Los cibercriminales no se detienen, así lo ha hecho saber el reciente informe del equipo de ciberinteligencia de Secure&IT. Entre enero y junio de 2025 se han registrado más de 4.000 ciberataques a organizaciones a nivel global. En concreto, Estados Unidos, Canadá, Alemania, Reino Unido, Italia y España se sitúan como los países más afectados, consolidando el foco de los ciberdelincuentes en economías occidentales.
El análisis destaca una tendencia creciente hacia campañas dirigidas, aprovechando vulnerabilidades conocidas, proveedores con menor protección o accesos mal configurados. «No se trata de ataques indiscriminados, sino de operaciones planificadas y cada vez más profesionalizadas», explica Francisco Valencia, director general de Secure&IT.
Grupos más activos
Así pues, Akira, seguido por RansomHub, Qilin, Play y Clop, encabezan el ranking de grupos cibercriminales más activos en 2025. Todos ellos operan bajo el modelo ransomware as a service (RaaS), que permite a actores poco técnicos lanzar ataques sofisticados mediante herramientas alquiladas.
En particular, el grupo Akira basa su estrategia en la doble extorsión, primero roba los datos y luego cifra los sistemas afectados. A su vez, RansomHub opera con afiliados y usa herramientas legítimas para moverse lateralmente en las redes. Mientras que Qilin se enfoca en sectores industriales e infraestructuras críticas, explotando vulnerabilidades en servicios como VPN.
Cerca del «pódium», Play destaca por su velocidad de ejecución tras comprometer conexiones RDP mientras que Clop, tras liderar el inicio de año, desapareció del radar en marzo, probablemente como parte de una estrategia de reorganización.
No obstante, Secure&IT también tiene en consideración al grupo Nightspire, que ha emergido con fuerza en junio, aunque su relevancia futura está aún por determinar.
Tendencias de ciberataques en 2025
Además, el informe revela cuatro grandes tendencias que marcan estos cuantiosos ciberataques a organizaciones. El primero y más destacado es la consolidación de Akira como amenaza persistente, teniendo la autoría del mayor número de ataques registrados.
La expansión del modelo RaaS, presente en todos estos grupos, viene de la mano con el aumento de ataques a través de terceros (especialmente proveedores).También destaca la creciente actividad cibercriminal en España en mercados de la dark web, con más venta de accesos comprometidos.
Asimismo, Secure&IT advierte que el verano no detendrá la actividad cibercriminal. Para ello, considera que las organizaciones deben reforzar la detección proactiva, revisar la seguridad de sus proveedores y aplicar los parches de seguridad con rapidez para frenar este tipo de amenazas.
Archivado en:
