El coste de los periodos de inactividad imprevistos aumenta cada año, y las empresas de todos los sectores están expuestas a gastos potencialmente ruinosos. Las causas de las interrupciones varían junto con los costes de recuperación, por lo que es vital que organizaciones de todos los tamaños lleven a cabo reconocimientos y aprendan de las calamidades a las que otros se han enfrentado en este contexto.
Los peligros de los tiempos de inactividad y la probabilidad de que se produzcan aumentan durante los periodos de mayor actividad. A medida que se acercan las vacaciones, resulta especialmente útil reflexionar sobre los incidentes más destacados ocurridos el año pasado, con vistas a prevenirlos al comenzar la temporada de mayor actividad de 2025.
Para ello, el equipo de Gestión de Infraestructuras de Digi ha elaborado una panorámica de los cortes graves de 2024 y 2025 en varios sectores clave, incluidas las tendencias que apuntan, los costes incurridos y lo que puede extraerse de las consecuencias.
Tiempo de inactividad en el comercio minorista
Una de las interrupciones más destacadas en este sector en los últimos 12 meses fue la de Ahold Delhaize, multinacional minorista que sufrió un ciberataque en noviembre de 2024.
Con más de 2.000 tiendas en todo el país, incluidas muchas de Stop & Shop, y unas ventas superiores a 14.490 millones de dólares sólo en Estados Unidos, el ataque perturbó tanto las transacciones en tiendas físicas como las operaciones de comercio electrónico.
La interrupción se debió a Food Lionuna de sus submarcas, con repercusiones que afectaron a la organización durante más de siete días. Esto incluyó problemas con sus servicios de farmacia, con informes de clientes que no podían pagar con tarjetas de débito en algunos casos.
En abril de 2025, la empresa confirmó a través de un comunicado que el tiempo de inactividad causado por el ataque también se tradujo en un robo directo de datos. Los autores, supuestamente afiliados a INC Ransom, robaron hasta 6 terabytes de información privada.
Posteriormente, el grupo amenazó con vender los datos si no se cumplían ciertas exigencias no reveladas. Posteriormente se confirmó que 2,2 millones de personas habían visto expuestos sus datos en el ataque.
Aunque no se ha hecho público el impacto financiero específico para Ahold Delhaize, teniendo en cuenta el estudio más reciente de IBM sobre filtraciones de datos, según el cual el coste medio de los incidentes individuales es de 4,4 millones de dólares (incluidos los pagos, las sanciones reglamentarias y la reparación), es razonable deducir que los costes totales asociados al tiempo de inactividad y recuperación ascendieron a millones de dólares.
Aparte del probable coste de esta interrupción, pone de relieve la tendencia de los sistemas interconectados a dejar a los minoristas expuestos a interrupciones de gran alcance, incluso si la fuente de la brecha original está localizada. En cuanto un activo informático se ve comprometido, otros pueden caer o deben desconectarse como medida de precaución.
Parada de fabricación
Los tiempos de inactividad en la industria manufacturera son tan importantes y problemáticos como en el comercio minorista, y las causas de los incidentes más costosos también son compartidas.
El coste diario del tiempo de inactividad en este sector se estima en 1,9 millones de dólares, y el coste del tiempo de inactividad relacionado con ataques de ransomware para los fabricantes en un periodo de cinco años se cifra en 17.000 millones de dólares. En términos de duración, las interrupciones asociadas al ransomware suelen tardar unos 11 días en resolverse, aunque los casos más graves pueden persistir durante meses.
El ejemplo más destacado data de 2025, y llevará algún tiempo cuantificar el alcance total de los daños causados. El fabricante de automóviles Jaguar Land Rover, con sede en el Reino Unido, sufrió más de cuatro semanas de inactividad tras un ciberataque en septiembrecon pérdidas superiores a 68 millones de dólares sufridas por cada semana que sus operaciones de fabricación estuvieron en pausa.
Este incidente demostró no sólo los asombrosos costes que una empresa puede tener como consecuencia de un tiempo de inactividad, sino también el efecto dominó de un cierre significativo de la fabricación que afecta a toda la cadena de suministro. Más de 5.000 empresas se vieron afectadas por la interrupción de JRL, con unos costes acumulados de más de 2.550 millones de dólares.
La combinación de pérdida de ingresos y gastos de recuperación afectará al fabricante en la mitad de este total, mientras que el resto recaerá en los proveedores, socios y la economía en general.
