El último estudio anual de Sophos analiza las experiencias reales con el ransomware de 292 proveedores de servicios sanitarios que se vieron afectados por este tipo de malware durante el último año. El informe examina cómo han evolucionado las causas y las consecuencias de estos ataques. La edición de este año también arroja nueva luz sobre áreas que no se habían explorado anteriormente, como los factores organizativos que dejaron a los proveedores expuestos y el coste humano que el ransomware supone para los equipos de TI y ciberseguridad.

Descarga el informe para conocer todos los resultados →.

Las vulnerabilidades explotadas y los retos de capacidad son las principales causas de los ataques

Por primera vez en tres años, los proveedores de atención sanitaria identificaron las vulnerabilidades explotadas como la causa técnica más común de los ataques, utilizada en el 33 % de los incidentes. Esto supera a los ataques basados en credenciales, que fueron la principal causa reportada en 2023 y 2024.

Múltiples factores organizativos contribuyen a que las organizaciones minoristas sean víctimas del ransomware, siendo el más común la falta de personal/capacidad (es decir, un número insuficiente de expertos en ciberseguridad que supervisen los sistemas en el momento del ataque), mencionada por el 42 % de las víctimas. Le siguen muy de cerca las lagunas de seguridad conocidas, que fueron un factor contribuyente en el 41 % de los ataques.

Causa fundamental de los ataques en el sector sanitario

El cifrado de datos disminuye drásticamente pero las tasas de extorsión se disparan

El cifrado de datos en el sector sanitario ha caído a su nivel más bajo en cinco años. Solo un tercio (34 %) de los ataques han dado lugar al cifrado de datos, el segundo porcentaje más bajo registrado en la encuesta de este año y menos de la mitad del 74 % registrado por los proveedores de atención sanitaria en 2024. En línea con esta tendencia, el porcentaje de ataques detenidos antes del cifrado alcanzó su máximo en cinco años, lo que indica que las organizaciones sanitarias están reforzando sus defensas.

Sin embargo, los adversarios se están adaptando: la proporción de proveedores de atención sanitaria afectados por ataques solo de extorsión (en los que no se cifraron los datos, pero se exigió un rescate) se triplicó hasta alcanzar el 12 % de los ataques en 2025, frente al 4 % en 2022/3, la tasa más alta registrada en la encuesta de este año. Probablemente, esto se deba a la alta sensibilidad de los datos médicos (historiales de pacientes, etc.).

Cifrado de datos en sector sanitario | 2021-2025

Disminuyen las tasas de pago de rescates mientras que la confianza en las copias de seguridad se reduce

En 2025, solo el 36 % de los proveedores de asistencia sanitaria pagaron el rescate, frente al 61 % en 2022, lo que sitúa al sector entre los cuatro menos propensos a recuperar datos de esta manera. Al mismo tiempo, el uso de copias de seguridad también ha disminuido (del 72 % al 51 %). En conjunto, estos resultados apuntan a una mayor resistencia a las demandas, pero también a posibles debilidades o a una falta de confianza en la resiliencia de las copias de seguridad.

Recuperación de datos cifrados en el sector sanitario | 2021-2025

Las demandas de rescate, los pagos y los costes de recuperación de los ataques se desploman

La economía del ransomware en el sector sanitario cambió drásticamente en 2025, con una caída del 91 % en las demandas de rescate, que pasaron de 4 millones de dólares en 2024 a 343 000 dólares, y una caída de los pagos de rescate de 1,47 millones de dólares a solo 150 000 dólares, la cifra más baja de todos los sectores incluidos en la encuesta de este año. Esta disminución refleja una fuerte caída de las demandas y los pagos multimillonarios, aunque aumentaron las demandas de rango medio (entre 1 y 5 millones de dólares) y los pagos inferiores a 1 millón de dólares.

Al mismo tiempo, el coste medio de recuperación (excluyendo los rescates pagados) ha caído a su nivel más bajo en tres años, con un descenso del 60 % durante el último año, hasta 1,02 millones de dólares, frente a los 2,57 millones de dólares de 2024. En conjunto, los resultados apuntan a un sector del que es más difícil obtener grandes sumas de dinero y que es más eficiente en su recuperación, incluso aunque los casos de menor valor sean cada vez más comunes.

Los ataques de ransomware ejercen una presión significativa sobre los equipos de TI/ciberseguridad del sector sanitario por parte de los altos directivos

La encuesta deja claro que el cifrado de datos en un ataque de ransomware tiene repercusiones significativas para los equipos de TI/ciberseguridad del sector minorista, con un aumento de la presión por parte de los altos directivos citado por el 39 % de los encuestados. Otras repercusiones incluyen (entre otras):

Aumento de la ansiedad o el estrés por futuros ataques, citado por el 37 %.

Un cambio en las prioridades/enfoque del equipo, citado por el 37 %.

Sentimiento de culpa por no haber detenido el ataque, citado por el 32 %.

Descarga el informe completo para obtener más información sobre las repercusiones humanas y financieras del ransomware en el sector sanitario.

Acerca de la encuesta

El informe se basa en los resultados de una encuesta independiente e imparcial encargada por Sophos a 3400 responsables de TI/ciberseguridad de 17 países de América, EMEA y Asia-Pacífico, incluidos 292 del sector sanitario. Todos los encuestados representan a organizaciones con entre 100 y 5000 empleados. La encuesta fue realizada por el especialista en investigación Vanson Bourne entre enero y marzo de 2025, y se pidió a los participantes que respondieran basándose en sus experiencias durante el año anterior.