Hay menos pagos de rescate, los costes de recuperación han bajado drásticamente y el 97% de las víctimas logra recuperar sus datos cifrados. Las instituciones educativas están mejorando su capacidad de reacción y recuperación ante los ataques.

A pesar de los avances técnicos, el personal de TI sufre altos niveles de estrés, agotamiento y ansiedad tras los ataques, con casi el 40% de los encuestados reportando problemas de salud mental y más de un tercio sintiendo culpa por no poder evitar los incidentes.
 

MADRID, SP — Septiembre 10, 2025 —

Sophos, líder mundial en soluciones de seguridad innovadoras para combatir los ciberataques, ha publicado hoy su quinto informe anual sobre el estado del ransomware en educación. El estudio, realizado a 441 líderes de TI y ciberseguridad, revela que el sector educativo está logrando avances significativos en la defensa contra el ransomware: menos pagos de rescate, costes mucho más bajos y una recuperación más rápida. Sin embargo, estos logros han traído consigo una mayor presión sobre los equipos de TI, que reportan altos niveles de estrés, agotamiento y problemas en sus carreras tras los ataques; casi el 40% de los encuestados mencionó haber sufrido ansiedad.

En los últimos cinco años, el ransomware se ha convertido en una de las amenazas más graves para la educación, con ataques que ocurren prácticamente a diario. Las escuelas y colegios suelen ser objetivos atractivos para los ciberdelincuentes, debido a que con frecuencia disponen de recursos limitados, personal reducido y gestionan información altamente sensible. Las consecuencias son graves: interrupción de las clases, presupuestos ajustados y preocupación creciente por la privacidad de alumnos y empleados. Sin defensas sólidas, los centros educativos ponen en riesgo no solo sus recursos, sino también la confianza de las comunidades a las que atienden.

Indicadores de éxito frente al ransomware:

El nuevo estudio de Sophos revela que el sector educativo está fortaleciendo su capacidad de respuesta frente al ransomware, lo que obliga a los atacantes a modificar sus estrategias. Los datos indican un aumento de los intentos de extorsión sin cifrado de datos. Aunque aproximadamente la mitad de las víctimas todavía opta por pagar el rescate, los montos reclamados han disminuido significativamente. Además, el 97 % de quienes sufrieron cifrado de datos logró recuperarlos por algún medio. Algunos indicadores clave del éxito en educación son:

  • Bloqueo de ataques: Las instituciones educativas lograron sus mejores resultados en cuatro años al detener los ataques antes de que los archivos fueran cifrados, con un 67 % de éxito en educación básica y 38 % en educación superior.
  • Menos dinero para los atacantes: En el último año, las demandas de rescate disminuyeron un 73 % (una reducción promedio de 2,83 millones de dólares), mientras que los pagos promedio cayeron de 6 millones a 800,000 USD en educación básica y de 4 millones a 463,000 USD en educación superior.
  • Recuperación más económica: Excluyendo los pagos de rescate, el coste promedio de recuperación cayó un 77 % en educación superior y un 39 % en educación básica. A pesar de esta reducción, la educación básica sigue registrando la factura de recuperación más alta entre todos los sectores analizados.

Retos pendientes

A pesar de los avances, persisten importantes desafíos. Según el estudio de Sophos, el 64% de las víctimas no contaba con soluciones de protección adecuadas; el 66% señaló falta de personal o experiencia para detener los ataques; y el 67% admitió tener brechas de seguridad. Estos riesgos subrayan la necesidad de que las escuelas prioricen la prevención, especialmente ante nuevas técnicas como ataques impulsados por inteligencia artificial (IA).

Algunos puntos destacados que muestran los retos pendientes:

  • Amenazas con IA: El 22% de los ataques en educación básica se originó en campañas de phishing. Con la IA, los correos falsos, llamadas y hasta videos manipulados son cada vez más convincentes, poniendo a las escuelas en la mira de nuevas tácticas.
  • Datos valiosos: Las universidades y centros de investigación, que gestionan datos de IA y modelos de lenguaje, siguen siendo objetivos principales. Las vulnerabilidades explotadas (35%) y brechas desconocidas (45%) son las debilidades más aprovechadas por los atacantes.
  • Impacto humano: En todos los centros afectados por ataques con cifrado de datos se registraron repercusiones en el personal de TI. Más de una cuarta parte de los empleados tuvo que tomar licencia, cerca del 40% experimentó altos niveles de estrés y más de un tercio manifestó sentimientos de culpa por no haber podido prevenir el incidente.

