[ESTUDIO] El 12% de las Pequeñas Empresas Dice que Ha Pagado una Exigencia de Rescate

Publicado: por Brett Dunst
[ESTUDIO] El 12% de las Pequeñas Empresas Dice que Ha Pagado una Exigencia de Rescate thumbnail

TL;DR: Según un estudio de DreamHost de 2025, el 12 % de las pequeñas empresas estadounidenses han pagado los rescates exigidos por los hackers y el 46 % ya han sufrido ciberataques. Los datos revelan una clara división: las empresas con copias de seguridad y planes de recuperación probados se niegan a pagar, mientras que las que no los tienen se convierten en víctimas. La solución no tiene por qué ser compleja: se trata de una preparación disciplinada.

Hallazgos Clave de un Vistazo

El 12 % de los encuestados ha recibido una demanda de rescate relacionada con su sitio web, correo electrónico o datos, y la ha pagado.El 42 % está muy preocupado por los ataques de ransomware dirigidos a sitios web.El 46 % ha sufrido un ciberataque que ha expuesto datos, bloqueado archivos o dejado su sitio web fuera de línea.El 38 % afirma que su sitio web ha sido pirateado o infectado con malware.El 24 % afirma que nunca ha probado su proceso de copia de seguridad y restauración para asegurarse de que realmente funciona.El 40,5 % probablemente invertiría en copias de seguridad automatizadas de sitios web si supieran que las copias de seguridad les evitarían tener que pagar un rescate.

Hemos encuestado a 1000 propietarios y gerentes de pequeñas empresas (50 empleados o menos) de todo el país sobre la seguridad de sus sitios web. Lo que hemos descubierto: el 12 % ha recibido una demanda de rescate relacionada con su sitio web, correo electrónico o datos, y ha pagado.

¿Por qué es importante?

Las pequeñas empresas son un blanco fácil para los ciberdelincuentes, por lo que estos ataques son cada vez más comunes. Nuestros hallazgos revelan lo extendida y costosa que se ha vuelto esta amenaza para los propietarios de negocios cotidianos, no solo para las grandes empresas.

Como proveedor de alojamiento web que presta servicio a miles de pequeñas empresas, DreamHost quería comprender el impacto real de estas amenazas y el grado de preparación de las empresas para responder a ellas. Los resultados apuntan a claras deficiencias, y a soluciones viables, en la ciberseguridad de las pequeñas empresas.

Imagina una sala con cien personas que gestionan sitios web: autónomos, operadores de tiendas, propietarios de pequeñas empresas; gente que solo quiere que su sitio web funcione. Ahora cuenta doce de ellos.

Cuadrícula de íconos de pequeñas empresas con 12 íconos en rojo destacados para mostrar el porcentaje que ha pagado una demanda de rescate.

Los datos muestran que 12 de cada 100 operadores de sitios web han pagado un rescate para recuperar el acceso a sus sitios o datos. Cuando los sitios web dejan de estar disponibles debido a ciberataques, las empresas se enfrentan a interrupciones operativas inmediatas: paneles administrativos inaccesibles, pedidos sin cumplir y datos de clientes bloqueados.

Para muchos, pagar el rescate parece ser la forma más rápida de restablecer el servicio, a pesar de las bajas tasas de cumplimiento de los atacantes.

La preocupación va más allá de quienes han pagado. El 42 % de los encuestados afirmó estar “muy preocupado” por los ataques de ransomware dirigidos a sitios web, lo que refleja una conciencia generalizada sobre el panorama de amenazas.

Los datos completos de la encuesta revelan por qué esa preocupación está justificada y qué pueden hacer las empresas al respecto.

Veamos.

1 De Cada 8 Estadounidenses Ha Pagado Un Rescate

Desglose de las respuestas a las demandas relacionadas con ransomware, con porcentajes de quienes pagaron, no pagaron, nunca lo han hecho y no están seguros.

Ese 12 % representa a las empresas que se encuentran en un punto de decisión: pagar el rescate o enfrentarse a un tiempo de inactividad prolongado.

Cada pago refuerza el modelo de negocio del ransomware, validando la táctica y aumentando la probabilidad de que más empresas se enfrenten a demandas similares.

Los ataques de ransomware no se limitan a las grandes empresas. Las pequeñas empresas con infraestructura online accesible se enfrentan a las mismas amenazas.

Un análisis más detallado de quienes recibieron demandas de rescate revela el papel que desempeña la preparación en la toma de decisiones.

Del 28,4 % que se enfrentó a una demanda, el 41,5 % pagó el rescate. Al enfrentarse a ese momento (sitio inactivo, datos bloqueados, ingresos congelados), casi la mitad opta por pagar.

Comparación de respuestas a demandas de rescate que muestra que el 41.5% pagó y el 58.5% se negó entre quienes recibieron demandas.

Por otro lado: el 58,5 % se negó. Eso significa que 6 de cada 10 empresas se negaron a pagar.

