Olvídense de los hackers solitarios y de los virus de laboratorio. En 2025, los ciberataques hablan el lenguaje de la geopolítica. El Threat Landscape Report de Thales dibuja un mapa del ciberespacio en plena tormenta: un 74 % más de ataques de ransomware en sólo seis meses, 27.498 vulnerabilidades detectadas y grupos de origen estatal que cruzan la línea entre la guerra fría y la guerra digital.
Ya no se trata de hackear infraestructuras: se trata de hackear realidades
Las fronteras, advierte el informe, ya no se trazan en los mapas, sino en los firewalls.
Cuando el malware habla el lenguaje de la política
El ransomware ha dejado de ser un delito económico para convertirse en una herramienta geopolítica. Los grupos Akira, Cl0p y Qilin —los tres más activos del semestre— no sólo buscan rescates millonarios: también interrumpen cadenas de suministro, sectores estratégicos y, cada vez más, infraestructuras críticas.
Según Thales, el sector industrial concentra el 35 % de los ataques, seguido de la consultoría (12 %) y los servicios (7 %). España figura entre los países más afectados de Europa, con 79 ataques registrados, un 36 % más que en 2024, encabezados por Akira, que ha llegado a utilizar incluso webcams vulnerables para cifrar redes corporativas sin ser detectado.
El ransomware ya no cifra, sino que extorsiona: los grupos Babuk, SecP0 y Silent Ransom Group apuestan por robar y publicar los datos directamente, prescindiendo del cifrado. La amenaza se ha convertido en espectáculo.
De la IA al espionaje: las nuevas armas invisibles
La inteligencia artificial también ha cambiado el equilibrio del poder digital. Thales detecta nuevas técnicas como ClickFix o FileFix, que manipulan la interacción humana para ejecutar malware sin ser detectado, y la aparición de infostealers como LummaC2, capaces de robar credenciales y datos financieros en tiempo real.
Entre marzo y mayo de 2025, Lumma Stealer comprometió más de 394.000 sistemas Windows en todo el mundo, antes de que una operación conjunta de Europol, Microsoft y el Departamento de Justicia estadounidense consiguiera desmantelar parcialmente su infraestructura.
Pero el resurgir del malware no se entiende sin el contexto. Las tensiones entre Rusia y Ucrania, Israel e Irán, y China y Taiwán han convertido los ciberataques en extensiones de los conflictos físicos. Los hacktivistas actúan como milicias digitales: sabotean presas en Noruega, atacan hospitales o lanzan campañas de desinformación política en redes sociales. La línea entre Estado y ciberdelincuencia es cada vez más difusa.
El nuevo orden digital
El informe de Thales también refleja un crecimiento exponencial de los ataques DDoS, con un incremento del 74 % interanual y botnets que superan los 4,6 millones de dispositivos.
Mientras tanto, los grupos APT chinos y rusos —como Salt Typhoon o Fancy Bear— mantienen operaciones activas contra gobiernos, defensa y telecomunicaciones, empleando vulnerabilidades zero-day y técnicas de infiltración silenciosa.
En paralelo, las campañas de influencia se profesionalizan: Rusia amplía su red Portal Kombat para difundir propaganda en 50 idiomas, e Irán multiplica sus operaciones de desinformación pro-palestinas durante el conflicto con Israel.
El resultado: un ecosistema donde la información, los sistemas y las percepciones son armas.