“Los ataques de ransomware en el sector educativo no solo interrumpen las clases, también afectan a comunidades enteras de estudiantes, familias y educadores”,comenta Alexandra Rose, Directora de Investigación de Amenazas en Sophos. “Si bien es alentador ver que las escuelas están fortaleciendo su capacidad de respuesta, la verdadera prioridad debe ser prevenir estos ataques desde el principio. Para ello se requiere una planificación sólida y una estrecha colaboración con socios de confianza, especialmente ahora que los adversarios adoptan nuevas tácticas, incluidas las amenazas impulsadas por IA”.

Cómo mantener los avances

Con la experiencia acumulada en la protección de miles de instituciones educativas, Sophos propone varias medidas para sostener los avances logrados y reforzar la preparación frente a amenazas emergentes:

  • Priorizar la prevención: El éxito de la educación básica al frenar ataques antes de que se produzca el cifrado puede servir de referente para otras organizaciones públicas. Es esencial complementar las capacidades de detección y respuesta con sólidas medidas preventivas.
  • Asegurar financiación: Explorar nuevas opciones, como los subsidios E-Rate de la Comisión Federal de Comunicaciones de EE. UU. para reforzar redes y cortafuegos, y las iniciativas del Centro Nacional de Ciberseguridad del Reino Unido, incluido su servicio gratuito de defensa cibernética para escuelas, con el fin de aumentar la protección general. Estos recursos ayudan a las escuelas tanto a prevenir como a resistir los ataques.
  • Unificar estrategias: Adoptar enfoques coordinados en todo el entorno de TI para cerrar brechas de visibilidad y reducir riesgos antes de que los atacantes los exploten.
  • Aliviar la carga del personal: El ransomware ejerce una presión significativa sobre los equipos de TI. Las escuelas pueden reducir esta carga y aumentar sus capacidades asociándose con proveedores de servicios gestionados de detección y respuesta (MDR) y otros expertos disponibles 24/7.
  • Fortalecer la respuesta: Aunque la prevención sea más fuerte, las escuelas deben estar preparadas para responder ante incidentes. Tener planes robustos, hacer simulacros y contar con servicios de respuesta continua ayuda a recuperarse más rápido.

Los datos del informe se basan en una encuesta independiente realizada a 441 líderes de TI y ciberseguridad —243 de educación básica y 198 de educación superior— que sufrieron ataques de ransomware en el último año. Las organizaciones encuestadas cuentan con entre 100 y 5,000 empleados y están distribuidas en 17 países. La encuesta se llevó a cabo entre enero y marzo de 2025, y los participantes compartieron información sobre su experiencia durante los 12 meses anteriores.

Puedes descargar el informe completo “Estado del Ransomware en Educación 2025” en Sophos.com.

Acerca de Sophos

Sophos es líder en ciberseguridad y protege a 600 000 organizaciones en todo el mundo con su plataforma basada en IA y servicios prestados por expertos. Sophos acompaña a las organizaciones, independientemente de su nivel de madurez en materia de seguridad, y crece con ellas para derrotar los ciberataques. Sus soluciones combinan el Machine Learning, la automatización y la información sobre amenazas en tiempo real con la experiencia humana de primera línea de Sophos X-Ops para ofrecer supervisión, detección y respuesta avanzadas 24/7 frente a amenazas.
Sophos ofrece detección y respuesta gestionadas (MDR) líder en el sector, junto con una completa cartera de tecnologías de ciberseguridad que incluye seguridad para endpoints, redes, correo electrónico y la nube, detección y respuesta ampliadas (XDR), detección y respuesta ante amenazas de identidad (ITDR) y SIEM next-gen. Junto con los servicios de asesoramiento de expertos, estas funcionalidades ayudan a las organizaciones a reducir el riesgo de forma proactiva y a responder con mayor rapidez, con la visibilidad y escalabilidad necesarias para adelantarse a las amenazas en evolución.
Sophos comercializa sus productos a través de un ecosistema global de Partners, que incluye proveedores de servicios gestionados (MSP), proveedores de servicios de seguridad gestionados (MSSP), Partners y distribuidores, integraciones para marketplaces y Partners especializados en ciberriesgos, lo que ofrece a las organizaciones la flexibilidad de elegir colaboraciones de confianza a la hora de proteger su negocio.  Sophos tiene su sede en Oxford, Reino Unido. Encontrará más información en es.sophos.com.