Los datos sugieren que las empresas con copias de seguridad probadas, protocolos de recuperación y resiliencia operativa eran más propensas a negarse a pagar. La preparación de la infraestructura parece reducir la vulnerabilidad ante las demandas de rescate.

Las empresas que comprenden sus riesgos y mantienen copias de seguridad probadas, inicios de sesión seguros y sistemas de recuperación automatizados muestran una menor susceptibilidad a estos ataques.

Casi La Mitad De Los Estadounidenses Están Muy Preocupados Por Las Amenazas De Ransomware 

El 42 % de los encuestados afirmó estar “muy preocupado” por la creciente amenaza de los ataques de ransomware dirigidos a sitios web. Si sumamos a los que están “muy preocupados” con los que están”algo preocupados”, el 84,6 % de los encuestados considera que el ransomware es una amenaza real.

El sitio web es el negocio: el escaparate, el canal de distribución, el centro neurálgico. Cualquier interrupción en el acceso puede afectar directamente a las operaciones comerciales.

Gráfico circular que muestra los niveles de preocupación sobre ataques de ransomware: 42.2% muy preocupados, 42.4% algo preocupados, 11.9% poco preocupados y 3.5% nada preocupados.

Esta aprensión refleja un cambio más amplio: el ransomware se ha expandido más allá de las grandes empresas para atacar a las pequeñas empresas.

Las violaciones de seguridad de alto perfil ilustran el alcance de la amenaza.

Cuando AT&T sufrió una violación que afectó a 73 millones de clientes actuales y antiguos, incluyendo sus números de la Seguridad Social, fechas de nacimiento y nombres, la empresa se enfrentó a un acuerdo de 177 millones de dólares. La violación, que se remonta a 2019, solo se reconoció después de que los datos de los clientes aparecieran en la web oscura.

Si las organizaciones con equipos de seguridad dedicados sufren violaciones de esta magnitud, las pequeñas empresas se enfrentan a vulnerabilidades similares sin recursos comparables para una protección proactiva.

La conclusión es clara: la negligencia invita a la exposición.

Los datos de nuestra encuesta muestran que muchos propietarios de empresas reconocen las debilidades comunes en materia de seguridad: complementos obsoletos, contraseñas débiles y actualizaciones de CMS descuidadas. Esta concienciación está impulsando una mayor atención a las prácticas de ciberseguridad entre las pequeñas empresas.

Recibe contenido directamente en tu bandeja de entrada

Suscríbete ahora para recibir todas las últimas actualizaciones, directamente en tu bandeja de entrada.

Casi la Mitad de las Empresas Ya Han Sufrido un Hackeo

Esa preocupación generalizada no es infundada. El 46 % de los encuestados ya ha sufrido un ciberataque, lo que ha provocado la exposición de datos, el cifrado de archivos o el cierre completo de sitios web.

Gráfico que muestra que el 45.9% de los sitios web de PYMES han sido afectados por un ciberataque y el 54.1% no.

Para el 38 % de los encuestados, esos ataques se produjeron en forma de infracciones cotidianas que rara vez aparecen en los titulares, pero que pueden dar lugar a:

  • Inicios de sesión comprometidos
  • Complementos infectados
  • Redireccionamientos de spam SEO
  • Dominios suspendidos

Cada uno de ellos puede suponer una pérdida de ingresos por tiempo de inactividad, daños en los rankings de búsqueda y erosión de la confianza de los clientes, problemas que se agravan rápidamente para las pequeñas empresas que operan con márgenes reducidos.

Cuatro de diez íconos de portátiles resaltados para mostrar que 4 de cada 10 estadounidenses han experimentado un hackeo de sitio web o una infección de malware.

Las infecciones por malware, en particular, pueden propagarse rápidamente a través de plugins y temas obsoletos, y para el 14 % de los que han sido hackeados, no se trata de un hecho aislado, sino que han sufrido múltiples ataques.

Los datos muestran que confiar en la seguridad integrada de un proveedor de alojamiento web no es suficiente, y que el coste de la recuperación supera con creces el coste de la prevención. Sin embargo, muchos siguen operando con las mismas vulnerabilidades que les llevaron a sufrir la violación en primer lugar: ignorando las actualizaciones, saltándose las auditorías de seguridad y utilizando credenciales débiles.

Estos incidentes suelen ser precursores de eventos de ransomware más importantes. Muchos propietarios de sitios web abordan la ciberseguridad de forma reactiva en lugar de proactiva.

1 de Cada 4 Estadounidenses Nunca Prueba sus Copias de Seguridad de Sitios Web

Uno de cada cuatro estadounidenses no ha probado si sus copias de seguridad funcionan, mostrado con texto azul en negrita sobre un fondo oscuro estrellado.

Incluso después de haber sido víctimas de un ataque informático o de ver cómo otros compañeros sufrían pérdidas de datos, muchas empresas aún no han comprobado que las copias de seguridad de sus sitios web funcionen realmente. Casi uno de cada cuatro encuestados (24 %) afirmó que nunca había probado su proceso de copia de seguridad y restauración.

