El ransomware no solo no pierde fuerza, sino que acelera. El Threat Landscape Report 2025 de Thales correspondiente al segundo semestre constata que entre julio y diciembre se registraron 3.926 ataques a nivel mundial, un cuatro por ciento más que en la primera mitad del año . En el conjunto de 2025, la cifra asciende a 7.701 incidentes, lo que representa un incremento del 51,5 % frente a los 5.084 documentados en 2024. El propio informe habla de una “clara y sostenida tendencia al alza entre 2022 y 2025”.
En ese escenario, España ocupa una posición preocupante. A lo largo del año registraron 164 ataques de ransomware, con un ligero repunte en la segunda mitad (85 frente a 79 en el primer semestre) . Solo entre julio y diciembre, los ataques dirigidos a organizaciones españolas representaron el 2,2 % del total mundial (85 de 3.926) y situaron al país en el sexto puesto del ranking global. El informe es explícito al señalar que estos patrones “sitúan a España como uno de los principales objetivos del ransomware en Europa”.
Qilin y un ecosistema fragmentado
Desde el punto de vista de los actores, la actividad en España estuvo claramente dominada por Qilin, responsable de 26 ataques en el segundo semestre, seguido Space Bears y LockBit, con siete incidentes cada uno. Sin embargo, no se trata de un mercado controlado por un único grupo. El análisis apunta a “un entorno de amenazas competitivo y fragmentado, en lugar de una dependencia de un único actor dominante”.
El sector industrial volvió a concentrar la mayor presión. En España se registraron 40 incidentes en el segundo semestre, prácticamente la mitad de todos los ataques del periodo . Le siguieron consultoría (12), hostelería (7) y servicios (5).
A escala global, la tendencia es aún más evidente: el sector industrial acumuló 2.801 ataques en 2025, 1.481 de ellos en la segunda mitad del año, lo que equivale al 38% de todos los incidentes registrados en ese periodo. La combinación de cadenas de suministro complejas y baja tolerancia a la parada convierte a estas organizaciones en objetivos especialmente rentables.
Brechas de datos y economía del acceso
El ransomware se entrelaza con la exfiltración de información. En España, más del 50% de los incidentes graves implicaron exposición o filtración de datos.
La actividad en la dark web lo confirma: durante el segundo semestre se publicaron 248 mensajes que mencionaban a España. El 40,7% estaba relacionado con la venta de bases de datos extraídas tras brechas de seguridad, mientras que el 37% ofrecía acceso no autorizado a empresas. El informe advierte de que este mercado de acceso inicial “es especialmente arriesgado, ya que a menudo precede al despliegue de ransomware, al espionaje o al robo de datos a gran escala”.
Vulnerabilidades, IA y amenazas híbridas
Más allá de las cifras, el estudio describe una evolución cualitativa de las amenazas. En la segunda mitad del año, los atacantes combinaron “explotación de vulnerabilidades con campañas de ransomware y exfiltración de datos”, acelerando los tiempos de compromiso. Algunas fallas críticas permitían “ejecutar código arbitrario de forma remota, sin necesidad de acceso previo ni credenciales”.
Al mismo tiempo, el perfil de los adversarios se amplía: “iban desde hacktivistas motivados ideológicamente hasta grupos ciberdelincuentes organizados que explotaban la IA, la ingeniería social y las herramientas de phishing-as-a-service” . Esta convergencia entre motivaciones políticas, económicas y estratégicas refuerza la dimensión geopolítica del riesgo.
No es casual que el informe recuerde que los ciberincidentes —ransomware, brechas de datos o interrupciones de sistemas— “se sitúan entre los principales riesgos para las organizaciones”, con impacto directo en la seguridad nacional y la estabilidad económica.
