Ransomware y ciberamenazas | Glosario BMC

Glosario empresarial

Ransomware y ciberamenazas empresariales

Tipo de software malicioso que cifra los archivos o sistemas de una organización y exige un rescate económico para restaurar el acceso. Es la ciberamenaza más costosa para las empresas, con un coste medio por incidente que supera los 4 millones de euros en 2025 según datos del sector.

Digital

Qué es el ransomware

El ransomware es un tipo de malware que cifra los datos de la víctima y exige el pago de un rescate (generalmente en criptomonedas) para proporcionar la clave de descifrado. Las variantes más sofisticadas practican la doble extorsión: además de cifrar los datos, los exfiltran y amenazan con publicarlos si no se paga.

Principales vectores de ataque

Phishing y spear-phishing: correos electrónicos fraudulentos que engañan a empleados para descargar malware o revelar credenciales
Explotación de vulnerabilidades: aprovechamiento de software sin parchear (VPN, servidores web, aplicaciones expuestas)
Acceso remoto comprometido: credenciales de RDP robadas o débiles
Cadena de suministro: compromiso de un proveedor de software que distribuye el malware a sus clientes

Obligaciones legales ante un ciberataque

En el marco regulatorio actual, un ciberataque genera múltiples obligaciones de notificación simultáneas:

RGPD: notificación a la AEPD en 72 horas si hay datos personales afectados
NIS2: notificación de alerta temprana en 24 horas y notificación completa en 72 horas al CSIRT de referencia
DORA: para entidades financieras, notificación al supervisor financiero según los plazos establecidos

Prevención y respuesta

La prevención eficaz combina medidas técnicas (backups inmutables, segmentación de red, EDR, MFA, parcheo regular) con medidas organizativas (formación de empleados, simulacros de phishing, plan de respuesta a incidentes probado). La decisión de pagar o no el rescate tiene implicaciones legales, éticas y estratégicas que deben evaluarse con asesoramiento especializado.

Preguntas frecuentes

¿Cuáles son las obligaciones de notificación en España tras un ataque de ransomware?

Un ataque de ransomware genera obligaciones de notificación simultáneas: si hay datos personales afectados, la empresa debe notificarlo a la AEPD en un plazo máximo de 72 horas desde que tenga conocimiento del incidente (RGPD, Art. 33). Si la empresa está dentro del ámbito de NIS2, debe emitir una alerta temprana al CSIRT de referencia en 24 horas y una notificación completa en 72 horas. Las entidades financieras sujetas a DORA tienen plazos adicionales ante su supervisor sectorial.

¿Debe pagarse el rescate en un ataque de ransomware?

No existe una obligación legal de pagar ni de no pagar, pero las autoridades españolas y europeas desaconsejan el pago porque financia a organizaciones criminales y no garantiza la recuperación de los datos. Además, en la doble extorsión los datos ya han sido exfiltrados antes del cifrado, por lo que el pago no elimina el riesgo de publicación. La decisión debe tomarse con asesoramiento jurídico, técnico y de ciberseguridad.

¿Qué medidas técnicas son más eficaces para prevenir el ransomware?

Las medidas más eficaces son: copias de seguridad inmutables fuera de línea (offline/offsite) probadas regularmente, autenticación multifactor (MFA) en todos los accesos remotos y cuentas privilegiadas, segmentación de red para contener la propagación, soluciones EDR (Endpoint Detection and Response), parcheado sistemático de vulnerabilidades, y formación periódica con simulacros de phishing.

¿Qué implica la 'doble extorsión' en términos de cumplimiento del RGPD?

En la doble extorsión, los atacantes exfiltran los datos antes de cifrarlos y amenazan con publicarlos si no se paga el rescate. Esto implica automáticamente una brecha de datos personales bajo el RGPD, independientemente de si se paga el rescate o no. La empresa tiene obligación de notificar a la AEPD y, si la brecha puede acarrear un alto riesgo para los afectados, también debe notificarse a los propios interesados.

¿Cómo afecta un incidente de ransomware a las obligaciones NIS2 de los administradores?

NIS2 establece responsabilidad personal de los órganos de dirección por el cumplimiento de las medidas de ciberseguridad. Tras un incidente grave, las autoridades competentes pueden exigir explicaciones directas a los administradores, imponer medidas correctoras y, en casos de negligencia grave, sancionar personalmente a los directivos. Por ello es esencial que la dirección apruebe y supervise activamente el plan de respuesta a incidentes.

Servicio relacionado

Legal

Descubra nuestros servicios en esta área

Sectores relacionados

Tecnología y Startups Investigación y Desarrollo

Términos relacionados

ISO 27001 (Sistema de Gestión de Seguridad de la Información) Directiva NIS2 (Ciberseguridad) CISO (Chief Information Security Officer) Ciberseguridad empresarial Phishing e ingeniería social

Volver al glosario

Solicite una consulta personalizada

Nuestros expertos están listos para analizar su situación y ofrecerle soluciones a medida.

Consulta gratuita

Advisory

Análisis y Valoración

Transformación

Gobierno y transición

Estrategia Fiscal

Cumplimiento

Regímenes Especiales

Patrimonio y Litigios

Derecho Mercantil y Societario

Insolvencia y Reestructuración

Personas y Compliance

Litigios y Resoluciones

Ciberseguridad

Privacidad e IA

Finanzas y Reporting

Servicios Corporativos

Crecimiento

Riesgos y Resiliencia

Artículos y Análisis

Informes y Whitepapers

Herramientas

Industrias