· Jonathan Izquierdo · Noticias seguridad ·
Ransomware 2026: solo el 57% recupera datos tras pagar
Solo el 57% de empresas que pagan rescate recuperan menos de la mitad de sus datos. Datos Veeam y Sophos 2025, casos España y alternativa forense sin pagar.
El 57% de las empresas que sufrieron ransomware en 2024 recuperaron menos de la mitad de sus datos, incluso después de pagar el rescate. El dato procede del informe Veeam Ransomware Trends 2025, que encuestó a 1.300 organizaciones, 900 de ellas atacadas en los últimos 12 meses (Veeam, abril 2025). Solo el 10% recuperó más del 90% de su información.
Mientras tanto, el rescate medio exigido alcanza el millón de dólares y casi la mitad de las empresas atacadas opta por pagar (Sophos, junio 2025). En España, el INCIBE gestionó 392 ataques de ransomware en 2025, un 116% más que en 2024, y ciudades enteras como Melilla quedaron paralizadas durante semanas tras negarse a pagar 1,8 millones de euros (INCIBE, Balance 2025; El Debate, junio 2025).
Como perito informático forense, cada vez atiendo más casos donde la empresa pagó y no recuperó nada, o recuperó archivos corruptos inutilizables. Este artículo analiza los datos más recientes, los casos españoles más relevantes y, sobre todo, la alternativa forense que permite recuperar datos sin financiar al crimen organizado.
TL;DR - Resumen ejecutivo
En 60 segundos:
- Dato clave: El 57% de víctimas de ransomware recuperó menos de la mitad de sus datos tras pagar el rescate (Veeam, 2025)
- Rescate medio: 1 millón de dólares (bajó un 50% desde 2024, pero sigue siendo devastador para PYMEs) (Sophos, 2025)
- España: 392 ataques ransomware gestionados por INCIBE en 2025. Aumento del 116% interanual
- Casos reales: Melilla (1,8M de rescate, 90 de 100 servidores cifrados), Badajoz (LockBit), Hospital Clínic Barcelona (4,5M)
- Alternativa: Recuperación forense sin pagar: backups, herramientas de descifrado, análisis de memoria RAM
- Obligación legal: Notificación AEPD en 72 horas (art. 33 RGPD) + denuncia (art. 264 CP: 6 meses a 5 años de prisión)
Los datos: por qué pagar no funciona
Los informes publicados entre 2025 y principios de 2026 convergen en una conclusión incómoda: pagar el rescate es una apuesta con probabilidades en contra.
| Indicador | Dato | Fuente |
|---|---|---|
| Empresas que recuperaron menos del 50% de datos tras pagar | 57% | Veeam Ransomware Trends 2025 |
| Empresas que recuperaron más del 90% de datos | Solo 10% | Veeam Ransomware Trends 2025 |
| Empresas que optaron por pagar rescate | Casi 50% | Sophos State of Ransomware 2025 |
| Atacantes que exigieron más dinero tras el primer pago | 31% | Hiscox Cyber Readiness 2025 |
| Rescate medio (mediana) | 1 millón USD | Sophos 2025 |
| Coste medio de recuperación (sin rescate) | 1,53 millones USD | Sophos 2025 |
| Ataques donde se logró cifrar los datos | 50% | Sophos 2025 |
| Organizaciones cuyos backups fueron atacados | 89% | Veeam 2025 |
| Organizaciones con repositorios inmutables | Solo 32% | Veeam 2025 |
| PYMEs que cerraron en 6 meses tras incidente grave | 60% | SpainClouds / INCIBE, 2025 |
El informe Hiscox Cyber Readiness 2025 añade un dato especialmente alarmante para PYMEs: de las empresas que pagaron, el 31% recibió una segunda demanda de rescate por parte de los mismos atacantes (Hiscox, septiembre 2025). Pagar no solo no garantiza la recuperación: te convierte en objetivo recurrente.
Ataques ransomware recientes en España (2025-2026)
Los datos globales se materializan en casos concretos en territorio español. Estos son los incidentes más relevantes del último año:
Melilla: 1,8 millones de rescate, 90 servidores cifrados
El 22 de junio de 2025, la Ciudad Autónoma de Melilla sufrió uno de los ataques de ransomware más graves contra una administración pública española. El grupo ruso Qilin cifró 90 de los 100 servidores operativos a través de credenciales robadas utilizadas por un empleado desde una conexión remota (Zonamovilidad, junio 2025). El rescate exigido: 1,8 millones de euros. El resultado: tres semanas de parálisis total en sectores como justicia, recursos humanos, contratación pública e intervención. La ciudad no pagó, y el CCN-CERT del CNI coordinó la recuperación (Genbeta, junio 2025).
