La realidad es incómoda: muchas empresas creen que “ya hacen backups” y que con un antivirus “están cubiertas”, mientras los atacantes multiplican variantes, profesionalizan la extorsión y aprovechan fallas conocidas. En el último año los grupos activos crecieron y se fragmentaron, con nuevos actores y operaciones más oportunistas; aun cuando el volumen de víctimas se mantuvo estable a nivel global, el riesgo de interrupción y filtración se disparó en sectores como manufactura, tecnología y servicios legales, una señal clara de que el negocio del secuestro digital se sostiene por el costo de recuperación y la presión reputacional, no solo por el pago del rescate. En América Latina, los intentos siguen en niveles altos, con miles de ataques diarios detectados, y las pymes siguen siendo terreno fértil por falta de gobierno de TI y presupuestos. Frente a este panorama, necesita estrategia, disciplina y pruebas de recuperación, no promesas.
👉 LEE NUESTRO BLOG y valida si tu empresa podría operar mañana si hoy te cifran.
Cuando llevo décadas entrando a organizaciones, lo primero que pregunto no es cuántas “capas” de seguridad dicen tener, sino cuánto tardarían en volver a operar si mañana un ransomware cifra sus repositorios, bloquea los accesos y amenaza con publicar datos sensibles. La conversación cambia cuando dejamos el discurso técnico y miramos la continuidad del negocio: dónde están los datos críticos, quién los usa, qué procesos dependen de ellos y qué necesitan para restablecerse en horas, no en semanas. Ese giro práctico es vital porque el ecosistema criminal se mueve rápido. En el tercer trimestre de 2025 se registró el mayor número de grupos de ransomware activos, con 77 colectivos operando —57% más que un año antes— y un patrón estable de víctimas por trimestre; Estados Unidos concentró más de la mitad de los casos notificados, seguido por Europa, con manufactura, tecnología y legales entre los más golpeados. Estos números confirman que los atacantes rotan marcas y nombres, pero el método permanece: comprometer el perímetro por vulnerabilidades sin parchear o por credenciales débiles, moverse lateralmente, exfiltrar, cifrar y extorsionar en doble o triple modalidad con plazos breves para forzar decisiones bajo estrés.
En el contexto regional, distintos reportes muestran que América Latina mantiene niveles de intento elevados: entre agosto de 2024 y junio de 2025 se estimaron más de 1,1 millones de intentos de ransomware —unos 3.000 diarios— pese a una leve disminución porcentual interanual, lo que en la práctica significa que el ruido no baja y la probabilidad de impacto se mantiene. Para Centroamérica, el promedio llegó a dos ataques por minuto en la misma ventana temporal. Y, en paralelo, otras mediciones señalan que durante la primera mitad de 2025 los incidentes reportados aumentaron cerca de 47% frente al mismo periodo de 2024, consolidando el ransomware como rutina delictiva en la región. Estas cifras no pretenden asustar: buscan poner foco en que el riesgo no es teórico y que el costo de quedarse inmóvil crece más rápido que el costo de prepararse.
Cuando evaluamos causas raíces globales, un patrón domina: la explotación de vulnerabilidades conocidas y no corregidas sigue siendo el detonante número uno. Detrás vienen credenciales comprometidas por phishing y la exposición de servicios RDP o VPN sin endurecer. Es importante subrayarlo porque muchas organizaciones invierten en herramientas nuevas, pero postergan el saneamiento de inventarios, la gestión de parches y el cierre de superficies expuestas. Informes recientes de la industria, basados en encuestas y forensia de incidentes, ratifican ese ranking y añaden un dato clave: aunque algunos montos de rescate medianos han mostrado descensos coyunturales, el costo total de recuperación —paradas operativas, horas hombre, reconstrucciones, sanciones— promedia en millones de dólares por evento, antes de hablar de “pagar o no pagar”. En otras palabras, el rescate no es el problema central; lo son la indisponibilidad y la pérdida de confianza.
Ahora bien, ¿qué funciona hoy en protección de datos frente al ransomware cuando usted debe responder ante clientes, entidades de control y accionistas? La respuesta combina arquitectura, gobierno y evidencia. En arquitectura, la regla moderna para copias de seguridad dejó atrás el clásico 3-2-1 y adopta la variante 3-2-1-1-0: tres copias, en dos medios distintos, una off-site, una adicional inmutable o air-gapped, y cero errores en las pruebas de recuperación. Esto último no es marketing: significa ejecutar restauraciones verificadas con frecuencia, con métricas de RTO/RPO creíbles y documentación de resultados. La inmutabilidad —objetos WORM en nube, repositorios con retención bloqueada, o cabinas con snapshots inmutables— rompe el negocio del atacante porque impide borrar o cifrar su “última línea”. Diferentes fabricantes publican guías prácticas para aplicar esta disciplina y automatizar verificaciones, pero el principio es agnóstico: copie, separe, inmovilice y pruebe.
