El cibercrimen ha dado un salto cualitativo en la segunda mitad de 2025: más volumen, más velocidad y un impacto cada vez más directo sobre los sectores que sostienen el funcionamiento de un país.
Las amenazas no se distribuyen al azar. En este escenario global de presión creciente, España emerge como uno de los objetivos prioritarios: con 85 ataques de ransomware en el segundo semestre, el país se ha convertido en el sexto más afectado del mundo según muestra un informe de la compañía de seguridad Thales.
Los atacantes buscan organizaciones cuya actividad no puede detenerse y que gestionan datos o servicios críticos, lo que coloca a administraciones públicas, industria, finanzas, salud, telecomunicaciones y energía en el centro de la diana. La razón es simple: cualquier interrupción en estos ámbitos tiene un efecto inmediato en la ciudadanía y en la economía
España: un objetivo cada vez más atractivo
La exposición española no es casual. El país registró 164 ataques de ransomware en todo 2025, una cifra que refleja un entorno especialmente complejo donde conviven la extorsión industrial, el activismo político y el fraude digital avanzado. Esta combinación incrementa el riesgo para empresas y administraciones de todos los tamaños, desde grandes corporaciones hasta entidades locales.
La actividad en la dark web confirma esta tendencia. Durante el segundo semestre se detectaron 248 publicaciones relacionadas con España, con un peso destacado de la venta de bases de datos (40,7%) y de accesos no autorizados (37%). Estos accesos suelen ser el primer paso para ataques de mayor impacto, lo que convierte este indicador en uno de los más preocupantes del panorama actual.
La inteligencia artificial y el hacktivismo, claves en la nueva ofensiva
La inteligencia artificial ha dejado de ser un experimento para convertirse en una herramienta operativa del cibercrimen. Los atacantes ya la utilizan para automatizar procesos completos: desde detectar vulnerabilidades en tiempo real hasta generar campañas de phishing prácticamente indistinguibles de comunicaciones legítimas. Este salto obliga a replantear la defensa: sin sistemas capaces de identificar comportamientos anómalos de forma automática, la IA se convierte en una ventaja para el atacante.
El hacktivismo también ha vivido un repunte, impulsado por narrativas geopolíticas y campañas de desinformación. Entre las operaciones más visibles se encuentra #OpSpain, con acciones orientadas a la disrupción de servicios y a la amplificación mediática. Aunque su impacto técnico suele ser menor que el del cibercrimen organizado, su capacidad para generar ruido y presión pública lo convierte en un vector relevante.
En paralelo, el fraude digital evoluciona hacia esquemas híbridos que combinan ingeniería social con vectores físicos, como códigos QR maliciosos. El malware bancario móvil también gana terreno, con campañas que buscan credenciales y manipulan transacciones en tiempo real, elevando la exposición de usuarios y organizaciones.
Un crimen digital industrializado
A escala global, el cibercrimen funciona cada vez más como una industria. Modelos como crime-as-a-service o extortion-as-a-service permiten que actores con poca experiencia ejecuten ataques complejos mediante herramientas empaquetadas, soporte técnico y manuales de uso. La proliferación de marcas y operaciones facilita la escalabilidad y reduce las barreras de entrada.
Tácticas como el living-off-the-land —que aprovecha herramientas legítimas del sistema— o el uso de software de administración remota para persistencia y evasión se han generalizado, dificultando la detección y ampliando la ventana de oportunidad para los atacantes.
En un entorno donde la velocidad es la ventaja del atacante, la anticipación debe ser la del defensor. Tres prioridades se consolidan y son las de proteger la identidad digital convertida en nuevo perímetro, priorizar el parcheo por el riesgo real de organizaciones y sobre todo reforzar el control de la cadena de suministro.
