Según el Informe de Ciberinteligencia 2025 elaborado por Secure&IT , la actividad de la ciberdelincuencia volvió a crecer de forma significativa el pasado año. En 2025 se registraron 7.979 ataques publicados en la Dark Web, lo que representa un incremento del 42% respecto a 2024, cuando se contabilizaron 5.613 incidentes.
El estudio identifica 162 actores activos, frente a los 114 del ejercicio anterior. Aunque siete grupos concentran el 43% de los ataques, el informe señala una mayor fragmentación del ecosistema criminal, con la aparición de nuevos actores en el ámbito del ransomware.
Francisco Valencia, director general de Secure&IT, explica que “la ciberdelincuencia funciona como una industria organizada, con estructuras jerarquizadas, modelos de afiliación y cadenas de suministro propias”, lo que facilita la entrada de nuevos participantes y amplía el número de atacantes activos.
En cuanto a los grupos más activos en 2025, siete concentraron más del 40% de la actividad global. Qilin lidera el ranking con 1.015 ataques (12,7%), cuadruplicando su actividad respecto al año anterior. Le siguen Akira, con 659 ataques, y Play, con 385. Según Valencia, todos ellos operan bajo esquemas de Ransomware-as-a-Service (RaaS), un modelo en el que los desarrolladores alquilan su malware a afiliados que ejecutan los ataques.
Países y sectores más atacados
Por países, Estados Unidos encabeza la lista con el 52% de los ataques publicados en 2025. A continuación se sitúan Canadá (5%), Reino Unido (4%) y Alemania (4%). España ocupa la séptima posición mundial, con 170 ataques publicados, lo que supone el 2,1% del total global y el 10% de los registrados en Europa.
En el análisis por sectores, el informe destaca que el sector servicios es el más afectado (37%), seguido de la industria (23%). El ámbito sanitario registró 535 ataques en 2025, el 7% del total mundial, con la participación de hasta 91 grupos distintos.
El documento también subraya la creciente profesionalización de los ataques. Los grupos criminales reutilizan códigos filtrados de otras familias de ransomware, combinan el cifrado con la exfiltración de datos en esquemas de doble extorsión y emplean herramientas legítimas para evadir la detección. Además, automatizan campañas de explotación masiva y cambian de plataforma para preservar su anonimato.
En palabras de Valencia, “el crecimiento de la ciberdelincuencia no solo es cuantitativo, sino también cualitativo”, lo que obliga a las organizaciones a reforzar sus modelos de defensa, la monitorización continua y las capacidades de respuesta.