En gobierno, se requiere una mesa donde TI, operaciones, jurídico y alta dirección discutan continuidad, privacidad y reputación con el mismo nivel de prioridad. No basta el plan de “respuesta a incidentes”; hace falta un plan de recuperación probado, con playbooks por escenario, responsables, contactos externos y criterios de conmutación por falla. El estándar del NIST para recuperación de eventos de ciberseguridad ofrece una guía clara sobre cómo construir y mejorar esos planes, con ejemplos y métricas que ayudan a madurar la resiliencia en el tiempo. Adoptar buenas prácticas del NIST —junto con su sistema de gestión de seguridad y marcos como ISO/IEC 27001— acelera la conversación interna y alinea prioridades con auditoría y revisoría fiscal, algo especialmente relevante en Colombia por las obligaciones ante la SIC en materia de datos personales y la expectativa de diligencia debida en continuidad.
Por eso, cuando acompañamos a empresas colombianas, partimos de un diagnóstico funcional de datos y procesos: qué aplicaciones sostienen ingresos, qué bases contienen datos personales o financieros, qué dependencias cruzadas existen y qué tolerancia real tiene el negocio a perder minutos u horas de información. Luego trazamos una arquitectura objetivo que combina segmentación de red, mínimos privilegios, MFA robusta, parcheo continuo priorizado por explotación activa, inventario real-time de activos, EDR/XDR con bloqueo de comportamiento y, sobre todo, una estrategia de copias que resista sabotaje. No es raro encontrar repositorios de respaldo montados permanentemente en producción o cuentas de administración compartidas entre backup y dominio: fallas pequeñas que abren puertas grandes.
En paralelo, trabajamos la dimensión humana. Los atacantes explotan sesgos y hábitos; un correo convincente o un chat falso con apariencia de proveedor basta para plantar una semilla que, días después, se convierte en cifrado coordinado. La formación continua, basada en casos reales y métricas de aprendizaje, reduce clics de riesgo y acelera reportes tempranos. Pero la formación sin proceso se diluye; por eso la acompañamos con simulaciones periódicas y con un canal claro para “levantar la mano” ante cualquier anomalía sin miedo a represalias. La cultura es una herramienta de ciberseguridad.
El componente analítico también cambió. El uso de IA por parte de los atacantes —para redactar señuelos, automatizar reconocimiento y variar payloads— obliga a modernizar la detección. Las plataformas XDR de hoy correlacionan señales de endpoint, identidad, red y nube, y cuando se integran con gestores de vulnerabilidades basados en riesgo explotable, permiten ver lo que realmente importa esta semana. En mercados como el británico, la propia autoridad nacional de ciberseguridad advierte del aumento notable de incidentes y de la presión que ejerce la profesionalización del delito, con implicaciones directas de liderazgo: el riesgo ya no es solo “de TI”, es un tema de negocio que requiere decisiones de inversión y responsabilidad a nivel de junta. Esa lectura aplica en Colombia, donde la transformación digital aceleró la dependencia tecnológica y elevó las expectativas de clientes y reguladores.
Un punto sensible son los datos personales y financieros. La filtración previa al cifrado —doble extorsión— busca disparar el miedo al escrutinio público y a las sanciones. Es aquí donde la protección de datos y el cumplimiento de la Ley 1581 de 2012 convergen con la ingeniería: clasificar, minimizar y cifrar datos en reposo y en tránsito; pseudonimizar cuando sea posible; y retener solo lo necesario, con registros de tratamiento y acuerdos actualizados con encargados. Si lo que se roba no tiene valor identificable porque está cifrado fuerte y tokenizado, el poder de negociación del atacante cae drásticamente. El seguimiento de iniciativas internacionales coordinadas —como evaluaciones sobre intervenciones contra el ransomware impulsadas por INTERPOL y gobiernos aliados— confirma que la presión legal y la cooperación ayudan, pero el primer muro sigue estando dentro de la empresa: arquitectura, gobierno y evidencia propia de resiliencia.
