El coste del ransomware para una pyme rara vez se limita solo al rescate. En 2026, una pyme francesa debe anticipar sobre todo la interrupción de la actividad, la restauración de las copias de seguridad, la pericia técnica, el ámbito jurídico y la comunicación. Para un incidente moderado, las estimaciones públicas francesas suelen situarse en torno a varias decenas de miles hasta más de 100 000 €, mientras que los grandes estudios internacionales miden costes medios mucho más elevados.
Coste del ransomware para pymes: por qué las cifras varían tanto
Un ransomware es un software malicioso que cifra sus archivos para dejarlos inutilizables y luego exige un pago. El problema, para un directivo, es que dos ataques aparentemente similares pueden generar facturas muy diferentes. Una empresa con copias de seguridad probadas a veces vuelve a funcionar en pocos días. Otra descubre que sus copias de seguridad están contaminadas, incompletas o nunca podrán restaurarse.
Las cifras disponibles lo muestran claramente. IBM indicaba en 2025 un coste medio mundial de una violación de datos de 4,44 millones de dólares, y 3,59 millones de euros para Francia según la cifra de IBM/Ponemon citada ese mismo año. Pero estas medias se refieren a violaciones de datos, no únicamente a pymes ni únicamente a ransomware. Se elevan por la presencia de grandes grupos, expedientes regulatorios complejos y volúmenes de datos masivos.
En el otro extremo, un estudio de Asterès/CRIP de 2023 estimaba el coste directo medio de un ciberataque exitoso en Francia en 25 600 € hors rescate. Útil, pero más antiguo y no específico del ransomware. Además, la ANSSI recuerda en su panorama 2025 que las cifras públicas fiables sobre el coste del ransomware para pymes siguen siendo escasas e incoherentes.
Por tanto, el buen reflejo consiste en razonar por partidas de costes, no en buscar una cantidad mágica. Es más preciso para su presupuesto. Y más útil para reducir el riesgo.
Lo que realmente paga después de un ataque
El rescate atrae la atención, pero a menudo no es más que una línea entre otras. Verizon indicaba en su DBIR 2026 una mediana de pago de ransomware en torno a 139 875 dólares, con un 69 % de las víctimas que no pagaban. Eso no significa que no pagar cueste cero. Significa que hay que financiar la recuperación.
Las principales partidas son bastante constantes. En prorlugar, la investigación digital: comprender la porta de entrada, aislar las máquinas, comprobar si se han copiado datos. Después, la reconstrucción: servidores, puestos, cuentas Microsoft 365 o Google Workspace, sitio web, ERP, CRM, archivos compartidos. Añada los honorarios jurídicos si hay datos personales implicados, ya que el RGPD impone un análisis y, en ocasiones, una notificación a la CNIL en un plazo de 72 horas.
Una trampa frecuente: contar solo la intervención informática. Sin embargo, el coste más doloroso suele ser la interrupción de la actividad. Si su equipo comercial pierde cinco días de acceso al CRM, si la facturación se detiene o si el sitio de comercio electrónico cae, la pérdida supera rápidamente la factura del proveedor.
En los proyectos que llevamos a cabo, a menudo vemos una subestimación del tiempo necesario para restablecer los accesos: mensajería, autenticación de dos factores, derechos de usuario, conectores de negocio. Son detalles poco visibles antes de una crisis. Durante la crisis, son ellos los que bloquean la vuelta al trabajo.
Órdenes de magnitud realistas para una pyme francesa
Los importes que figuran a continuación no sustituyen a una auditoría. Proporcionan un marco de decisión. Una pyme de 15 personas con un servidor de archivos y Microsoft 365 no tiene el mismo riesgo que una empresa de 180 empleados con producción, ERP, VPN y varios sitios.
