Ransomware en España 2026: el Puerto de Vigo, 381 víctimas y por qué la pyme de 50 empleados es el objetivo perfecto

Cuando el Puerto de Vigo apareció en titulares en marzo, los teléfonos de los responsables de IT de medio país sonaron a la mañana siguiente. «Luis, si esto le pasa al Puerto de Vigo, ¿qué pasa si nos pasa a nosotros?» fue la pregunta que aparece a menudo en pyme española: ¿somos demasiado pequeños para que nos ataquen? La respuesta corta es no, porque el atacante medio no busca titulares, busca margen.

El Puerto de Vigo es la noticia. El blanco real son los 381 nombres que ya están publicados en sitios de filtración solo en España, y los miles más que pagaron en silencio para que el suyo no apareciera. Te cuento por qué tu pyme de 35-50 personas es exactamente el cliente preferido del ransomware actual, qué ha cambiado técnicamente este año y qué cinco cosas tienes que tener antes de que llegue tu correo de aviso.

Por qué el atacante prefiere tu pyme antes que un puerto

La industria del ransomware funciona como cualquier negocio: optimiza beneficio entre tiempo invertido y rescate cobrado. Una infraestructura crítica como un puerto da titulares pero también te trae a la Guardia Civil, al CCN-CERT, al INCIBE, a la fiscalía y a tu propia compañía aseguradora con un nivel de presión enorme. Las grandes empresas tienen equipos de respuesta, protocolos de no negociación pública, capacidad técnica para forzar la mano.

Una pyme de 35-100 empleados tiene un perfil económico distinto:

• Tiene flujo de caja apreciable. Puede pagar 30.000-80.000 € de rescate sin pedir préstamo. El atacante lo sabe.
• No tiene equipo de seguridad propio. El responsable de IT suele ser una persona o dos, máximo tres, ocupadas en operación diaria.
• Las copias de seguridad están a menudo mal configuradas. En la red, en el mismo dominio, sincronizadas con OneDrive sin retención. Cuando llega el cifrado, el backup también se cifra.
• No tiene plan de respuesta. Cuando suena, la primera reacción es pedir presupuesto a un consultor que aparece en Google. Pierde tres días y mucho dinero antes de empezar a actuar.
• Le da vergüenza denunciar. Por miedo a clientes, a banca, a prensa local. El atacante explota ese silencio.

La consecuencia es que para el atacante medio, una pyme española de 50 personas tiene una proporción riesgo/beneficio mejor que un hospital o que un puerto. Por eso Cosmikal en su informe Q1 2026 marca a las empresas de menos de 50 millones de facturación como el segmento con mayor frecuencia de incidentes.

Los 381 nombres que ya están en los sitios de filtración

Una de las cosas que más sorprende a los directores generales con los que trabajo es que existe un panel público con la lista de víctimas confirmadas de los principales grupos de ransomware. Ransomware.live lo mantiene actualizado en tiempo real. Cuando entras a la sección España y filtras por 2025-2026, salen 381 nombres. Lo más perturbador no son los nombres: son los sectores.

Resumen rápido de lo que se ve:

• Industria mediana (envases, metalurgia, alimentación, automoción auxiliar): más del 35% del listado.
• Servicios profesionales (gestorías, despachos, ingenierías, consultoras): en torno al 20%.
• Sanidad privada y socio-sanitaria (clínicas, residencias, gabinetes): en torno al 12%.
• Logística y transporte (operadores medianos, agencias): en torno al 10%.
• Construcción y proyectos (constructoras, arquitecturas): en torno al 8%.
• Otros (educación privada, retail, fundaciones, administración local pequeña): el resto.

Ninguno de esos sectores es exótico. Todos son empleadores naturales de pymes de 30-150 empleados. Y lo que ves en el panel son solo los que se negaron a pagar y por eso aparecieron publicados. Los que pagaron no figuran. La punta del iceberg.

Lo que cambió en 2026: técnicas nuevas que pasan tu antivirus

Si llevas un tiempo en esto, sabes que el discurso «tengo antivirus» ha estado roto desde hace años. Pero en 2026 hay tres cambios técnicos que conviene que conozcas para tener la conversación con quien lleve tu seguridad:

1. Máquinas virtuales QEMU como capa de evasión. BleepingComputer reportó en abril cómo el ransomware Payouts King levanta una máquina virtual ligera dentro del equipo infectado y desde ahí ataca los archivos del host. El antivirus tradicional no ve lo que pasa dentro de la VM y, cuando se da cuenta, la mitad de la red está cifrada. Implicación práctica: si tu defensa es solo antivirus por equipo, este tipo de ataques ni se acerca a saltar.