Badajoz: LockBit paraliza 150.000 habitantes
El Ayuntamiento de Badajoz fue atacado por el grupo LockBit en abril de 2025, paralizando servicios digitales para unos 150.000 habitantes. Los portales web, los trámites administrativos y la atención ciudadana quedaron fuera de servicio durante días (COPE, abril 2025).
Hospital Clínic de Barcelona: 4,5 millones de rescate
Aunque ocurrió en marzo de 2023, sigue siendo el caso de referencia en sanidad española. Ransom House cifró los sistemas del hospital y exigió 4,5 millones de dólares. Se cancelaron 150 operaciones y 3.000 consultas. El hospital no pagó. Los datos robados fueron finalmente filtrados (INCIBE, 2023).
| Caso | Fecha | Atacante | Rescate exigido | Resultado |
|---|---|---|---|---|
| Melilla | Jun 2025 | Qilin | 1,8M euros | No pagó. 3 semanas de parálisis. CCN-CERT coordinó recuperación |
| Badajoz | Abr 2025 | LockBit | No publicado | Servicios paralizados días. Investigación en curso |
| Hospital Clínic BCN | Mar 2023 | Ransom House | 4,5M USD | No pagó. 150 operaciones canceladas. Datos filtrados |
Posición oficial de INCIBE y CCN-CERT: no pagar nunca
Tanto el INCIBE como el CCN-CERT (Centro Criptológico Nacional) desaconsejan de manera sistemática el pago de rescates. Las razones son claras: no garantiza la recuperación de los datos, financia actividades criminales, y convierte a la víctima en objetivo para futuros ataques. El CCN-CERT recomienda limpiar los sistemas afectados y restaurar desde copias de seguridad verificadas (CCN-CERT, IA-11/18).
Por qué falla la recuperación incluso después de pagar
Los datos de Veeam y Sophos revelan patrones claros de por qué el pago no funciona:
1. Claves de descifrado defectuosas
Los atacantes operan como un negocio, pero sin control de calidad. Las herramientas de descifrado que entregan frecuentemente fallan con archivos grandes, bases de datos o formatos complejos. Es habitual que el descifrador funcione para archivos de texto simples pero corrompa irreversiblemente bases de datos SQL, archivos CAD o sistemas ERP completos.
2. Doble y triple extorsión
El 31% de los que pagaron recibieron una segunda demanda (Hiscox, 2025). El modelo RaaS (Ransomware-as-a-Service) implica que los afiliados que ejecutan el ataque y los desarrolladores que crean el malware tienen incentivos distintos. Incluso si pagas, tus datos robados pueden acabar en un leak site o vendidos en la dark web.
3. Los backups fueron atacados primero
El dato más preocupante del informe Veeam: el 89% de los atacantes dirigieron sus esfuerzos específicamente contra las copias de seguridad antes de cifrar los datos de producción. Sin embargo, solo el 32% de las organizaciones tenía repositorios inmutables (Veeam, 2025). Si tus backups caen, pagar se convierte en la única opción aparente, y los atacantes lo saben.
4. Tiempo de permanencia extenso
Los atacantes permanecen dentro de la red una media de semanas antes de activar el cifrado. Durante ese tiempo, exfiltran datos, mapean la red y desactivan defensas. Cuando el ransomware se ejecuta, el daño ya está hecho: los datos más valiosos ya han sido robados y los backups comprometidos.
La alternativa forense: recuperación sin pagar
Existe un camino que no implica financiar al crimen organizado. La recuperación forense combina preservación de evidencia, análisis técnico y herramientas especializadas para maximizar la recuperación de datos sin pagar rescate.
