % de 2023. De estos casos, el 16 % implicó tanto cifrado como robo de datos, un patrón de «doble extorsión» que el informe describe como especialmente dañino.
Los rescates siguen reduciéndose
A pesar del repunte en el cifrado exitoso, las sumas que consiguen los atacantes continúan cayendo. La demanda mediana de rescate bajó a 698.000 dólares, un descenso del 65 % en dos años, mientras que el pago mediano cayó a 769.000 dólares, frente al millón de dólares del informe anterior. Apenas la mitad (48 %) de las víctimas con datos cifrados pagó un rescate —la tasa más baja en tres años— y el 51 % de quienes pagaron negoció una cifra inferior a la exigida inicialmente, según Sophos.
Mientras tanto, la recuperación mediante copias de seguridad se disparó al 66 % de los casos con datos cifrados, un aumento de 12 puntos porcentuales, lo que sugiere que la renovada inversión en infraestructura de backup está dando resultados.
Los costes y el impacto humano se mantienen altos
Aun así, los costes financieros y humanos de un ataque siguen siendo considerables. El coste medio de recuperación, sin incluir el rescate pagado, aumentó un 11 % interanual hasta 1,7 millones de dólares. Y prácticamente todos los equipos de TI y seguridad afectados —el 99 %— informaron de repercusiones personales duraderas, siendo las más comunes el aumento de la ansiedad ante futuros ataques (41 %) y la presión de la dirección (40 %). En uno de cada cinco casos (21 %), el incidente provocó un cambio en el liderazgo de TI.
Sophos recomienda a las organizaciones priorizar la detección de amenazas basadas en identidad, aplicar la MFA de forma integral, reforzar el filtrado de correo electrónico (DMARC/DKIM/SPF), invertir en copias de seguridad probadas e inmutables, y conectar la telemetría de los firewalls a plataformas XDR/MDR para detener los ataques antes de que se produzca el cifrado.

El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de