El nuevo 'Threat Landscape Report' revela un aumento del 61% en los incidentes registrados en el país durante el primer semestre de 2025, con el sector manufacturero y la energía entre los más afectados.
Thales, líder europeo en tecnologías avanzadas para los sectores de Defensa, Aeroespacial, Ciberseguridad y Seguridad Digital, ha publicado su informe semestral de referencia, Threat Landscape Report, que analiza la evolución del cibercrimen a lo largo del primer semestre de 2025. El estudio, liderado por el equipo de Threat Intelligence de la compañía, asegura que, a nivel global, los ataques de ransomware crecieron un 29,7% respecto al semestre anterior. En este contexto, España se sitúa como el séptimo país más afectado, con 79 incidentes registrados, un 61% más que en el segundo semestre de 2024.
Así, España escala un puesto en el ranking de países más atacados a nivel global por incidentes de ransomware, frente al octavo lugar que ocupaba en el semestre anterior. En este período, Akira se ha consolidado como la amenaza más destacada del país, con 15 ataques registrados, seguida de Qilin (10 incidentes) y Fog (5), lo que refleja la creciente actividad de estas familias en el panorama nacional. A nivel global, Estados Unidos y Canadá encabezan el ranking, mientras que en Europa los países más afectados son Alemania, Reino Unido e Italia, con 151, 141 y 92 ataques respectivamente. En cuanto a los sectores más perjudicados, el manufacturero ocupa la primera posición con 1.318 ataques, seguido de la consultoría (464) y del sector servicios (273), lo que refleja la especial vulnerabilidad de las industrias críticas y de aquellas con un elevado nivel de digitalización.
El informe advierte que, durante el primer semestre de 2025, los grupos de ransomware han mostrado un claro aumento en la sofisticación y frecuencia de los ataques, así como un continuo cambio y adaptación de sus estrategias y modelos de trabajo. Siguiendo la dinámica de años anteriores, los grupos han continuado empleando el modelo de ransomware como servicio (RaaS), en el que los desarrolladores proporcionan el malware a terceros a cambio de un porcentaje de los beneficios obtenidos. Sin embargo, se observa una tendencia creciente de ciertos actores a centrarse únicamente en el robo y extorsión de datos sin cifrado, lo que indica un cambio en el panorama del ransomware.
El ciberespionaje, los ciberataques y la desinformación marcan la geopolítica
El escenario geopolítico ha estado marcado por los diferentes conflictos internacionales que han convertido el ciberespacio en un campo de batalla híbrido. El conflicto entre Rusia y Ucrania se ha caracterizado hasta la fecha por ciberataques dirigidos a infraestructuras críticas, instituciones gubernamentales y medios de comunicación, entre otros. Al mismo tiempo, otros conflictos en Oriente Medio y Asia también han registrado un aumento significativo de la actividad cibernética. En conflictos como el de Israel-Palestina, India-Pakistán y China-Taiwán, tanto actores estatales como hacktivistas han desplegado ciberoperaciones ofensivas, campañas de espionaje y estrategias de influencia en redes sociales.
Según Lourdes Mora, Team Leader del equipo de Threat Intelligence en Thales: “Las campañas de operaciones de influencia se han consolidado como herramientas estratégicas de gran alcance. Son utilizadas por actores estatales y no estatales para manipular la opinión pública y socavar la estabilidad democrática de los países, aprovechando tecnologías como la inteligencia artificial generativa. Este fenómeno evidencia cómo la guerra híbrida, al combinar diferentes amenazas, redefine los conflictos internacionales y plantea nuevos retos para la seguridad de los Estados”.
La energía y la sanidad, sectores que más aumentan su exposición
En la primera mitad del año, los sectores que más han incrementado su exposición a operaciones maliciosas son el energético y el sanitario, debido a su nivel crítico y al impacto directo que tienen como servicios esenciales para la sociedad. En particular, la industria energética atrae ataques tanto por motivos financieros, al ser percibido como altamente rentable por los ciberdelincuentes, como por intereses políticos, ya que grupos patrocinados por Estados y hacktivistas apuntan a sus infraestructuras por sus vínculos con entidades gubernamentales y por el potencial de generar importantes disrupciones.
En cuanto al sector sanitario, en 2025 ya se han registrado al menos 243 incidentes de ransomware dirigidos a organizaciones sanitarias, consolidándose como una de las amenazas más relevantes del sector. Otras técnicas empleadas incluyen campañas de ingeniería social, brechas de datos, ataques a la cadena de suministro y explotación de vulnerabilidades en dispositivos médicos.
Mientras tanto, otros sectores también enfrentan crecientes riesgos cibernéticos. La industria de defensa sigue siendo un objetivo estratégico por su manejo de información clasificada, tecnología crítica e infraestructuras esenciales, con grupos APT llevando a cabo actividades de ciberespionaje, ataques destructivos y operaciones económicas vinculadas al financiamiento militar. De igual forma, el sector aeronáutico se ha posicionado como un blanco atractivo para ciberdelincuentes y actores estatales, con un aumento significativo de ataques de ransomware dirigidos a interrumpir operaciones con fines económicos o a la destrucción de sistemas, evidenciando su relevancia estratégica. Enlace al informe TLR
(Thales)