Aislamiento inmediato sin apagar: desconectar de la red los equipos afectados pero mantenerlos encendidos. La memoria RAM puede contener claves de cifrado en uso, procesos del malware y conexiones activas que se pierden irremediablemente al apagar
Preservación de evidencia volátil: captura de memoria RAM con herramientas forenses (FTK Imager, Magnet RAM Capture), volcado de procesos activos y registro de conexiones de red. Todo con cadena de custodia ISO 27037 para que la evidencia tenga validez judicial
Identificación de la variante de ransomware: a través de la nota de rescate, las extensiones de los archivos cifrados y los artefactos del malware, se identifica la familia exacta (LockBit, Qilin, BlackCat, Play, Akira). Esto determina si existe herramienta de descifrado pública
Búsqueda de descifradores públicos: el proyecto No More Ransom (Europol + Kaspersky + McAfee + Policía de Países Bajos) ofrece más de 170 herramientas gratuitas de descifrado para más de 150 variantes de ransomware. Kaspersky calcula que sus herramientas han ayudado a casi 2 millones de víctimas a recuperar datos sin pagar (Kaspersky, 2024)
Recuperación desde backups verificados: si existen copias de seguridad no comprometidas (offline, inmutables o en la nube con versionado), se procede a la restauración tras verificar que están limpias de malware. Cada backup se analiza forense antes de restaurar
Análisis forense completo: determinación del vector de entrada, alcance del compromiso, datos exfiltrados y timeline del ataque. Este informe pericial es imprescindible para la denuncia, la reclamación al ciberseguro y la notificación a la AEPD
Hardening y cierre de brechas: antes de volver a producción, se parchean las vulnerabilidades explotadas, se cambian todas las credenciales comprometidas y se implementan medidas para prevenir reinfección
Coste de pagar vs. recuperación forense
La decisión de pagar o no tiene implicaciones económicas directas. Esta tabla compara ambas vías para una PYME española típica:
| Concepto | Pagar rescate | Recuperación forense |
|---|---|---|
| Coste directo | 50.000 a 500.000 euros (rescate) | 5.000 a 30.000 euros (servicios forenses) |
| Recuperación de datos | 57% recuperó menos de la mitad (Veeam) | Variable según backups y variante |
| Segunda extorsión | 31% sufrió nueva demanda (Hiscox) | No aplica |
| Tiempo medio recuperación | 24,6 días (Veeam, 2025) | 5 a 15 días (con backups válidos) |
| Validez para denuncia | Nula (destruyes evidencia) | Completa (informe pericial con cadena de custodia) |
| Reclamación al ciberseguro | Problemática (muchas pólizas excluyen pago voluntario) | Favorable (informe pericial documenta el incidente) |
| Riesgo legal | Posible financiación de terrorismo / blanqueo | Ninguno |
| Garantía de no reincidencia | Ninguna (el atacante conserva acceso) | Alta (se cierra el vector de entrada) |
El coste medio de recuperación sin incluir el rescate es de 1,53 millones de dólares según Sophos 2025, un dato que incluye grandes corporaciones. Para PYMEs españolas, el análisis forense profesional oscila entre 5.000 y 30.000 euros dependiendo de la complejidad, una fracción del rescate medio exigido.
Obligaciones legales tras un ataque ransomware
Un ataque de ransomware no solo es un problema técnico: tiene consecuencias jurídicas inmediatas que la empresa debe gestionar en paralelo a la recuperación.
Notificación a la AEPD en 72 horas (art. 33 RGPD)
Si el ransomware ha afectado a datos personales (y casi siempre lo hace: nóminas, clientes, pacientes), el artículo 33 del RGPD obliga a notificar la brecha a la Agencia Española de Protección de Datos en un máximo de 72 horas desde que se tiene conocimiento (AEPD, art. 33 RGPD). El incumplimiento puede acarrear sanciones de hasta 10 millones de euros o el 2% de la facturación global anual.
Denuncia penal (art. 264 Código Penal)
El ransomware constituye un delito de daños informáticos tipificado en el artículo 264 del Código Penal: prisión de 6 meses a 3 años en el tipo básico, y de 2 a 5 años si concurren agravantes como organización criminal, daños de especial gravedad o afectación a servicios públicos esenciales (Código Penal, art. 264). La denuncia ante la Policía Nacional (BIT), Guardia Civil (GDT) o la Fiscalía requiere evidencia digital preservada con cadena de custodia.
Comunicación a los afectados (art. 34 RGPD)
Si la brecha supone un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento debe comunicarlo directamente a los interesados sin dilación indebida. Un informe pericial que determine el alcance exacto del compromiso es imprescindible para esta valoración.
