El ransomware mundial crece un 51,5% y España se sitúa como sexto país más afectado

El informe semestral Threat Landscape Report 2025 – Second semester, de Thales, confirma una consolidación de las ciberamenazas impulsada por tensiones geopolíticas y por la creciente sofisticación de las técnicas criminales.

El ransomware continúa siendo la principal amenaza global. En 2025 se registraron 7.701 incidentes, un 51,5% más que en 2024. La presión se concentra especialmente en actividades con alta dependencia operativa: la industria lidera con 2.801 ataques (36,37%), seguida de consultoría (948; 12,31%) y servicios (620; 8,05%).

El informe detecta una transformación táctica significativa, con el crecimiento de los ataques de “solo extorsión”, en los que los delincuentes priorizan el robo de información frente al cifrado de sistemas. Este enfoque reduce la complejidad técnica, acelera los plazos y maximiza la presión reputacional sobre las víctimas.

 

Vulnerabilidades explotadas en 24 horas

La ventana de reacción se estrecha drásticamente. En el segundo semestre de 2025 se identificaron 24.365 nuevas vulnerabilidades, y los atacantes comenzaron a explotarlas apenas 24 horas después de hacerse públicas. El auge de vulnerabilidades de día cero y su “profesionalización” alimentan un mercado maduro de capacidades y accesos.

España se ha convertido en uno de los objetivos más atractivos para el cibercrimen. En el segundo semestre de 2025 registró 85 ataques de ransomware, situándose como sexto país más afectado del mundo. En el conjunto del año, el volumen ascendió a 164 incidentes.

El informe describe un entorno complejo en el que conviven extorsión industrial, activismo político y fraude digital avanzado. En la dark web se detectaron 248 publicaciones relacionadas con España, centradas en la venta de bases de datos (40,7%) y accesos no autorizados (37%), un indicador clave porque ese “acceso inicial” suele ser el paso previo a ataques de mayor impacto.

La inteligencia artificial ha madurado hasta convertirse en una herramienta operativa para los atacantes. La IA permite automatizar la cadena intrusiva completa: desde la detección instantánea de vulnerabilidades hasta la creación de campañas de phishing prácticamente indistinguibles de la realidad. La compañía es tajante: no hay despliegue de IA sin ciberseguridad.

El hacktivismo también experimentó un repunte, impulsado por narrativas geopolíticas y campañas pro-rusas orientadas a la disrupción de servicios, entre ellas #OpSpain. Paralelamente, el fraude digital evoluciona hacia esquemas híbridos que combinan ingeniería social con vectores físicos —como códigos QR— y malware bancario móvil orientado al robo de credenciales y transacciones.

 

Más volumen, más velocidad y más superficie de ataque

El informe describe un ecosistema criminal más profesional y fragmentado. El ransomware se apoya cada vez más en modelos industrializados como crime-as-a-service y extortion-as-a-service, que facilitan la escalabilidad y reducen las barreras de entrada. También se generalizan técnicas de bajo ruido como el living-off-the-land, que abusa de herramientas legítimas del sistema, y el uso de RMM para persistencia y evasión.

Ante este escenario, Thales insiste en una aproximación proactiva que proteja la identidad digital como nuevo perímetro; priorice el parcheo por riesgo real, no por volumen; y refuerce el control de terceros, especialmente en cadenas de suministro y componentes de software.