Partner Login
Header Blog - Email Security

¿Qué implicación tiene para tu empresa la prohibición en Reino Unido de pagar rescates por ransomware?

Escrito por Hornetsecurity / 10.09.2025 / ,
Home » Blog » ¿Qué implicación tiene para tu empresa la prohibición en Reino Unido de pagar rescates por ransomware?

El Reino Unido ha decidido tomar medidas más estrictas contra el ransomware. A partir de ahora, estará prohibido que organismos públicos y operadores de infraestructuras críticas paguen rescates a ciberdelincuentes. Además, se implementarán nuevas reglas de notificación para el resto de las empresas. Pero ¿qué significa esto en la práctica y qué riesgos corres si no cumples con esta nueva normativa? En este artículo te explicamos en qué consisten estos cambios, cómo podrían reaccionar los atacantes y de qué forma preparar mejor a tu equipo para enfrentarlos, con ayuda del Security Awareness Service de Hornetsecurity. 

¿Qué está cambiando con respecto al ransomware en el Reino Unido? 

Prohibición de pagos en el sector público 

El Ministerio del Interior ha anunciado que el sector público y las infraestructuras críticas ya no podrán pagar rescates en caso de ataques de ransomware. Esta medida afecta a entidades como el NHS (servicio de salud), los gobiernos locales y las escuelas. El objetivo es claro: cortar la financiación para futuros ciberataques y reducir el interés de los delincuentes en atacar a servicios públicos. Según el gobierno, esta iniciativa busca «vulnerar el modelo de negocio de los ciberdelincuentes» y fue publicada el 22 de julio de 2025. 

Notificación obligatoria y aviso previo al pago para empresas privadas 

Para las empresas privadas y otras organizaciones que no están sujetas a la prohibición total de pagos, el gobierno del Reino Unido propone dos medidas clave

  • Sistema de «aviso previo»: antes de realizar cualquier pago por un ataque de ransomware, las víctimas deberán notificarlo a las autoridades. Esto les permitirá recibir orientación y asegurarse de que el pago no viole ninguna ley o sanción vigente. 
  • Notificación obligatoria de incidentes a las autoridades cuando sufran un ataque de ransomware. El objetivo es que las fuerzas del orden tengan una mejor visibilidad de estos delitos y puedan brindar apoyo más efectivo. 

Estas propuestas se incluyeron en documentos publicados en enero de 2025 y se reafirmaron en el anuncio oficial de julio. 

Amplio apoyo del público y presión real para cumplir 

La mayoría de la población respalda estas medidas. Según encuestas independientes, el 72% de los encuestados apoya una prohibición selectiva de pagos, y el 63% está a favor de que las notificaciones sean obligatorias. Este respaldo es importante, sobre todo si la empresa necesita explicar lo ocurrido a su consejo directivo, empleados, clientes o medios de comunicación. 

Lo que aún no está claro es cómo planea el gobierno asegurar que las empresas realmente cumplan con estas reglas. ¿Impondrán multas severas por no notificar un ataque? Además del daño económico que ya implica un ciberataque, admitir públicamente que se pagó un rescate puede afectar gravemente la reputación de una empresa. 

También queda la duda de si algunas empresas intentarán negociar con los atacantes para reducir la cantidad a pagar por el rescate a cambio de no reportar el incidente. De hecho, ya hay antecedentes: en 2023, la empresa Caesars Entertainment pagó 15 millones de dólares tras un ataque, aunque los delincuentes pedían inicialmente 30 millones. 

Por qué prohibir los pagos no detiene el ransomware (pero sí cambia a quién atacan) 

Prohibir los pagos por ransomware en el sector público hace menos probable que los atacantes reciban dinero de estas instituciones. Sin embargo, esto no elimina el problema del ransomware. Lo que realmente ocurre es que los delincuentes cambian su enfoque: en lugar de atacar a entidades públicas, se vuelven hacia el robo de datos y extorsión o hacia empresas privadas menos protegidas y que no están sujetas a la prohibición. Tanto los informes oficiales como los análisis del sector ya anticipaban este cambio. Por eso, subrayan la importancia de que todas las organizaciones mejoren su capacidad de respuesta y protección.  

