Cuando se habla de un ataque de ransomware suele pensarse en los costos monetarios o en las razones que hayan dado pie a la vulneración, pero¿qué hay de la huella emocional en los equipos IT que enfrentan esta problemática?
Además de las primeras temáticas mencionadas, el reciente informe State of Ransomware 2025 de Sophos midió el impacto que tuvieron este tipo de ciberataques en los equipos de ciberseguridad de 3,400 organizaciones a nivel global durante el último año.
Como podría ser lógico, 39% de los responsables de ciberseguridad afirmó que se había incrementado su carga laboral luego de un ataque de ransomware y 32% de las organizaciones ejerció mayor presión sobre los niveles gerenciales.
El gerente sénior de Ingeniería de ventas para América Latina de Sophos, Rodolfo Castro, recomendó que “cuando ocurre este tipo de incidentes, las organizaciones deben cuidar su fuerza labora. Sería conveniente que el área de Recursos Humanos estuviera atenta a dar seguimiento”.
El informe de la empresa destaca que 32% reportó mayor ansiedad ante futuros incidentes y 30% expresó sentimientos de culpa por no haber detenido el ataque, mientras que en 21% de los casos se registraron ausencias en los equipos IT debido al estrés o problemas de salud mental tras los ataques.
“Deberían de encenderse alertas si se observa ausencia del equipo debido al estrés postevento”, advirtió en entrevista al tiempo que resaltó que es tremendo el impacto que puede tener un ataque de ransomware sobre la salud mental de las personas.
Índice de temas
¿Burnout tras un ataque de ransomware?
Castro apuntó que las organizaciones deben hablar del burnout y sembró la duda: “¿Se vincula esto al cibercrimen? Uno puede ver en las películas, que la gente suda al descubrirse víctima del ataque, ¿pero qué pasa el día después, quién se preocupa por esas personas? ¿Se quemaron definitivamente porque no tenían las herramientas adecuadas?”
El especialista de Sophos afirmó que hay profesionales IT que “cargan con un fuerte sentimiento de culpa porque sabían que la red era vulnerable, probablemente lo advirtieron en su entorno, pero no fueron escuchados por falta de presupuesto. Y cuando el ataque ocurre, piensan: ‘Yo sabía que iba a pasar y sucedió’”.
Ese nivel de presión tiene consecuencias. Por eso el ejecutivo recomendó cuidar la fuerza laboral de la organización e indica que el informe encontró que 20% de los equipos de liderazgo termina siendo reemplazado. Aunque también señaló que otro 20% sí recibe un reconocimiento después del ataque.
En 30% de los casos, añadió, se observaron cambios estructurales; es decir, “se crearon nuevas gerencias o se reacomodaron los puestos en el organigrama porque se dieron cuenta de que los titulares no estaban preparados para afrontar ese tipo de situaciones”.
Casi la mitad de los afectados pagan rescate
El informe reveló que a nivel global 49% de las compañías afectadas por ransomware pagó para recuperar sus datos. Sophos encontró que esa es la segunda tasa más alta de pago en los seis años que lleva haciendo el estudio.
La firma de ciberseguridad entrevistó a organizaciones de 17 países para su reporte. De América Latina participaron 110 compañías de Brasil, 122 de Colombia, 122 de Chile y 111 de México.
En el caso de México, solo 23% de la muestra afirmó haber pagado para recuperar sus datos. En contraposición, en Chile se detectó que casi lo hizo 56% de la muestra. Castro opinó que en ningún caso debería pagarse, aunque admitió que hay una gran distancia entre la realidad y la teoría.
Al referirse a lo que sucede en México, el especialista expresó un par de hipótesis: “Esa conducta tal vez se debe a que son vecinos de un país muy influyente en la región, como Estados Unidos, que ha llevado la batuta en cómo atacar al crimen organizado; en segundo lugar, no menos importante, son los marcos regulatorios que hay que cumplir, como los de la OCDE o el GDPR, por ejemplo, que sugieren una serie de mejores prácticas que hay que seguir”.
A propósito de lo que sucede al Sur de América Latina, mencionó que en Chile la Agencia de Ciberseguridad ha empezado a exigir que se reporten este tipo de ataques, lo cual conlleva a que si alguien paga, pasa de ser víctima de una organización criminal a patrocinarla.
Optimista, Castro indicó que al tener que notificar que se ha sido atacado, se lograrán reducir los índices.
Pagan más de lo que se pide en un inicio
Otro aspecto relacionado con el pago que se encontró en el informe es que se suele desembolsar una cantidad mayor de dinero que la que piden inicialmente los cibercriminales.
Castro afirmó que 70% de las demandas de rescate en México fueron por montos cercanos al millón de dólares. Y explicó que la demanda inicial suele depender del tamaño y los ingresos de la organización.
En otras geografías, las empresas que tienen ingresos superiores a $1,000 millones de dólares (mdd), reciben solicitudes promedio de $5 mdd y en otro rango, las que tienen ingresos de $250 mdd o menos, reciben demandas menores a $350,000 dólares.
“Las organizaciones criminales hacen un estudio exhaustivo para poner el precio a un secuestro. Este año, en México, 23% pagó lo que se le pidió, mientras que 31% terminó pagando más de lo solicitado al principio. Esto último, debido a que los criminales identificaron que la víctima podía pagar más y entonces decidieron extorsionarla. Una duda natural ante esta situación es saber si los ejecutivos de la industria están preparados para lidiar con esto”.
Pero, el monto del rescate no es todo lo que tienen que pagar las organizaciones víctimas para recuperarse: En el país, el costo promedio de recuperación por ataque de ransomware ascendió a $1.35 millones de dólares, sumatoria de pérdidas operativas, recursos técnicos, tiempo de inactividad y daño reputacional.
Aunque la cifra es ligeramente inferior al promedio global, $1.53 millones de dólares, Castro detalló que eso “es otro nivel, son gastos que pueden llevar a la quiebra a las medianas empresas”.
¿Qué debería cuidar la víctima potencial de un ataque de ransomware?
A nivel organizacional, la principal causa de un ataque de ransomware (47%) fue que la compañía tenía una falta de conocimientos de seguridad.
Por tercer año consecutivo, las vulnerabilidades explotadas fueron la principal causa raíz de los ataques, con 45%. Le siguieron el compromiso de credenciales, con 28%, los correos electrónicos maliciosos, con 13% y el phishing, con 9%.
Estas cifras representan para Castro un llamado a hacer un examen de conciencia. “Una vulnerabilidad explotada es algo que ya fue identificado y que posiblemente ya tenga una corrección. Entonces, el CISO o responsable de la seguridad debería preocuparse por tener una política de parcheo, para así mitigar en 45% la posibilidad de ser víctima de un ataque de ransomware”.
Así mismo, el entrevistado consideró relevante poner atención en el manejo adecuado de la identidad de sus usuarios para prevenir que las credenciales y contraseñas se vean expuestas.
“Destacaron dos aspectos que representan un mismo vector de ataque: el correo electrónico. Las organizaciones deberían preguntarse qué están haciendo para entrenar al usuario final, al ‘eslabón más débil de la cadena’. Aquí sería conveniente que se tuvieran conversaciones técnicas con otros departamentos de la organización y que se fomentara una toma de conciencia de ciberseguridad, eso representa un tema que va más allá de la parte técnica”, puntualizó.
Finalmente, Castro reiteró una postura que debería tener el equipo de ciberseguridad de las organizaciones: “En cualquier etapa del ciclo de vida de los ataques hay que enfocarse en cuatro pilares: prevención, protección, detección y respuesta, así como en planeación y preparación”.
