Este texto es una traducción automática del Русский. Fue generada por IA y puede contener imprecisiones.
Leer original →
Este texto es una traducción automática del Русский. Fue generada por IA y puede contener imprecisiones.
Leer original →Rusia recibe el 14% de los ciberataques mundiales con apenas un 3% de participación en la economía global. Analizamos la magnitud de las amenazas, el daño económico del ransomware y los ataques APT, los principales errores empresariales y las medidas de protección a nivel estatal.
Rusia se ha convertido en uno de los principales objetivos de los ciberdelincuentes: el país representa el 14% de los ciberataques exitosos en el mundo con una participación del 3% en la economía mundial. La ciberseguridad se ha transformado de un problema técnico en un factor macroeconómico que afecta la sostenibilidad de los negocios, la infraestructura y la estabilidad social. Los expertos instan a considerar las inversiones en seguridad de la información no como gastos, sino como una condición para la supervivencia empresarial en condiciones de guerra híbrida.
En 2025, el daño total causado por la ciberdelincuencia en todo el mundo se estima en $10,5 billones anuales, más del triple que en 2015. Y uno de los principales afectados es Rusia. Según estimaciones de Positive Technologies, entre el 1 de julio de 2024 y el 26 de septiembre de 2025, el 14% de los ciberataques exitosos en el mundo se dirigieron contra Rusia. Para un país que representa alrededor del 3% de la economía mundial, esta magnitud es consecuencia de un enfrentamiento geopolítico que impacta la esfera económica a través del prisma de las TI.
Y esto ya no es "seguridad informática abstracta", sino un factor que influye directamente en la actividad económica, los costos empresariales, la resiliencia de la infraestructura, el empleo y la estabilidad social. Así lo considera también la diputada de la Duma Estatal Marina Kim:
"Hoy es un frente de guerra híbrida en toda regla, cuyo objetivo no es simplemente robar datos, sino sembrar el caos y desestabilizar la sociedad".
En la percepción cotidiana, un ciberataque es "hackers que vulneraron un sitio web". En la práctica, el espectro es mucho más amplio:
El ciberataque moderno es cada vez menos un "hackeo puntual" y cada vez más una operación de múltiples fases: penetración, afianzamiento, reconocimiento, cifrado, extorsión y, en paralelo, venta de accesos y datos robados en mercados clandestinos.
Según datos del centro de investigación de ciberamenazas de la empresa Solar, solo en los diez primeros meses de 2025 se identificaron en el ciberespacio 18 agrupaciones hackers consolidadas, de las cuales siete son nuevas, lo que representa al menos el doble que el año anterior.
Alrededor del 61% de los ataques de grupos profesionales en 2025 fueron de espionaje (un aumento de 7 puntos porcentuales interanual); los ataques con motivación financiera representaron el 17% (–3 p.p.); y los hacktivistas con declaraciones políticas ruidosas, el 11% (–11 p.p.). Es decir, los ciberdelincuentes están pasando de acciones mediáticas a un espionaje silencioso pero sistemático y a la preparación de ataques contra infraestructuras.
Por sectores, los más atacados son:
«Yo destacaría una tríada: energía, transporte y sector financiero. Un golpe contra ellos tiene un efecto social inmediato — desde apagones masivos hasta la parálisis de los nudos de transporte. Es precisamente ese efecto multiplicador de pánico el que buscan nuestros oponentes geopolíticos», subraya Marina Kim.
Por ejemplo, el ciberataque de verano contra «Aeroflot» se convirtió en un ejemplo de cómo un ciberataque literalmente «aterrizó» en los paneles de salidas. En el día pico, según estimaciones de expertos del sector, se canceló hasta el 42% de los vuelos: la falla en los sistemas informáticos se transformó instantáneamente en una paralización real de la flota aérea, ruptura de la logística, pérdidas materiales para personas y socios de la compañía.
Para una gran aerolínea esto ya no se trata de «ciberriesgos», sino de caída de ingresos, multas de los reguladores, aumento de costos y el consiguiente incremento en los precios de los billetes. A mayor escala — un golpe a la actividad empresarial y al turismo.
Solar 4RAYS registra un aumento drástico en el uso de malware RAT (Remote Access Trojan) — herramientas de control remoto oculto sobre la infraestructura de la víctima. En el segundo trimestre de 2025 ya representaron el 24% de todas las infecciones en organizaciones rusas, frente al 18% del primer trimestre de 2025.
