España, sexto país más castigado del mundo por ataques de ‘ransomware’

Ataques de ransomware
Redacción

La evolución del cibercrimen ha derivado en un entorno cada vez más complejo para las empresas y administraciones, donde la presión de los grupos de extorsión no deja de aumentar a escala global. Esta realidad se analiza en detalle dentro del Threat Landscape Report 2025 – Second semester publicado por Thales, un documento que confirma cómo la actividad delictiva ha escalado hasta situar a España como el sexto país del mundo más castigado por los ataques de ransomware. Durante el pasado año, el documento registró 7.701 incidentes de esta tipología a nivel mundial, lo que supone un incremento del 51,5 por ciento respecto a 2024.

El informe concluye que las ciberamenazas se han consolidado, amparadas por las tensiones geopolíticas y la sofisticación de las técnicas criminales. En la segunda mitad de 2025, tanto actores paraestatales (con foco en Rusia, China, Irán y Corea del Norte) como grupos criminales organizados incrementaron su actividad y aprovecharon vulnerabilidades críticas con una virulencia sin precedentes.

Mutación táctica y vulnerabilidades exprés

La principal amenaza global identificada por el equipo de Cyber Threat Intelligence de Thales, desde las sedes de España y Portugal, es el auge y la transformación del ransomware (programas chantajistas). El informe observa una mutación de la táctica: crecen los incidentes de «solo extorsión», en los que se prioriza el robo de información frente al cifrado de sistemas para acelerar plazos, reducir complejidad técnica y maximizar la presión reputacional.

A este escenario se suma un acelerador decisivo: la velocidad. La ventana de reacción se estrecha de manera alarmante, ya que solo en el segundo semestre de 2025 se detectaron 24.365 nuevas vulnerabilidades y los atacantes comienzan a explotarlas apenas 24 horas después de hacerse públicas. Además, el documento destaca el auge de brechas de día cero (zero-day), cuyo uso se ha «profesionalizado» y forma parte de un mercado maduro de capacidades y accesos.

La presión tiende a concentrarse en organizaciones con alta dependencia de la continuidad operativa y exposición elevada a datos sensibles. Por ello, gobiernos y administraciones, las finanzas, la salud, las telecomunicaciones y la energía aparecen también como objetivos críticos: no por ser «culpables», sino por el impacto que puede tener cualquier interrupción o filtración y por la complejidad de sus ecosistemas digitales y de terceros.

El impacto en España y la monetización clandestina

Concretamente, España se ha posicionado como uno de los blancos más atractivos en la segunda mitad de 2025. El país contabilizó 85 ataques de ransomware en este semestre y se situó como el sexto mercado más afectado del mundo en el periodo; en el conjunto del año sumó un total de 164 incidentes. Los datos apuntan a un entorno multifacético en el que conviven extorsión industrial, activismo político y fraude digital avanzado, elevando el riesgo operativo y reputacional para compañías de distintos tamaños.

Junto a la presión del ransomware, se refleja un mercado activo de monetización en entornos clandestinos. En el segundo semestre de 2025 se detectaron 248 publicaciones en la dark web relacionadas con España, con un peso destacado de la venta de bases de datos (40,7%) y de accesos no autorizados (37%), un indicador relevante porque ese «acceso inicial» suele ser el paso previo a ataques de mayor impacto.

La automatización de las amenazas y el repunte del ‘hacktivismo’

Por otro lado, la inteligencia artificial (IA) también ha madurado hasta transformarse en una herramienta operativa capaz de automatizar la cadena intrusiva, desde la detección instantánea de vulnerabilidades hasta la creación de phishing indistinguibles de la realidad. Por ello, la premisa es tajante: no hay despliegue de IA sin ciberseguridad. Solo mediante sistemas inteligentes que detecten patrones anómalos en tiempo real se garantiza que esta tecnología sea un activo seguro.

El hacktivismo también registró un repunte impulsado por narrativas geopolíticas, con campañas pro-rusas orientadas a la disrupción de servicios y a la amplificación mediática, #OpSpain entre ellas. En paralelo, el fraude evoluciona hacia esquemas híbridos y más sofisticados (por ejemplo, campañas que combinan ingeniería social con vectores físicos como códigos QR) y malware bancario móvil que busca credenciales y transacciones.

Industrialización del cibercrimen a escala global

A nivel global, se describe un ecosistema criminal más profesional, competitivo y fragmentado. La extorsión no solo crece en volumen, sino que se apoya en modelos industrializados (crime-as-a-service y extortion-as-a-service), con una proliferación de operaciones y marcas que facilita la escalabilidad y reduce las barreras de entrada.

La transformación táctica es igualmente relevante: gana terreno la extorsión centrada en datos, mientras se generalizan técnicas de bajo ruido que dificultan la detección. Entre ellas, el «vivir del terreno» (living-off-the-land), que abusa de herramientas legítimas del propio sistema, y el uso de herramientas de administración remota (RMM) para persistencia y evasión.

El tercer gran vector es la aceleración del ciclo vulnerabilidad-explotación. La defensa se convierte en una carrera contra el tiempo ante cifras alarmantes. En este contexto, Thales insiste en una aproximación proactiva: proteger la identidad digital como nuevo perímetro, priorizar el parcheo por riesgo real y reforzar el control de terceros en la cadena de suministro y componentes de software.

Para profundizar en estos datos, Thales organizó una rueda de prensa en sus oficinas, un encuentro donde se analizaron los retos inminentes para el sector. Durante la jornada se llevó a cabo la presentación de los resultados del Threat Landscape Report (TLR) y se debatió sobre el panorama de ciberamenazas de cara a 2026 junto a Miguel López Negrete, Manager CTI de Thales.

Rueda de prensa en Thales
Asistentes a la rueda de prensa organizada por Thales el pasado 18 de febrero de 2026