En términos operativos, describo una ruta que funciona en empresas de distintos tamaños. Comience por un inventario vivo de activos y datos. Si no sabe qué tiene, no puede protegerlo. Establezca zonas y controle flujos: un ERP no debería hablar libremente con estaciones de trabajo, y los servidores de respaldo no deberían ser visibles desde dominios de usuarios. Endurezca identidades: MFA resistente a phishing, administración privilegiada aislada y rotación de credenciales con bóvedas. Parchee con criterio: priorice CVEs explotadas activamente y expuestas a internet, y mida la “edad” de los parches pendientes. En la capa de endpoint, combine EDR con políticas anti-exploit y restricción de macros. Y, sobre todo, diseñe su estrategia 3-2-1-1-0 con repositorios inmutables y pruebas mensuales de restauración que incluyan “restores” parciales y totales, cronometrados y documentados. Cuando el día malo llegue, lo que cuenta es la evidencia de que su copia “arranca”.
Añada monitoreo y respuesta. La telemetría sin ojos humanos no sirve; ojos sin automatización tampoco. Si no cuenta con un SOC interno, evalúe un servicio administrado con acuerdos claros de tiempo de detección y contención, y exigencias de visibilidad sobre su nube, su correo y su identidad. Exija reportes mensuales con hallazgos accionables y, cada trimestre, un ejercicio conjunto de mesa sobre escenarios de ransomware: extorsión doble, caída de directorio activo, detención de producción, comunicación a clientes y autoridades. Esos juegos serios revelan atajos, lagunas y dependencias invisibles.
Llegados a este punto, valen algunas comparaciones y lecciones del último año. La diversificación de grupos, incluyendo franquicias de RaaS y actores más pequeños, aumentó la presión sobre países con economías digitalizadas, y aunque los listados públicos de víctimas no siempre reflejan todo el panorama —muchas empresas optan por no divulgar—, la constancia de entre 1.500 y 1.600 afectados por trimestre desde finales de 2024 sugiere que la amenaza se estabilizó en un nivel alto. Al mismo tiempo, informes regionales muestran que, aunque hay oscilaciones locales en los intentos detectados, la oportunidad para el delincuente se mantiene porque la superficie crece más rápido que la disciplina de control. La conclusión práctica: dejar de hacer lo básico es hoy más costoso que nunca.
Aquí conviene hacer una pausa y hablar de pruebas. Probar no es decir “restauramos un archivo y listo”. Hablamos de recuperar una aplicación crítica con su base de datos, sus credenciales de servicio, sus integraciones y su latencia aceptable, dentro de ventanas definidas por el negocio. Repetir hasta que el tiempo medido coincida con sus RTO/RPO objetivos. Documentar responsables y pasos. Incluir escenarios de “todo caído”, donde deba arrancar su “control plane” desde fuera del dominio comprometido. Y, si usa nube, verifique que su política de retención e inmutabilidad no dependa de una misma identidad que un atacante podría secuestrar. Es aquí donde la “copia inmutable” deja de ser un término de marketing y se convierte en un proyecto con controles verificables.
En Colombia, además, el enfoque debería integrar áreas financieras y de cumplimiento: un incidente de ransomware que expone información contable, tributaria o de nómina no solo paraliza operación; también abre frentes ante entes de control, auditoría externa y compromisos con terceros. Llevar este tema a la conversación de dirección —con métricas y costo-beneficio claros— cambia la inercia y ayuda a priorizar inversiones. Y no se trata de gastar más, sino de gastar mejor: menos herramientas, más proceso; menos promesas, más restauraciones probadas.
En el primer tercio de cualquier plan —justo ahora que evalúas tus brechas— reserva una hora para convertir preocupación en acción. Aquí tienes mi agenda directa para que revisemos tu caso, con números y un plan funcional:
📅 Agenda:
Quiero también abordar un mito persistente: “si pago, se acaba el problema”. La evidencia muestra que no hay garantías de borrado de datos, que aumentan los intentos de segunda extorsión y que el costo reputacional continúa. La decisión, cuando ocurre, es jurídica y de negocio; nuestra tarea es que nunca llegue a la mesa. Para eso, hay que combinar prevención sólida, detección temprana y recuperación rápida. Y, si todo falla, comunicación transparente, con asesoría legal y planes de atención a clientes.
Otro frente clave es el de proveedores y terceros. Cadenas de suministro digitales han sido puertas de entrada para campañas completas. Audite integraciones SFTP, APIs y accesos de soporte; exija MFA y registros de tratamiento de datos; y formalice cláusulas de seguridad y notificación de incidentes. No basta con “conectar”; hay que gobernar el ecosistema.