La razón es simple: los stealers (software para robo de datos) sustraen credenciales y archivos individuales, mientras que los RAT otorgan al atacante un panel de control del sistema informático:
Los hackers ya no dedican esfuerzos a crear virus únicos para cada objetivo. Hoy el mercado de ataques funciona como una cadena de montaje: para empresas "comunes y corrientes" se utilizan herramientas masivas, ligeramente adaptadas a la tarea, mientras que los malware únicos y costosos se reservan únicamente para víctimas realmente grandes y protegidas. Como explican en Solar, el software desarrollado a medida ahora se aplica de forma quirúrgica, solo donde se necesita un "trabajo de orfebrería" y control manual.
En 2025, los ciberataques se convierten no solo en una amenaza tecnológica, sino en un factor de presión económica directa sobre las empresas. Según el Allianz Risk Barometer 2025, los ciberincidentes ocupan por cuarto año consecutivo el primer lugar entre los riesgos empresariales globales, superando las interrupciones en las cadenas de suministro y la inestabilidad macroeconómica. En el contexto ruso, la estructura de pérdidas se configura cada vez más en torno a los ataques de ransomware. Son precisamente estos los que se convierten en el escenario más costoso y destructivo para las empresas.
Los ransomware: principal motor de las pérdidas
Según datos de Verizon, en 2025 el 37% de todas las violaciones de ciberseguridad en el mundo estuvieron relacionadas con programas de ransomware. Esto explica por qué precisamente este tipo de ataques lidera en daño financiero. El experto independiente en seguridad de la información Denis Makrushin subraya el carácter sistémico del problema:
"Los delincuentes simultáneamente cifran datos, los roban y amenazan con publicarlos. El negocio se paraliza, gasta recursos en recuperación, pierde la confianza de clientes y socios. Incluso si la empresa paga el rescate, no hay garantía de recuperación total de los datos ni de que el incidente no se repita".
Un riesgo económico aparte es la duración del tiempo de inactividad. Según Ponemon Institute, una hora de inactividad de sistemas críticos en 2025 le cuesta a las empresas en promedio $347 mil a nivel mundial. Los casos rusos confirman estas estimaciones: aquí las pérdidas directas son menores que las occidentales, pero el impacto relativo sobre los ingresos es mayor debido a menores reservas. El experto independiente Vladimir Lyubitsky explica:
«Los ransomware destruyen datos e infraestructura TI. A menudo la empresa se ve obligada a reconstruir todo desde cero. Para una firma con un centenar de empleados, esa recuperación puede costar decenas de millones en dos semanas de trabajo».
Así, las empresas rusas pagan un triple precio: paralización, recuperación y pérdida de cuota de mercado.
RaaS, filtraciones y la «cola» regulatoria
La tendencia internacional de los últimos dos años es el desarrollo del modelo Ransomware-as-a-Service (RaaS), donde los ciberdelincuentes se agrupan y venden herramientas de cifrado como servicio. En el primer semestre de 2025 se registraron 96 grupos únicos, un 41,18% más que en el mismo período de 2024, lo que intensificó la presión sobre las pequeñas y medianas empresas. Esto es importante porque para las pymes un rescate de 40 millones de rublos o más, que exigen muchos grupos RaaS, puede significar el cierre efectivo del negocio.
Sin embargo, incluso disponiendo de fondos, el intento de una empresa de pagar el rescate a menudo no conduce al descifrado de los datos y no es raro que termine en ataques repetidos uno o dos trimestres después. Conservar parte de la infraestructura tras el incidente sin una verificación completa es el camino directo a repetir el escenario.
Los ciberataques de 2024-2025 demostraron que el problema de la mayoría de las empresas no es que «los hackers se hayan vuelto más fuertes», sino que la organización interna de seguridad no logra seguir el ritmo de las amenazas. Es decir, no se trata de los empleados, sino de la ausencia de una arquitectura adecuada de gestión de riesgos. La tendencia también se refleja en la velocidad de recuperación. Una investigación de IBM X-Force indica que en el mundo el plazo medio de recuperación tras un incidente grave es de 22 días, mientras que en Rusia suele ser mayor debido a la falta de planes de recuperación bien afinados. Precisamente este defecto estructural es el que destacan los expertos.
Los procesos son más importantes que las tecnologías
Anton Bochkárev, fundador de 3side/4sec, subraya que la raíz de la mayoría de los incidentes no es la incompetencia de especialistas concretos, sino la ausencia de un sistema coherente de actuación. Según sus palabras, el caos y la falta de comprensión en la gestión de riesgos llevan a que muchas empresas ni siquiera sean capaces de determinar el momento del ataque, y «recuperarse en 48 horas solo pueden unos pocos: únicamente aquellos que tienen procesos establecidos de antemano y han realizado simulacros regulares».
