Cuando el silencio cuesta caro: ransomware, pagos ocultos y negligencia estructural en Chile

Santiago, junio de 2025.

Más de la mitad de las empresas chilenas afectadas por ransomware durante el primer trimestre de este año decidió pagar el rescate, con un promedio de USD 675.000 por incidente, según el informe The State of Ransomware en Chile 2025, elaborado por Sophos.

Aún más preocupante es que muchas de estas compañías realizan los pagos a través de terceros o proveedores externos, registrándolos como “gastos tecnológicos”, para evadir la exposición reputacional y evitar reportar públicamente el incidente, incluso cuando están en juego datos de clientes.

El informe evidencia que en la mayoría de los casos, los ataques aprovecharon vulnerabilidades ya conocidas y no corregidas, lo que demuestra un bajo nivel de madurez en ciberseguridad, especialmente en empresas con altos ingresos y operaciones críticas.

🚨 ¿Qué está fallando?

• Falta de gobernanza: muchas veces, el tema no llega al directorio.

• Decisiones reactivas: se paga sin análisis de impacto legal o reputacional.

• Brechas no resueltas: el 55% de las empresas admite tener vulnerabilidades abiertas.

• Simulación de normalidad: el rescate se paga, el sistema se recupera... pero nada cambia.

  
  

🛡️ Lo que recomendamos en Pallavicini

Desde nuestra experiencia asesorando a empresas de alto impacto en Chile y la región, proponemos una serie de acciones inmediatas:

1. Revisión urgente de vulnerabilidades conocidas.No más excusas para parches postergados: deben ser una prioridad estratégica.

2. Creación de un plan formal de respuesta a incidentes.Con responsables, procesos definidos y activación inmediata en caso de ataque.

3. Definir criterios éticos y legales ante secuestros de información.Decidir con anticipación si se pagará o no, y bajo qué condiciones.

4. Llevar la ciberseguridad al directorio.La continuidad del negocio y la protección de datos ya no son temas técnicos, son de gobierno corporativo.

5. Simular, entrenar y auditar.Sin simulacros ni pruebas periódicas, el plan no existe.

   
   

Pagar no es estrategia. Es consecuencia.Y si no cambia la forma en que las empresas enfrentan estos riesgos, el próximo rescate no será una sorpresa, será rutina.