España fue el sexto país del mundo que sufrió más ataques ‘ransomware’ en la segunda mitad de 2025
El grupo Thales ha presentado su informe sobre amenazas cibernéticas destacando que España se ha convertido en uno de los blancos preferidos por ciberdelincuentes.
Los ciberdelincuentes se hacen pasar por proveedores o empresas de logística. Foto: Freepik.
Comentarios
España registró 85 ataques de ransomware -toma del control del equipo bloqueando o cifrando la información del usuario para, a continuación, pedir dinero a cambio- el segundo semestre del pasado año, convirtiéndose en el sexto país del mundo que sufrió mayor número de este tipo de ataques.
El grupo Thales, líder europeo en soluciones tecnológicas para las industrias de Defensa, Aeroespacial, Ciberseguridad e Identidad Digital, destaca el posicionamiento de España como uno «de los blancos más atractivos para el cibercrimen en la segunda mitad de 2025″, en su informe Threat Landscape Report 2025, presentado en la mañana del miércoles en las oficinas de la compañía en Madrid.
«Los datos apuntan a un entorno multifacético en el que conviven extorsión industrial, activismo político y fraude digital avanzado, elevando el riesgo operativo y reputacional para organizaciones de distintos tamaños», destaca Thales.
Rusia, China, Irán y Corea del Norte han incrementado la ciberdelincuencia «con una virulencia sin precedentes»
En el segundo semestre de 2025 también se detectaron 248 publicaciones en la dark web relacionadas con España, «con un peso destacado de la venta de bases de datos (40,7%) y de la venta de accesos no autorizados (37%)».
Conultados los expertos de Thales sobre el por qué España se ha convertido en uno de los blancos preferidos por los ciberdelincuentes, estos han sugerido varios posibles factores, pero admiten no tener una respuesta concreta. «El uso del idioma español, una mayor deficiencia quizá en los sistemas de defensa ante el cibercrimen» podrían en parte explicarlo.
A nivel global, el informe describe un ecosistema criminal «más profesional, competitivo y fragmentado».
El ransomware no solo crece en volumen, «sino que se apoya cada vez más en modelos industrializados (crime-as-a-service y extortion-as-a-service), con una proliferación de operaciones y marcas que facilita la escalabilidad de las campañas y reduce las barreras de entrada».
Según el informe, la IA también ha madurado hasta transformarse «en una herramienta operativa capaz de automatizar la ‘cadena intrusiva’ de un ciberataque, desde la detección instantánea de vulnerabilidades hasta la creación de phishing indistinguibles de la realidad».
Thales subraya que no hay despliegue posible de IA sin ciberseguridad. «Solo mediante sistemas inteligentes que detecten patrones anómalos en tiempo real se garantiza que esta tecnología sea un activo seguro y no una vulnerabilidad expuesta», indica.
También el fraude digital, destaca el informe de Thales, evoluciona «hacia esquemas híbridos y más sofisticados». Por ejemplo, campañas que combinan ingeniería social con vectores físicos como códigos QR y malware bancario móvil que busca credenciales y transacciones, lo que eleva la exposición de usuarios y organizaciones.
La transformación táctica es igualmente relevante: gana terreno la extorsión centrada en datos (solo extorsión), mientras se generalizan técnicas de bajo ruido que dificultan la detección. Entre ellas, el ‘vivir del terreno’ (living-off-the-land), que abusa de herramientas legítimas del propio sistema, y el uso de herramientas de administración remota (RMM) para persistencia y evasión.
El estudio concluye que las ciberamenazas se han consolidado, amparadas por las tensiones geopolíticas y la sofisticación de las técnicas criminales.
En la segunda mitad de 2025, tanto actores paraestatales (con foco en Rusia, China, Irán y Corea del Norte) como grupos criminales organizados incrementaron su actividad y aprovecharon vulnerabilidades críticas con una virulencia sin precedentes.
La principal amenaza global identificada por el equipo de Cyber Threat Intelligence de Thales, desde las sedes de España y Portugal, es el auge y la transformación del ransomware (programas chantajistas).
El informe observa una mutación de la táctica: crecen los ataques de “solo extorsión”, en los que se prioriza el robo de información frente al cifrado de sistemas para acelerar plazos, reducir complejidad técnica y maximizar la presión reputacional.
Los atacantes no solo encuentran fallos cada vez más intrincados, «sino que reducen los tiempos entre divulgación y explotación«. Además, el informe destaca el auge de vulnerabilidades de ‘día cero’, cuyo uso se ha “profesionalizado” y forma parte de un mercado maduro de capacidades y accesos.
El informe muestra que la presión del cibercrimen tiende a concentrarse en organizaciones con dos rasgos comunes: alta dependencia de la continuidad operativa y exposición elevada a datos sensibles, procesos industriales o servicios esenciales.
Por ello, advierte Thales, Gobiernos y Administraciones, industria, finanzas, salud, telecomunicaciones y energía «aparecen como ámbitos especialmente sensibles: no por ser “culpables”, sino por el impacto que puede tener cualquier interrupción o filtración y por la complejidad de sus ecosistemas digitales y de terceros».