Una buena noticia: cada vez menos víctimas pagan. Según un informe de Coveware publicado en febrero de 2025, solo el 25% de las víctimas pagó un rescate en el último trimestre de 2024, el nivel más bajo registrado. Esto se debe a que muchas empresas están mejor preparadas: tienen copias de seguridad actualizadas, planes de recuperación efectivos y desconfían de las promesas de los delincuentes. En resumen, más organizaciones están optando por recuperar sus sistemas por su cuenta, sin pagar

Pero los atacantes también evolucionan. A pesar de que menos empresas pagan, en 2025 se han visto rescates más altos en ataques centrados exclusivamente en el robo de datos. Aunque la cantidad de víctimas que pagan sigue siendo baja, los delincuentes están presionando más con tácticas de extorsión basadas en la amenaza de publicar información confidencial. Por eso, no basta con protegerse contra el cifrado de archivos: también hay que estar preparado frente a las amenazas de filtración y chantaje. 

Cybersecurity Report 2025

Cybersecurity Report 2025

Un Análisis Exhaustivo del Panorama de Amenazas de Microsoft 365 Basado en el Estudio de 55.6 Mil Millones de Correos Electrónicos.

Descargar ahora

No es momento de entrar en pánico, sino de fortalecer tu ciberseguridad 

La prohibición de pagar rescates por ransomware no debe verse como una amenaza, sino como una oportunidad para mejorar tu programa de ciberseguridad. El gobierno del Reino Unido invita a todas las organizaciones a prepararse para operar temporalmente sin sistemas informáticos, a mantener copias de seguridad desconectadas de la red (offline) y a practicar cómo restaurar datos en caso de un ataque. También recomienda seguir marcos como Cyber Essentials, que marca un nivel mínimo de protección. Esto puede ayudarte a actualizar tus políticas internas y tomar mejores decisiones de compra en tecnología. 

La tecnología no basta, el factor humano sigue siendo clave. Este es el cambio más importante, no solo necesitas herramientas tecnológicas, sino también personas bien preparadas. La mayoría de los ataques de ransomware comienzan con un error humano: correos de phishing, llamadas fraudulentas, engaños on line, archivos maliciosos o robo de contraseñas. Por eso, la formación en ciberseguridad ya no es opcional. Es tu primera línea de defensa. 

La concienciación también es parte del cumplimiento normativo 

Importancia de la concientización en el cumplimiento normativo 

Si tu empresa está en el sector público o en infraestructura crítica, pagar un rescate no será legal. Si no lo está, pronto tendrás que avisar antes de pagar e informar cualquier ataque. En ambos casos, el enfoque cambiará: habrá menos pagos y más análisis sobre qué causó el incidente. Por eso, los programas de concienciación son clave, ayudan a reducir errores, detectar amenazas a tiempo y fomentar que los empleados informen cualquier actividad sospechosa sin demora. Los documentos oficiales también indican que los reportes deben ser claros y sin duplicaciones. Pero todo empieza con una cultura de seguridad sólida, donde los empleados estén formados para reaccionar rápido y comunicar cualquier incidente

Cómo mejorar tu estrategia de prevención 

Hablar de prevención puede sonar muy general, así que vamos a lo concreto: 

  • Refuerza las identidades: usa una autenticación multifactor (MFA) y gestiona las contraseñas. 
  • Haz copias de seguridad seguras: tus backups deben estar desconectados de la red (offline o aislados). Asegúrate que puedas restaurarlos correctamente. 
  • Aplica parches de seguridad sin demora: actualiza tus sistemas para corregir fallos críticos, sobre todo los que permiten a los atacantes tomar control remoto (RCE).  
  • Forma a tu equipo: simulacros de phishing, microlecciones justo cuando hacen falta y formación que ayuden a crear buenos hábitos de seguridad. 

