Sophos publicó su quinto informe anual Estado del Ransomware en Educación de Sophos. Se trata de un estudio global, realizado a 441 líderes de TI y ciberseguridad, muestra que el sector educativo está logrando avances significativos en su defensa contra el ransomware, con menos pagos de rescate, una reducción drástica de costos y mayores tasas de recuperación. Sin embargo, estas mejoras vienen acompañadas de una creciente presión sobre los equipos de TI, quienes reportan altos niveles de estrés, agotamiento e interrupciones en sus trayectorias profesionales tras los ataques; casi el 40% de los encuestados declaró haber sufrido ansiedad.
En los últimos cinco años, el ransomware se ha convertido en una de las amenazas más recurrentes para el sector educativo, con ataques que ocurren diariamente. Las instituciones de educación media y básica son vistas por los ciberdelincuentes como “blancos fáciles”, frecuentemente subfinanciadas, con poco personal y responsables de datos altamente sensibles. Las consecuencias son graves: interrupción de clases, presupuestos comprometidos y un creciente temor por la privacidad de estudiantes y personal. Sin defensas más sólidas, las escuelas corren el riesgo no solo de perder recursos vitales, sino también la confianza de las comunidades a las que sirven.
Indicadores de éxito frente al ransomware
El nuevo estudio de Sophos demuestra que el sector educativo está mejorando su capacidad de reacción y respuesta ante ataques de ransomware, lo que obliga a los ciberdelincuentes a evolucionar sus ataques. La tendencia revela un aumento en los ataques donde los adversarios intentan extorsionar sin cifrar los datos. Lamentablemente, pagar el rescate sigue siendo parte de la solución para aproximadamente la mitad de las víctimas. Sin embargo, los montos de los pagos están cayendo de forma considerable y, entre quienes sufrieron cifrado de datos, el 97% logró recuperar su información de alguna manera. El estudio encontró varios indicadores clave de éxito en la educación frente al ransomware:
- Mayor prevención de ataques: En cuanto a bloquear ataques antes de que los archivos sean cifrados, tanto las instituciones de educación media y básica como las de educación superior reportaron su mayor tasa de éxito en cuatro años (67% y 38% de los ataques, respectivamente).
- Seguimiento al dinero: En el último año, las demandas de rescate cayeron 73% (una baja promedio de 2.83 millones de dólares), mientras que los pagos promedio bajaron de 6 millones a 800 mil en educación básica/media y de 4 millones a 463 mil en educación superior.
- Caída en los costos de recuperación: Excluyendo los pagos de rescate, los costos promedio de recuperación bajaron 77% en educación superior y 39% en educación media y básica. A pesar de ello, esta última reportó el gasto más alto de recuperación entre todas las industrias analizadas.
Brechas que aún deben atenderse
Aunque el sector educativo ha avanzado en limitar el impacto del ransomware, persisten brechas importantes. En el estudio de Sophos, el 64% de las víctimas reportó soluciones de protección ausentes o ineficaces; el 66% citó falta de personal (ya sea por falta de experiencia o de capacidad) para detener los ataques; y el 67% admitió tener brechas de seguridad. Estos riesgos subrayan la necesidad crítica de que las escuelas se enfoquen en la prevención, ya que los ciberdelincuentes desarrollan nuevas técnicas, incluidas aquellas impulsadas por inteligencia artificial (IA).
Algunos hallazgos del estudio que ilustran las brechas aún existentes incluyen:
- Amenazas potenciadas por IA: Las instituciones de educación media y básica reportaron que el 22% de los ataques de ransomware se originaron en correos de phishing. Con la IA facilitando correos más convincentes, fraudes por voz e incluso deepfakes, las escuelas corren el riesgo de convertirse en terreno de prueba para tácticas emergentes.
- Datos de alto valor: Las instituciones de educación superior, que resguardan investigaciones sobre IA y bases de datos de modelos de lenguaje, siguen siendo un blanco prioritario. Las principales debilidades explotadas fueron vulnerabilidades (35%) y brechas de seguridad que el proveedor desconocía (45%).
- Impacto humano: Todas las instituciones con datos cifrados reportaron afectaciones en su personal de TI. Más de uno de cada cuatro integrantes del equipo tomó licencia tras un ataque, casi el 40% reportó un aumento del estrés y más de un tercio expresó sentir culpa por no haber podido prevenir la brecha.
“Los ataques de ransomware en educación no solo interrumpen las clases, también comunidades enteras: estudiantes, familias y docentes. Si bien es alentador ver que las escuelas están fortaleciendo su capacidad de respuesta, la verdadera prioridad debe ser prevenir estos ataques desde el inicio. Para ello se requiere una planificación sólida y colaboración estrecha con socios de confianza, especialmente ante tácticas nuevas impulsadas por IA”, señaló Alexandra Rose, directora de Investigación de Amenazas en CTU, Sophos.
Cómo mantener los avances logrados
Basado en su experiencia protegiendo a miles de instituciones educativas, el equipo de expertos de Sophos recomienda varios pasos para mantener el ritmo y prepararse para amenazas en evolución:
- Enfocarse en la prevención: El éxito notable de las escuelas de nivel medio y básico al detener ataques de ransomware antes del cifrado ofrece un modelo que puede replicarse en otras entidades del sector público. Las organizaciones deben complementar sus esfuerzos de detección y respuesta con medidas preventivas que eviten que los ataques comprometan sus sistemas.
- Asegurar financiamiento: Explorar mecanismos como los subsidios del programa E-Rate de la Comisión Federal de Comunicaciones de Estados Unidos para fortalecer redes y cortafuegos, así como las iniciativas del National Cyber Security Centre del Reino Unido, que incluyen servicios gratuitos de ciberdefensa para escuelas. Estos recursos ayudan a prevenir y resistir ataques.
- Unificar estrategias: Las instituciones educativas deben adoptar enfoques coordinados en sus complejos entornos tecnológicos para cerrar brechas de visibilidad y reducir riesgos antes de que los adversarios puedan explotarlos.
- Aliviar la carga del personal: El ransomware genera un impacto considerable en los equipos de TI. Las escuelas pueden reducir la presión y ampliar sus capacidades al asociarse con proveedores de confianza que ofrezcan servicios como Managed Detection and Response (MDR) y otras soluciones de monitoreo 24/7.
- Reforzar la respuesta: Incluso con una prevención más sólida, las escuelas deben estar preparadas para responder cuando ocurra un incidente. La recuperación será más rápida si cuentan con planes sólidos de respuesta a incidentes, prácticas de simulación ante escenarios reales y servicios continuos como MDR disponibles los 365 días del año.
Los datos del informe Estado del Ransomware en Educación 2025 provienen de una encuesta imparcial, sin afiliación a proveedores, realizada a 441 líderes de TI y ciberseguridad (243 de educación media y básica y 198 de educación superior) que fueron atacados por ransomware durante el último año. Las organizaciones encuestadas tienen entre 100 y 5,000 empleados y están ubicadas en 17 países. La encuesta se llevó a cabo entre enero y marzo de 2025, y los encuestados respondieron sobre sus experiencias con ransomware durante los 12 meses anteriores.