Al igual que en el sector minorista, los fabricantes pueden aprender la importancia de planificar la continuidad de la actividad ante amenazas cibernéticas persistentes y acuciantes. Mientras que una organización como JRL tiene el respaldo y la influencia de marca para capear esta tormenta, es poco probable que las empresas de fabricación a menor escala puedan someterse a semanas de inactividad con la posibilidad de recuperación intacta.
Parón agroalimentario
Las empresas dedicadas a la agricultura y la producción de alimentos se unen a sus homólogas del comercio minorista y la industria manufacturera en su lucha contra la creciente ola de ciberdelincuencia. De hecho, un informe indica que el sector agroalimentario ha experimentado un aumento del 101% de este tipo de incidentes en el último año, cifra significativamente superior al 38% de media en todas las industrias.
Los investigadores sostienen que, aunque suelen ser las infracciones multimillonarias las que acaparan los titulares, es necesario prestar más atención a la difícil situación de las empresas más pequeñas que sufren los mismos problemas, aunque a menor escala.
Una vez más, el ransomware sigue siendo la principal preocupación en este sector. Cuando los activos informáticos se ven comprometidos, los agricultores y productores de alimentos de la región podrían acabar pagando unos 5.000 dólares para recuperar el acceso a datos de misión crítica. El tiempo de inactividad que experimentan durante una infección también genera costes y complicaciones que requieren reparación y dan lugar a costes de recuperación.
Últimas lecciones de los incidentes de inactividad
Las lecciones ejemplificadas por las interrupciones más significativas del año pasado son las mismas demostradas tras los incidentes de inactividad que se han producido a lo largo de más de una década. Las ciberamenazas son el mayor escollo para las empresas modernas, independientemente del sector en el que operen. La falta de protección de los sistemas y dispositivos frente a estas amenazas se traduce en elevados costes de recuperación, que a menudo ascienden a millones de dólares incluso para las medianas empresas.
Tomar las precauciones adecuadas y planificar para preservar la continuidad de la empresa cuando inevitablemente se produzcan ataques es una necesidad para todas las empresas. Algunas tendrán que aprender por las malas, y estos errores son sin duda útiles para que otras los asimilen y eviten.
¿Por qué los tiempos de inactividad imprevistos son cada año más caros?
Los tiempos de inactividad imprevistos son cada vez más costosos a medida que las organizaciones se digitalizan e interconectan. Cada vez más sistemas dependen de una conectividad 24/7, e incluso las interrupciones breves pueden detener las operaciones de ventas, logística, atención al cliente y producción. La inflación, el aumento de los costes laborales y las sanciones reglamentarias más estrictas también contribuyen a aumentar los gastos de recuperación.
¿Qué hace que las temporadas altas, como las vacaciones, sean más vulnerables a los cortes?
Los periodos de máxima actividad suelen implicar:
- Mayores volúmenes de transacciones, que sobrecargan los sistemas
- Aumento de la actividad ciberdelictiva, ya que los atacantes aprovechan la mayor urgencia
- Ventanas de mantenimiento limitadas, lo que reduce las oportunidades de aplicación de parches y actualizaciones.
Esta combinación hace que los fallos sean más probables y la recuperación más complicada
¿Qué tendencias ha puesto de relieve la interrupción de Ahold Delhaize en el sector minorista?
El ataque a Ahold Delhaize puso de manifiesto varias tendencias clave:
- Los sistemas interconectados amplifican las perturbaciones: una brecha en una submarca (Food Lion) afectó a miles de tiendas en todo Estados Unidos.
- El tiempo de inactividad operativa y las violaciones de datos a menudo ocurren juntos, lo que aumenta el impacto total.
- Las vulnerabilidades adyacentes a la cadena de suministro pueden crear efectos dominó imprevistos.
- Los grupos de ransomware están intensificando sus tácticas, incluido el robo de datos a gran escala y la extorsión.
¿Cómo suelen afectar los ataques de ransomware a las operaciones minoristas?
a las que se enfrentan las organizaciones minoristas:
- Interrupciones en los puntos de venta
- Cierre del comercio electrónico
- Interrupciones en el procesamiento de pagos
- Retrasos de inventario y logística
- Erosión de la confianza de los clientes tras el robo de datos
Estas consecuencias pueden durar días o semanas, incluso si los atacantes tienen como objetivo un único sistema o filial.
¿Por qué el sector manufacturero es especialmente vulnerable a los costosos tiempos de inactividad?