Según Coveware, estas medidas atacan los métodos más comunes que usan los ciberdelincuentes, el phishing para robar accesos remotos y archivos maliciosos que se posicionan en Google (SEO poisoning). La buena formación convierte esos riesgos en barreras reales. 

¿Por qué usar marcos de ciberseguridad te ayuda a estar preparado? 

El propio gobierno recomienda seguir marcos probados como Cyber Essentials y aprovechar servicios como NCSC Early Warning, que te alertan sobre amenazas. Si además tienes en consideración las nuevas responsabilidades, como notificar incidentes o avisar antes de pagar un rescate, tendrás una hoja de ruta clara que incluye: 

  • Controles básicos bien definidos 
  • Monitorización activa 
  • Canales de comunicación internos 

La clave es mejorar constantemente y formar a tu equipo 

Los grupos de ransomware cambian sus tácticas cada semana. Por eso, tu estrategia de formación también debe evolucionar. No basta con una presentación una vez al año: cambia los escenarios, ajusta los contenidos según los roles de cada empleado y evalúa si realmente están cambiando sus hábitos. Lo que importa no es la teoría, sino el comportamiento real. Ese es el verdadero indicador de que tu formación está funcionando. 

Security Awareness Service (SAS) de Hornetsecurity fue creado con ese enfoque práctico. Combina simulaciones reales de phishing, ofrece microformaciones personalizadas y analiza el riesgo humano en tu empresa. Así, tu equipo aprende a reaccionar de forma automática ante un ataque real. Porque cuando llega un correo malicioso un viernes por la tarde, lo que marca la diferencia no es haber leído un PDF, sino haber desarrollado reflejos. 

Protégete antes de que llegue el ataque 

Las normas del Reino Unido son claras: pagar un rescate no es una opción o está restringido. Security Awareness Service de Hornetsecurity mantiene a tu equipo bien formado, te ayuda a detectar correos sospechosos, a no hacer clic donde no se debe y a actuar con rapidez. 

Security Awareness Service icon

Cumple con la normativa, fortalece tu seguridad y conviértete en un objetivo más difícil para los atacantes. Solicita una demo del Security Awareness Service

Conclusión: forma a tu equipo para no tener que pagar 

El Reino Unido ha marcado un antes y un después en la lucha contra el ransomware. Con la prohibición de pagos para organismos públicos y operadores de infraestructuras críticas, y nuevas reglas de notificación obligatoria y aviso previo al pago para el resto de las empresas, el objetivo es claro: romper el negocio de los ciberdelincuentes y mejorar la capacidad de respuesta a nivel nacional. Estas medidas no van a eliminar todos los ataques, pero sí harán que los atacantes se lo piensen dos veces, cambien de objetivos y favorezcan a las empresas que estén preparadas. 

Si desde ahora inviertes en prevención y formas a tu equipo, no tendrás que debatir si pagar o no. Ya estarás restaurando tus sistemas desde copias de seguridad, mientras tu personal formado identifica los correos maliciosos antes de que causen daño. 

Preguntas frecuentes 

¿Qué significa la prohibición de pagos por ransomware en el Reino Unido? 

El gobierno británico quiere impedir que entidades públicas como el NHS, ayuntamientos o escuelas paguen rescates, para debilitar el negocio del ransomware y reducir el riesgo de que sean atacados. 

¿Qué es el mecanismo de avisar antes de pagar? 

Aplica a empresas privadas y funciona en dos pasos: 
1. las víctimas deben notificar a las autoridades antes de realizar cualquier pago, para recibir orientación y revisar posibles sanciones. 
2. también deberán informar de forma obligatoria sobre cualquier ataque de ransomware, lo que permitirá mejorar la respuesta oficial. 

¿Qué pasa si una empresa no cumple con estas reglas? 

Podría enfrentar problemas legales, sanciones y daños a su reputación. Para evitarlo, hay que formar al personal en ciberseguridad, tener copias de seguridad seguras y desconectadas y aplicar marcos reconocidos como Cyber Essentials. Estas acciones no solo ayudan a cumplir con la normativa, sino que fortalecen la defensa contra los ataques de ransomware. 

También le puede interesar