| Escenario 2026 | Ejemplo de situación | Duración de impacto frecuente | Presupuesto que prever hors rescate |
|---|---|---|---|
| Incidente contenido | Algunos puestos afectados, copias de seguridad sanas, sin exfiltración confirmada | 1 à 3 jours | En torno a 8 000 a 30 000 € |
| Pyme parcialmente paralizada | Servidor de archivos o aplicación de negocio cifrado, recuperación progresiva | 1 a 2 semanas | En torno a 40 000 a 150 000 € |
| Crisis grave | Active Directory comprometido, copias de seguridad dudosas, datos sensibles expuestos | 2 a 6 semanas | 150 000 € a varios cientos de miles de euros |
| Caso internacional observado | Estudios de grandes organizaciones, costes de recuperación amplios | Variable | Sophos 2025 : 1,53 M$ de recuperación media hors rescate |
Sinceramente, para una pyme francesa, anunciar de entrada “varios millones” sin contexto resulta poco útil. Pero partir del principio de que un ransomware costará solo el precio de una reparación inforática es peligroso. Entre 50 000 y 120 000 € para un caso moderado con dos semanas de perturbación parcial, las estimaciones comerciales francesas publicadas en 2026 siguen siendo plausibles, aunque no todas estén verificadas por fuentes primarias.
La verdadera cuestión presupuestaria pasa a ser entors: ¿cuánto invertir antes para evitar este escenario? Con ese presupuesto, a menudo es preferible financiar copias de seguridad correctamente aisladas, una supervisión de seguridad y un plan de recuperación probado en lugar de acumular herramientas que nadie gestiona.
Los factores que disparan la factura
El primer factor es el tiempo de inactividad. Un despacho de consultoría a veces puede funcionar en modo degradado con teléfonos, hojas de cálculo y mensajería restaurada. Una pyme industrial bloqueada por su ERP o sus puestos de producción no tiene ese margen. Misma avería técnica, impacto económico diferente.
El segundo factor es la calidad de las copias de seguridad. Una copia de seguridad solo vale si se puede restaurar. Veeam indicaba en 2026 que el 90 % de los responsables encuestados se declaraban confiados en su recuperación, pero menos de un tercio de las víctimas de ransomware recuperaban totalmente sus datos; ITPro recordaba un 28 % de restauración completa y un 72 % de datos recuperados de media. La diferencia entre confianza y prueba cuesta caro.
Otro acelerador: la identidad digital. Si el directorio Active Directory o las cuentas de administrador están comprometidos, no basta con reinstalar un servidor. A veces hay que reconstruir los permisos, restablecer las contraseñas, verificar los accesos cloud y cerrar las portas persistentes dejadas por el atacante.
- Copias de seguridad conectadas permanentemente a la red, por lo tanto cifrables por el atacante.
- Ausencia de autenticación multifactor, es decir, una validación adicional después de la contraseña.
- Correctivos de seguridad aplicados demasiado tarde en VPN, cortafuegos, CMS o plugins WordPress.
- Contratos de alojamiento poco claros sobre la restauración, los registros técnicos y los plazos de intervención.
- Datos personales no cartografiados, lo que complica el análisis del RGPD en plena crisis.
Las vulnerabilidades públicas siguen siendo un punto sensible. El DBIR 2026 de Verizon señala plazos medianos de correction de alrededor de 43 días en los análisis relacionados, lo que deja una ventana confortable a los atacantes. Los temas de cortafuegos expuestos, como las fallas que afectan a ciertos equipos Fortinet, recuerdan por qué una vigilancia de seguridad debe estar vinculada a acciones concretas, no a un simple boletín técnico; en este punto, un ejemplo útil es el análisis de riesgos relacionados con los cortafuegos Fortinet expuestos.
Pagar o no pagar: el arbitraje financiero no es tan sencillo
Pagar un rescate puede parecer racional si cada día de parada cuesta caro. Sin embargo, el pago no garantiza ni la recuperación completa, ni la ausencia de filtración, ni la no reincidencia. También puede plantear cuestiones jurídicas y aseguradoras, especialmente si el intermediario o el beneficiario está sujeto a sanciones.
Coveware by Veeam señoralaba para el primer trimestre de 2026 un aumento del pago medio hasta unos 680 000 dólares, mientras que la mediana bajaba. Esto refleja un fenómeno clásico: unos pocos pagos muy elevados distorsionan la media. Para una pyme, la mediana de Verizon en torno a 139 875 dólares da una indicación más clara, sin constituir una referencia francesa directa.