La fabricación depende en gran medida de:
- Sistemas de automatización y OT, históricamente más difíciles de proteger.
- Producción justo a tiempo, con poco margen para retrasos
- Redes de proveedores complejas, en las que un punto de fallo se extiende a todos los socios.
Como demuestra el incidente de Jaguar Land Rover, un solo ciberataque puede detener la producción durante semanas y costar decenas de millones por semana.
¿Qué lecciones nos ha enseñado el atentado contra Jaguar Land Rover?
Los puntos clave son:
- El tiempo de inactividad tiene efectos económicos agravantes, pues no sólo afecta al fabricante, sino también a miles de proveedores.
- La recuperación tras un ransomware puede llevar semanas, incluso para grandes empresas con equipos informáticos maduros.
- Los planes de continuidad de la actividad y de recuperación en caso de catástrofe son esenciales, especialmente en entornos con un alto nivel de OT.
- Los fabricantes más pequeños corren un riesgo aún mayor, ya que tienen menos capacidad financiera para soportar paradas prolongadas.
¿Por qué el sector agroalimentario está experimentando un aumento tan espectacular de los incidentes cibernéticos?
El aumento del 101% de las agresiones se debe a:
- Rápida transformación digital en la agricultura, la logística y la producción de alimentos
- Recursos de ciberseguridad limitados en muchas pequeñas y medianas empresas
- Objetivos de alto valor, ya que las cadenas de suministro de alimentos son infraestructuras críticas
- Predominio de sistemas heredados difíciles de parchear o proteger
Los delincuentes reconocen que el tiempo de inactividad puede interrumpir rápidamente las operaciones con alimentos perecederos, lo que hace que las víctimas estén más dispuestas a pagar rescates.
¿Cuáles son los costes típicos de los periodos de inactividad para las empresas agroalimentarias?
Mientras que las grandes filtraciones acaparan titulares, las operaciones más pequeñas a menudo se enfrentan a ellas:
- Exigencias de rescate de alrededor de 5.000 dólares
- Pérdida de productividad y retrasos en la cadena de suministro
- Inventario deteriorado o plazos de entrega incumplidos
- Gastos de recuperación y reconstrucción
Estos costes pueden ser devastadores para los pequeños productores o los proveedores regionales.
¿Qué tendencias de ciberseguridad están surgiendo en todos los sectores?
En los sectores minorista, manufacturero y agroalimentario aparecen varias tendencias unificadas:
- El ransomware sigue dominando como principal vector de ataque
- El robo de datos acompaña con más frecuencia a la interrupción de las operaciones
- Los compromisos de la cadena de suministro multiplican el impacto
- Los sistemas de infraestructuras críticas están cada vez más en el punto de mira
- Los periodos de inactividad son cada vez más largos y los ataques complejos tardan entre una y cuatro semanas en resolverse por completo.
¿Qué pueden hacer las organizaciones para evitar el tiempo de inactividad o minimizar su impacto?
Las empresas deben priorizar:
- Segmentación de la red para evitar infecciones entre sistemas
- Evaluaciones periódicas de ciberseguridad y aplicación de parches
- Estrategias integrales de copia de seguridad y recuperación
- Planificación de la continuidad de la actividad, incluidos los planes de ejecución para incidentes cibernéticos
- Invertir en soluciones de conectividad y gestión de infraestructuras seguras y resistentes
Una preparación proactiva garantiza que cuando se produzca un incidente cibernético, y no si ocurre, la organización pueda recuperarse rápidamente.
¿Por qué es esencial la gestión de infraestructuras para la ciberseguridad moderna?
Los ciberataques modernos suelen aprovecharse:
- Dispositivos mal configurados
- Firmware o software sin parchear
- Escasa visibilidad de la red
- Puntos de acceso remoto no seguros
Una sólida gestión de la infraestructura ayuda a las organizaciones a mantener el control en tiempo real de los sistemas conectados, vigilar las anomalías, automatizar las actualizaciones y aislar los activos en peligro, reduciendo drásticamente los posibles tiempos de inactividad.
¿Cuál es la lección más importante de los recientes incidentes de inactividad?
Todas las organizaciones, independientemente de su tamaño, deben asumir que se producirán interrupciones y prepararse en consecuencia. Las que cuentan con planes de continuidad sólidos, infraestructuras seguras y una supervisión proactiva afrontan costes mucho menores y se recuperan mucho más rápido que las que no están preparadas.
Próximos pasos