El informe pericial como pieza central
Un único informe pericial bien elaborado sirve simultáneamente para: notificación a la AEPD (documentación técnica del incidente), denuncia penal (evidencia admisible con cadena de custodia), reclamación al ciberseguro (cuantificación de daños), y defensa ante posibles reclamaciones de clientes o empleados afectados.
Preguntas frecuentes
Si pago el rescate, me garantizan que recuperaré todos mis datos?
No. Según Veeam, el 57% de las empresas que pagaron recuperaron menos de la mitad de sus datos, y solo el 10% recuperó más del 90% (Veeam, 2025). Además, el 31% de los que pagaron recibieron una segunda demanda de rescate (Hiscox, 2025). Las herramientas de descifrado entregadas por los atacantes frecuentemente son defectuosas y corrompen archivos complejos como bases de datos.
Existe alguna herramienta gratuita para descifrar ransomware?
Sí. El proyecto No More Ransom ofrece más de 170 herramientas gratuitas de descifrado para más de 150 familias de ransomware. Antes de considerar cualquier pago, un perito forense puede identificar la variante exacta que ha cifrado tus datos y comprobar si existe descifrador público. Kaspersky estima que sus herramientas han ayudado a cerca de 2 millones de víctimas a nivel global (Kaspersky NoRansom).
Pagar un rescate de ransomware es ilegal en España?
El pago en sí no está tipificado como delito en la legislación española actual. Sin embargo, puede tener implicaciones legales si los fondos terminan en manos de organizaciones terroristas o grupos sancionados, lo que podría constituir financiación del terrorismo o vulneración de regímenes de sanciones internacionales. Tanto INCIBE como CCN-CERT desaconsejan sistemáticamente el pago. Además, muchas pólizas de ciberseguro excluyen o limitan la cobertura si la empresa opta voluntariamente por pagar.
Cuánto tarda la recuperación forense frente a pagar el rescate?
Según Veeam, el tiempo medio de recuperación tras un ataque es de 24,6 días. Sophos reporta que el 53% de las empresas se recuperaron en una semana (Sophos, 2025). La recuperación forense con backups válidos puede completarse en 5 a 15 días, y tiene la ventaja añadida de identificar y cerrar el vector de entrada para evitar reinfección.
¿Tu empresa ha sido atacada por ransomware?
Respuesta forense en menos de 4 horas. Preservación de evidencia, identificación de variante, recuperación de datos y elaboración de informe pericial para denuncia, ciberseguro y AEPD. Sin pagar rescate.
Solicitar respuesta urgenteFuentes y referencias
- Veeam. “2025 Ransomware Trends: From Risk to Resilience”. Abril 2025. veeam.com
- Sophos. “The State of Ransomware 2025”. Junio 2025. sophos.com
- Hiscox. “Cyber Readiness Report 2025”. Septiembre 2025. hiscoxgroup.com
- INCIBE. “Balance de Ciberseguridad 2025: 122.223 incidentes”. Febrero 2026. incibe.es
- SpainClouds. “España 2025: bajo asedio digital tras aumento del 116% en ataques de ransomware”. 2025. spainclouds.com
- El Debate. “Melilla ha sufrido un ciberataque de ransomware con secuestro de datos y petición de rescate”. Junio 2025. eldebate.com
- Zonamovilidad. “Ciberataque en Melilla: grupo ruso Qilin exige 1,8 millones de euros”. Junio 2025. zonamovilidad.es
- COPE. “El ciberataque de un grupo de hackers holandeses paraliza el Ayuntamiento de Badajoz”. Abril 2025. cope.es
- CCN-CERT. “Medidas de seguridad contra ransomware (IA-11/18)”. ccn-cert.cni.es
- AEPD. “Notificación de brechas de datos personales (art. 33 RGPD)”. aepd.es
- Código Penal Español, Artículo 264 - Daños informáticos. codigopenalespana.com
- No More Ransom Project (Europol, Kaspersky, McAfee). nomoreransom.org
- Kaspersky No Ransom. noransom.kaspersky.com
- Genbeta. “La cosa ha sido bastante gorda: Melilla suma cinco días de apagón informático”. Junio 2025. genbeta.com
Artículo redactado por Jonathan Izquierdo, perito informático forense. Ex-CTO, 5x AWS Certified, metodología ISO 27037. Especializado en respuesta a incidentes de ransomware, preservación de evidencia digital e informes periciales para tribunales y aseguradoras.
Última actualización: 21 de febrero de 2026.