2. Cifrado por extorsión doble (con o sin cifrado real). El atacante moderno no se limita a cifrarte los datos: te los exfiltra primero y, si no pagas, los publica. La extorsión funciona aunque tu backup sea perfecto: te puedes recuperar técnicamente, pero el daño reputacional y de filtración de datos personales sigue ahí. Y la AEPD está al otro lado.

3. Ataques a la cadena de proveedores. Tu MSP, tu gestoría, tu proveedor de software vertical. Si alguno de tus proveedores cae, los atacantes saltan a sus clientes con credenciales legítimas. Es el patrón Kaseya 2021 actualizado a 2026 para mercados pequeños. Auditar tu cadena de proveedores y exigirles trazabilidad de seguridad ya no es paranoia, es buen gobierno (lo cubrimos en riesgo de proveedores y ciberseguridad de la cadena de suministro).

Las 5 capas que separan tu empresa de salir en el panel

No hay bala de plata. Hay capas. Cuando vemos en Libertia IT un cliente que llega después de un incidente, casi siempre falta más de una de estas cinco. Cuando entran en cliente con todas las cinco activas, los intentos pasan de «incidente con pérdida» a «intento detectado y bloqueado». Te las pongo en orden de impacto:

Capa 1 — backup off-site de la red, con restauración probada. La frase que repito hasta el cansancio: si nunca has hecho una copia de restauración real, no tienes backup, tienes una carpeta y una esperanza. Backup en sitio, backup fuera del dominio Active Directory, backup inmutable, restauración probada al menos una vez al trimestre con cronómetro y acta. Sin esto, el ransomware te tiene secuestrado el negocio. Con esto, el ransomware te molesta unas horas.

Capa 2 — EDR gestionado 24×7 con respuesta humana. EDR significa Endpoint Detection and Response: la evolución del antivirus tradicional con capacidad de detectar comportamiento sospechoso (no solo firmas) y de responder. Pero un EDR sin alguien que mire la pantalla a las 3:00 AM cuando salta una alerta es un EDR ciego. Lo que diferencia al MSSP serio es que esa pantalla se mira. Es exactamente lo que distingue una empresa de ciberseguridad gestionada en Madrid de un proveedor que solo te factura licencia de antivirus.

Capa 3 — MFA en el 100% de las cuentas, incluyendo administrador y proveedor. El 80% de los incidentes que vemos empieza por una credencial robada y reutilizada. MFA universal, sin excepciones, especialmente en cuentas de administrador y de proveedores externos. Y MFA resistente al phishing (Microsoft Authenticator con número, llaves físicas tipo YubiKey, Windows Hello), no SMS. Lo cubrimos en detalle en evolución del MFA y alternativas seguras.

Capa 4 — Segmentación de red y de privilegios. Que un equipo infectado no pueda llegar a la cabina de almacenamiento. Que el usuario administrador del despacho no exista como cuenta diaria. Que cada departamento opere en su segmento de red. No hace falta una arquitectura militar: hace falta haber pensado en que el ransomware no debería saltar libremente de un PC al servidor de ficheros. Si quieres ver cómo se aplica esto sin volver loca a una pyme, la hoja de ruta de Zero Trust para pymes lo ordena en pasos digeribles.

Capa 5 — Plan de respuesta a incidente con teléfonos, roles y plazo NIS2 de 24 horas. Lo que no está escrito antes, no se hace bien cuando suena. Plan de respuesta documentado: quién es el comandante de incidente, qué se desconecta primero, a quién se llama (banco, asesoría legal, MSSP, INCIBE-CERT, AEPD si aplica), cómo se comunica al cliente, cuándo se decide pagar o no pagar (la respuesta corta: casi nunca pagar). Ensayo del plan al menos una vez al año.

Cinco capas. Si tienes tres bien y dos a medias, estás en zona de riesgo medio. Si tienes una sola, estás en zona «incidente cuestión de tiempo».

La pregunta del millón: ¿pago o no pago el rescate?

Te lo digo claro y luego te lo explico: prácticamente nunca. Los argumentos se acumulan en la misma dirección:

• No te garantiza recuperar nada. Una parte de los rescates pagados acaban en grupos que no entregan la clave, o entregan una clave parcial, o vuelven a atacarte un mes después porque saben que pagas.
• No te garantiza que los datos no se publiquen igualmente. En extorsión doble, hay grupos que publican aunque cobren.
• Te marca como pagador. Tu nombre circula en los foros de los grupos. La probabilidad de un segundo ataque sube.
• Es problemático legalmente. En algunas circunstancias, pagar a determinados grupos puede entrar en sanciones internacionales o blanqueo. Tu asesoría legal lo tiene que mirar antes, no en el momento.
• El INCIBE y la mayoría de cuerpos especializados desaconsejan el pago.

Hay casos extremos en los que la decisión se puede mirar (riesgo a la vida en el sector sanitario, datos absolutamente irreemplazables sin backup posible). Para una pyme española típica con backup razonable, la respuesta es no pagar y reconstruir. Y por eso la capa 1 es la 1.