La decisión se toma con el asegurador cibernético, un asesor jurídico, los expertos en respuesta a incidentes y, a veces, las autoridades. Pero nunca debe ser el plan A. Si sus copias de seguridad, sus procedimientos y sus pruebas de restauración son sólidos, gana una libertad esencial: poder negarse.
Un caso en el que la solución evidente es mala: restaurar demasiado rápido. Si se vuelven a poner en línea sistemas sin comprender el acceso inicial, el atacante puede volver por la misma cuenta, la misma VPN o el mismo plugin comprometido. Mejor perder unas horas de análisis que dos semanas de recaída.
Reducir el coste antes del ataque: las medidas que realmente cambian el presupuesto
La ciberseguridad útil para las pymes no es forcamente espectacular. Se basa en medidas verificables. Copias de seguridad 3-2-1, por ejemplo: tres copias, dos soportes diferentes, una copia hors de línea o inmutable, es decir, no modificable durante un periodo definido. OVHcloud, Scaleway, AWS, Microsoft Azure o appliances NAS pueden formar parte de una estrategia correcta, siempre que se pruebe la restauración.
La mensajería también merece una atención especial. Muchos ataques empiezan con un correo electrónico de phishing, un falso intercambio de documentos o una contraseña reutilizada. La elección y la configuración de sus herramientas colaborativas cuentan: seguridad de las cuentas, MFA, derechos de acceso, conservación de los registros. Para estructurar este tema del lado de los usos, puede comparar los enfoques en esta guía sobre Microsoft 365 y Google Workspace en la empresa.
Su sitio web y sus aplicaciones no están aparte. Un WordPress sin mantenimiento, un plugin abandonado, una interfaz de administración expuesta o un alojamiento sin supervisión pueden servir de punto de entrada o de palanca de presión. Las obligaciones recientes, en particular NIS2 desde octubre de 2024 para las organizaciones afectadas y sus cadenas de subcontratación, empujan a documentar mejor los riesgos; existe un recordatorio práctico sobre los impactos de NIS2 en un sitio WordPress.
Del lado de la agencia, el reflejo es traducir estas medidas en prioridades presupuestarias: lo que reduce el riesgo inmediato, lo que reduce el tiempo de parada y, después, lo que mejore la conformidad. Para comprender mejor las amenazas básicas sin vocabulario técnico excesivo, un repaso por las grandes familias de software malicioso ayuda a menudo a los equipos directivos a plantear las preguntas adecuadas.
Enmarcar este tipo de riesgo con antelación evita la mayoría de las malas sorpresas: arquitectura de alojamiento, copias de seguridad, mantenimiento aplicativo, accesos de administrador y procedimientos de recuperación se debaten mejor antes del incidente que un viernes por la noche, con el servidor cifrado y los clientes esperando.
Preguntas frecuentes sobre el coste de un ransomware para una pyme
¿Cuánto cuesta un ransomware a una pyme en Francia?
No existe una media francesa fiable específica para las pymes. Un incidente limitado puede mantenerse por debajo de unas decenas de miles de euros, mientras que una crisis con interrupción de la actividad, restauración compleja y datos expuestos puede superar los 100 000 €.
¿Es el rescate el principal coste de un ataque de ransomware?
No siempre. La interrupción de la actividad, los expertos técnicos, la reconstrucción de los sistemas, el ámbito jurídico, la comunicación y las pérdidas comerciales pueden costar más que el propio rescate.
¿Un ciberseguro reembolsa un ransomware?
Todo depende del contrato, de las exclusiones y de las medidas de seguridad exigidas. Las aseguradoras suelen pedir MFA, copias de seguridad, actualizaciones y pruebas de buenas prácticas antes de indemnizar correctamente.
¿Cuánto tiempo se tarda en recuperarse de un ransomware?
Con copias de seguridad probadas y un perímetro acotado, unos pocos días pueden ser suficientes. Si el directorio, los servidores de negocio o las copias de seguridad están comprometidos, la recuperación puede durar varias semanas.
¿Hay que informar a la CNIL después de un ransomware?
Si se han podido consultar, copiar o dejar indisponibles datos personales con un riesgo para las personas, es necesario realizar un análisis del RGPD. Puede ser necesaria una notificación a la CNIL en un plazo de 72 horas.