Finalmente, no pierda de vista que el ransomware es un síntoma de algo más profundo: deuda técnica, ausencia de gobierno y cultura de “apagar incendios”. Cambiar esa cultura es posible si el liderazgo impulsa rutinas que se sostienen en el tiempo. No se trata de hacer un “sprint de seguridad”, sino de construir consistencia: inventario vivo, parches semanales priorizados, restauraciones mensuales cronometradas, simulacros trimestrales y revisión semestral de arquitectura. Ese ritmo, más que cualquier compra puntual, es lo que reduce el riesgo real.
Antes de cerrar, le dejo una comparación útil: mientras titulares muestran casos de grandes marcas en Europa y Norteamérica, la estadística nos recuerda que las pymes son, por volumen, el objetivo preferido. En ciudades emergentes de países en desarrollo, se observa mayor infección por malware debido a digitalización acelerada sin controles y baja inversión en ciberhigiene. No es exactamente nuestro contexto colombiano, pero es una alerta pertinente para clústeres regionales con tejido pyme: si su compañía subcontrata tecnología a bajo costo sin gobierno, está replicando condiciones de alto riesgo.
Con todo lo anterior, el camino queda claro: inventario y segmentación para reducir superficie; identidades fuertes para frenar movimientos; parches priorizados por explotación activa; respaldo 3-2-1-1-0 con inmutabilidad y pruebas reales; detección y respuesta unificadas; planes de recuperación y comunicación probados; gobierno de terceros con cláusulas y métricas; y cultura de consistencia. Esa suma es la que “apaga” el negocio del atacante y sostiene el suyo.
👉 También quiero que tenga lecturas complementarias de nuestro propio ecosistema, pensadas para ampliar el enfoque en riesgo digital y decisiones informadas. En TODO EN UNO.NET hemos escrito sobre cómo los ciberataques transforman sectores y sobre la ética en el manejo de datos, piezas que conectan con esta conversación desde la experiencia local y la realidad regulatoria colombiana.
En el último tercio de este recorrido, cuando ya visualizas tu mapa de datos, tus brechas y la hoja de ruta, reserva 45 minutos para bajar esto a acciones concretas con nuestro equipo, sin compromisos previos y con foco en resultados verificables:
📅 Agenda:
Durante más de tres décadas he visto empresas salir fortalecidas de crisis que parecían imposibles y otras que, por postergar lo esencial, quedaron atrapadas entre la parálisis y la improvisación. Si llegaste hasta aquí es porque intuyes que tu protección de datos no puede basarse en la esperanza. La buena noticia es que existe una ruta clara y alcanzable cuando pones la funcionalidad por encima de la moda tecnológica. Empezamos por comprender tu dolor sin juicios: ¿qué pasaría si mañana te cifran?, ¿qué entregas no podrían salir?, ¿qué clientes te exigirían explicaciones? Ese reconocimiento desactiva la negación y abre espacio para una estrategia que respira: minimizamos la superficie, protegemos identidades, cerramos agujeros explotados hoy y garantizamos restauraciones que funcionan, con registros que soportan decisiones ante auditorías y ante la SIC cuando hay datos personales en juego. Desde TODO EN UNO.NET acompañamos ese proceso de principio a fin: análisis inicial para identificar activos críticos y dependencias; definición estratégica que incluye arquitectura de seguridad, gobierno de datos y políticas aplicables; e implementación funcional con respaldo 3-2-1-1-0, inmutabilidad, pruebas cronometradas y monitoreo que ve lo importante. Si tu necesidad toca áreas administrativas, tecnológicas, mercadeo, Habeas Data, facturación electrónica, automatización, formación o IA, sumamos aliados de nuestra Organización Empresarial para que la solución no se quede corta. Aumentamos la eficiencia de tu empresa con soluciones digitales y normativas, y no te dejamos solo después de “entregar”: regresamos a medir, ajustar y mejorar contigo, porque la resiliencia es una disciplina, no un acto único. Cuando te das esa oportunidad, el día del incidente no define a tu empresa: lo hace tu capacidad de volver a levantarte, mejor y más confiable que antes. Si eso resuena contigo, conversemos y demos el siguiente paso con calma y determinación.
¿Listo para transformar tu empresa con tecnología funcional?
La seguridad no se promete: se demuestra cada día con procesos que funcionan cuando todo falla.