Esta valoración se confirma también con datos internacionales: según los analistas, las empresas que cuentan con un plan de respuesta bien ensayado reducen las pérdidas entre un 37% y un 42%.
Preparación ante incidentes: la realidad es peor que las expectativas
Egor Bogomólov, CEO de la agencia de hackers éticos Singleton Security y del centro educativo CyberED, evalúa la situación de manera aún más severa. Según él, la mayoría de las organizaciones rusas no cuentan ni con escenarios completos de recuperación ni con protocolos claros de respuesta. Señala que el tiempo real de recuperación tras un ataque grave en empresas rusas oscila entre una semana y un mes, y que las principales vulnerabilidades se encuentran en la periferia: correo electrónico, CRM, aplicaciones y sistemas de acceso remoto. Estas áreas suelen estar debilitadas precisamente porque carecen de una infraestructura de soporte de seguridad a su alrededor.
Hay tecnología, pero falta cultura
Como observa Denis Makrushin, en los últimos años han surgido en Rusia herramientas modernas de detección de amenazas, SOC corporativos y sistemas de monitoreo. Sin embargo, sin procesos de gestión de accesos, trabajo con contratistas, capacitación del personal y protocolos de incidentes, ni siquiera la mejor tecnología funciona. Aclara que "solo pueden recuperarse en 48 horas aquellos que invirtieron previamente en copias de seguridad y ensayos de escenarios de recuperación", y esas empresas siguen siendo minoría.
Ataques a través de contratistas y el "ruido" como cortina de humo para el verdadero hackeo
En 2025, una de las tendencias más peligrosas ha sido el aumento de ataques a través de contratistas. La empresa Solar registra un incremento sistemático de casos en los que los delincuentes no penetran en la corporación protegida, sino en su socio menos protegido. Esto explica también el aumento de la proporción de empresas de TI entre las víctimas, que ya alcanza el 16%, significativamente superior al nivel de hace dos años.
Muchas grandes empresas se concentran erróneamente en métricas improductivas, como la "lucha contra el fuerza bruta" (conjunto de medidas que ayudan a detener o al menos ralentizar los intentos de hackeo cuando los hackers intentan adivinar contraseñas probando miles de variantes consecutivas) y vistosos dashboards con cientos de incidentes. Esto crea una ilusión de control. Mientras tanto, los atacantes cada vez más crean ataques de ruido deliberadamente para ocultar sus acciones reales. Nuestro experto independiente subraya: es mucho más eficaz controlar algunos puntos clave de captura de Active Directory que "perseguir cada inicio de sesión sospechoso".
Lo más peligroso: las falsas convicciones de la dirección
En el mercado de las pymes, la situación se agrava por dos extremos de pensamiento. El primero, la convicción de que "si quieren, nos hackearán". El segundo, que "somos demasiado pequeños para ser interesantes". Ambos son peligrosos. La mayoría de los ataques actuales están automatizados y, según datos de Positive Technologies, en el primer semestre de 2025 el 36% de todos los ataques ocurrieron bajo el principio de "objetivo aleatorio": los delincuentes simplemente escaneaban internet en busca de servicios vulnerables.
El experto Makrushin destaca tres de las creencias erróneas más peligrosas:
El modelo de protección debe pasar de la ilusión de "prevenir todo" a la ciberresiliencia.
"Es imposible prevenir todos los ataques por completo. El concepto de ciberresiliencia está más orientado al negocio: protegerse de eventos inaceptables y estar preparados para la recuperación; eso es la ciberseguridad efectiva moderna", afirma Anton Bochkárev.
La diputada de la Duma Estatal Marina Kim propone considerar la ciberseguridad no como una partida presupuestaria de TI, sino como un elemento de soberanía:
"Antes las empresas calculaban el ROI de implementar un antivirus. Hoy la cuestión es otra: o inviertes en seguridad informática o simplemente no existes mañana. La seguridad informática no es un 'impuesto al miedo', es la licencia para mantener tu negocio en la jurisdicción rusa".
En su opinión, sin incentivos sistémicos y responsabilidad, la situación no cambiará:
Invertir hoy en ciberseguridad es invertir en el derecho a ser un Estado soberano. Y aquí no caben medias tintas. Mientras la gente vive tranquila, sin sospechar cuántos ataques ocurren cada día, Rusia lleva ya muchos meses en los primeros puestos de los rankings mundiales de ciberataques. La única pregunta es quién se adapta más rápido: nosotros o quienes nos disparan.