Esa diferencia entre tener un plan y tener un plan que funcione es lo que convierte las crisis menores en grandes interrupciones del negocio.

Muchos propietarios dan por sentado que “copia de seguridad automática” significa “recuperación automática”.

No es así.

Las copias de seguridad pueden fallar silenciosamente o corromperse. Probar una copia de seguridad lleva menos de 15 minutos y puede marcar la diferencia entre un breve inconveniente y semanas de inactividad.

El 40% de los Estadounidenses Pagaría por Copias de Seguridad para Evitar Pagar a los Hackers

Hay una tendencia positiva en los datos: el 40 % de los encuestados afirmó que estaría más dispuesto a invertir en copias de seguridad automatizadas de sitios web si eso significara evitar el pago de un rescate.

Gráfico de barras que muestra las razones para invertir en copias de seguridad automáticas de sitios web, encabezadas por evitar el pago de rescates con un 40.5%, seguido por el costo, el riesgo y otros factores.

Esto representa un cambio hacia la prevención como decisión financiera. Casi una cuarta parte de los encuestados mencionaron el costo o la complejidad como el obstáculo que les impedía adoptar soluciones de copia de seguridad. Sin embargo, las copias de seguridad automatizadas cuestan mucho menos que la recuperación tras una violación de datos.

El 4,6 % afirmó que nunca invertirían en copias de seguridad. Estas empresas siguen siendo vulnerables a los ataques de ransomware.

El coste total medio para una pequeña empresa de responder y recuperarse de una violación de datos puede oscilar entre 120 000 y 1,24 millones de dólares.

Cuando un sitio se puede restaurar en cuestión de minutos, las demandas de rescate pierden su eficacia. Cuanto más rápida sea la recuperación, menos influencia tendrán los atacantes. Esto posiciona a las herramientas de copia de seguridad como una infraestructura esencial. Si un sitio se puede restaurar rápidamente, los atacantes pierden sus principales herramientas de negociación: el tiempo y el acceso.

Resumen 

Casi la mitad de las pequeñas empresas ya han sufrido un ciberataque. Esta amenaza generalizada está provocando un cambio en la forma en que las empresas abordan la ciberseguridad: ahora hay una mayor concienciación y los propietarios de sitios web consideran cada vez más la ciberseguridad como una planificación de la continuidad, y no solo como un coste técnico.

El camino a seguir está claro. La resiliencia se construye con una preparación disciplinada: copias de seguridad rigurosamente probadas, herramientas que automatizan la defensa y un compromiso con la preparación digital.

La defensa más eficaz es la capacidad de respuesta y recuperación rápidas.

Las empresas que se preparan con antelación se enfrentan a un riesgo significativamente menor cuando se producen ataques.

Metodología

Este artículo se basa en una encuesta nacional realizada en octubre de 2025, en la que recopilamos las respuestas de 1000 estadounidenses para comprender mejor sus experiencias y preocupaciones relacionadas con la seguridad de los sitios web y las amenazas cibernéticas. La encuesta se dirigió específicamente a personas que poseen o gestionan empresas con 50 empleados o menos, lo que garantiza que los datos reflejen los retos y realidades únicos a los que se enfrentan los operadores de pequeñas empresas.

Los participantes representaban una muestra representativa de diversos sectores y ámbitos profesionales, lo que ofrecía una visión completa de la opinión pública y las repercusiones en el mundo real. Se les planteó una serie de preguntas sobre el ransomware, las violaciones de la seguridad de los sitios web, las prácticas de protección de datos y la respuesta a incidentes, lo que proporcionó información valiosa sobre el estado actual de la concienciación y la preparación en materia de ciberseguridad entre los propietarios de pequeñas empresas en Estados Unidos.

Uso Justo

Los usuarios pueden utilizar los conocimientos y conclusiones de este estudio con fines no comerciales, como investigación académica, presentaciones educativas y referencia personal. Cuando se haga referencia o se cite este artículo, asegúrense de citar la fuente adecuada para mantener la integridad de la investigación. Se permite el enlace directo a este artículo y se recomienda el acceso a la fuente original de información.

Para fines comerciales o de publicación, incluidos, entre otros, medios de comunicación, sitios web y materiales promocionales, ponte en contacto con nuestro equipo de Comunicaciones Corporativas para obtener permiso y detalles sobre las licencias.

Agradecemos tu respeto por los derechos de propiedad intelectual y tu adhesión a las prácticas éticas de citación. Gracias por tu interés en nuestra investigación.

WordPress Hosting

Alojamiento de WordPress Inmejorable

Las actualizaciones automáticas de DreamPress, caché y fuertes defensas de seguridad toman la administración de WordPress de tus manos para que puedas enfocarte en tu sitio web.

Ver más
Foto de Brett Dunst

Brett Dunst