NIS2 y las 24 horas que cambian la conversación

Cuando NIS2 esté plenamente transpuesta en España (la transposición está en curso y se espera durante 2026), tu obligación frente a un incidente serio cambia de forma drástica. Actualmente con RGPD tienes 72 horas para notificar a la AEPD si hay datos personales afectados. Con NIS2 son 24 horas para una notificación inicial y 72 horas para informe completo, además de la AEPD si aplica.

¿Qué significa eso en la práctica? Que tu plan de respuesta a incidente tiene que estar escrito, ensayado y con teléfonos al día. Si tu primera reacción es buscar en Google quién te puede ayudar mientras se cifran las máquinas, ya no llegas a las 24 horas y la sanción se suma al daño operativo. Lo desarrollamos en detalle en NIS2 para pymes en España 2026.

Cuándo NO necesitas correr a hacer nada

Hay dos casos en los que esto puede esperar 60 días:

1. Si tienes auditoría externa reciente con las cinco capas verificadas en informe escrito y los hallazgos están aplicados y revisados en los últimos seis meses. Si tu auditoría es de hace dos años, no cuenta.
2. Si has sufrido un incidente reciente y has rediseñado a fondo después. Las empresas que han pasado por un susto y han reconstruido suelen quedar en zona segura durante 12-18 meses, antes de que la entropía las vuelva a empujar.

En cualquier otro caso, la cuenta atrás está corriendo. La pregunta no es si pasa: es cuándo, y si te pilla preparado o improvisando.

¿Qué es el ransomware y cómo afecta a una pyme española?

El ransomware es un tipo de ciberataque que cifra los archivos de la empresa y exige un pago para devolverlos. En España, en 2026, el blanco preferido es la pyme de 35-100 empleados, con un coste medio por incidente entre 35.000 y 80.000 € sin contar días sin facturar. El 50% de las pymes españolas sufre algún ciberataque al año.

¿Cuántas víctimas de ransomware hay en España en 2026?

España acumula 381 víctimas publicadas en sitios de filtración de los principales grupos a fecha de Q1 2026 según Ransomware.live y Cosmikal. La cifra real es muy superior porque los que pagan rescate no aparecen publicados. Casos públicos relevantes: ataque al Puerto de Vigo en marzo de 2026.

¿Tengo que pagar el rescate si me atacan con ransomware?

Casi nunca. Pagar no garantiza recuperar los datos, no garantiza que no se publiquen, te marca como pagador para futuros ataques, puede tener implicaciones legales y el INCIBE lo desaconseja. Para una pyme con backup razonable, la respuesta es no pagar y reconstruir desde la copia de seguridad.

¿Cuáles son las 5 capas mínimas para protegerme del ransomware?

backup off-site de la red con restauración probada, EDR gestionado 24×7 con respuesta humana, MFA universal en todas las cuentas, segmentación de red y privilegios, y plan de respuesta a incidente documentado y ensayado. Las cinco juntas reducen el coste medio por incidente del orden del 90%.

¿Cuánto tiempo tengo para notificar un ataque de ransomware?

Si afecta a datos personales, RGPD exige notificar a la AEPD en 72 horas. NIS2, una vez plenamente transpuesta en España (durante 2026), reduce el plazo a 24 horas para una notificación inicial y 72 horas para informe completo si tu empresa entra en su ámbito.

¿El antivirus tradicional me protege del ransomware moderno?

No de forma suficiente. Las técnicas de 2026 (uso de máquinas virtuales QEMU como capa de evasión, cifrado por extorsión doble, ataques vía cadena de proveedores) saltan los antivirus tradicionales. La defensa actual requiere EDR gestionado con respuesta humana 24×7, no solo software instalado.

¿Por dónde empiezas?

El Puerto de Vigo va a salir de los titulares en unas semanas. Los 381 nombres del panel se van a olvidar. Lo que no se olvida es lo que tengas activo el día que aparezca el correo de aviso en tu buzón de operaciones.

Hoy mismo: revisa con tu técnico o tu MSP las cinco capas. Para cada una, haz una sola pregunta: «Si nos pasara mañana, ¿esta capa funcionaría como esperamos?». Si la respuesta es duda, es una capa rota.

Esta semana o la siguiente: reserva 30 minutos sin coste con un vCIO de Libertia IT. Te decimos en esa media hora cuáles de las cinco capas tienes en condiciones, cuáles no y qué orden tiene sentido para arreglar lo que falta. Sin venta enlatada y con calendario en horas, no en meses. Agenda 30 minutos con un vCIO de Libertia IT →

Si te interesa el contexto más amplio de cómo frenar el ransomware antes de que empiece y de auditoría de seguridad informática, todo eso entra en la misma conversación.