Ciberseguridad Marzo 2025 8 min de lectura

Ransomware en 2025: por qué las PyMEs argentinas son el blanco favorito

Los ataques de ransomware crecieron un 78% en Latinoamérica en 2024. Las empresas medianas sin infraestructura de seguridad dedicada son las más vulnerables — y las más atacadas.

← Volver al blog

En los últimos dos años, el ransomware dejó de ser un problema exclusivo de grandes corporaciones. Los grupos criminales que operan este tipo de malware han girado su estrategia: ahora apuntan a empresas medianas que tienen datos valiosos pero carecen de equipos de seguridad dedicados. Argentina no es la excepción.

Según datos de Fortinet Threat Intelligence, Argentina fue el tercer país más atacado de Latinoamérica en 2024, con un incremento del 62% en incidentes de ransomware respecto al año anterior.

¿Por qué las PyMEs son el blanco favorito?

La respuesta es económica. Los atacantes buscan el mayor retorno por el menor esfuerzo. Una empresa de 50-200 empleados típicamente tiene:

  • Datos críticos: facturas, clientes, contratos, información bancaria
  • Sistemas legacy sin actualizar, muchas veces con vulnerabilidades conocidas
  • Sin backup automatizado o con backups no probados
  • Sin segmentación de red — un equipo comprometido puede llegar a todo
  • Presupuesto insuficiente para pagar a especialistas internos

El ciclo de ataque típico

Un ataque de ransomware moderno no es un evento instantáneo. Los atacantes suelen permanecer en la red durante semanas antes de activar el cifrado. El proceso típico tiene cuatro fases:

1. Acceso inicial

El 85% de los ataques comienzan con phishing o con credenciales robadas. Un empleado hace clic en un link malicioso, o se usan credenciales de VPN filtradas en la dark web. En muchos casos, las credenciales provienen de brechas anteriores en otros servicios donde el empleado reutilizó su contraseña.

2. Movimiento lateral

Una vez dentro, el atacante explora la red silenciosamente. Escala privilegios, identifica los sistemas más valiosos y mapea los backups. El objetivo es asegurarse de que cuando active el ransomware, no quede ningún camino de recuperación fácil.

3. Exfiltración

Antes de cifrar, los atacantes modernos copian los datos más sensibles. Esto les da una segunda palanca de extorsión: “si no pagás, publicamos tus datos de clientes”. Esta táctica se conoce como double extortion y está presente en el 70% de los ataques actuales.

4. Cifrado y demanda

Finalmente, el ransomware se activa — usualmente fuera del horario laboral — y cifra todo lo que puede alcanzar. Al día siguiente, la empresa encuentra sus sistemas bloqueados y una nota de rescate.

El costo promedio de recuperación de un ataque de ransomware en una PyME latinoamericana supera los USD 180.000, incluyendo tiempo de inactividad, recuperación de datos y daño reputacional.

Las 5 medidas que reducen el riesgo en un 90%

  • Backup 3-2-1: 3 copias de los datos, en 2 medios diferentes, con 1 copia offsite o en la nube. Probado mensualmente.
  • EDR en todos los endpoints: Un antivirus tradicional no detecta ransomware moderno. Se necesita detección y respuesta en endpoints.
  • MFA obligatorio: Multi-factor authentication en VPN, email y sistemas críticos. Bloquea el 99% de los ataques con credenciales robadas.
  • Segmentación de red: Separar la red de producción, administrativos y visitantes. Limita el movimiento lateral ante una brecha.
  • Capacitación en phishing: Simulaciones periódicas de phishing para que los empleados identifiquen intentos de engaño.

¿Qué hace Argensys ante este escenario?

Como partner certificado de Fortinet, implementamos soluciones de ciberseguridad diseñadas para la realidad de las empresas medianas argentinas: efectivas, escalables y con un costo adecuado al tamaño del negocio. Desde firewalls FortiGate hasta soluciones EDR y servicios de monitoreo 24/7.

¿Querés saber si tu empresa está expuesta? Realizamos una auditoría de seguridad sin costo.

Solicitar auditoría →