En ese escenario, España escaló al sexto puesto mundial en el segundo semestre, con 85 ataques entre julio y diciembre y 164 en el conjunto del año, en un contexto marcado por más velocidad de explotación, más extorsión basada en datos y una creciente profesionalización del cibercrimen.
El Threat Landscape Report 2025 – Second semester, publicado por Thales, dibuja un panorama en el que las ciberamenazas ya no se entienden sin el contexto geopolítico y sin la evolución industrial del delito digital. Según el estudio, en la segunda mitad de 2025 aumentó tanto la actividad de actores paraestatales como la de grupos criminales organizados, que aprovecharon vulnerabilidades críticas con una intensidad inédita.
La conclusión central es clara: el ransomware no solo crece en volumen, también cambia de forma. Thales detecta un avance de los ataques de solo extorsión, una modalidad en la que los atacantes priorizan el robo de información frente al cifrado de sistemas. El objetivo es acelerar el chantaje, reducir complejidad técnica y elevar la presión reputacional sobre la víctima.
Ese cambio encaja con otro fenómeno clave: la industrialización del cibercrimen. El informe describe un ecosistema cada vez más profesionalizado, apoyado en modelos como crime-as-a-service y extortion-as-a-service, que facilitan la escalabilidad de las campañas y rebajan las barreras de entrada para nuevos actores.
Índice de temas
España, entre los países más expuestos
La fotografía española es especialmente significativa. En el segundo semestre de 2025, España registró 85 ataques de ransomware y se situó como sexto país más afectado del mundo. Si se toma el año completo, la cifra asciende a 164 ataques, lo que refuerza la idea de que el país se ha convertido en un objetivo prioritario.
El informe atribuye esta presión a un entorno multifacético, donde convergen extorsión industrial, hacktivismo con motivación política y fraude digital avanzado. Es decir, no se trata de un único tipo de amenaza, sino de una combinación de tácticas que amplía el impacto operativo y reputacional sobre organizaciones de distinto tamaño.
A ello se suma la actividad en entornos clandestinos. Thales detectó 248 publicaciones en la dark web relacionadas con España en el segundo semestre de 2025. Destacan la venta de bases de datos (40,7%) y la venta de accesos no autorizados (37%), un dato especialmente relevante porque ese acceso inicial suele ser la puerta de entrada a ataques de mayor alcance.
Más velocidad, más vulnerabilidades, menos margen de reacción
Uno de los puntos más preocupantes del informe es la aceleración del ciclo vulnerabilidad-explotación. Solo en el segundo semestre de 2025 se detectaron 24.365 nuevas vulnerabilidades, y en algunos casos los atacantes comenzaron a explotarlas apenas 24 horas después de su publicación.
La tendencia incluye además un auge de las vulnerabilidades de día cero (zero-day), cuyo uso, según Thales, se ha profesionalizado dentro de un mercado ya maduro de capacidades y accesos. En la práctica, esto reduce de forma drástica la ventana de reacción de empresas y administraciones.
La presión se concentra, además, en organizaciones con dos rasgos comunes: alta dependencia de la continuidad operativa y gran exposición a datos sensibles o servicios esenciales. Por eso aparecen como ámbitos especialmente sensibles Gobiernos y Administraciones, industria, finanzas, salud, telecomunicaciones y energía.
IA, hacktivismo y fraude híbrido: el tablero se complica
El informe Threat Landscape Report 2025 – Second semester de Thales también subraya que la IA ha madurado como herramienta operativa para los atacantes, capaz de automatizar fases de la cadena intrusiva, desde la detección de fallos hasta la creación de campañas de phishing difíciles de distinguir de comunicaciones legítimas. De ahí la tesis de Thales: no hay despliegue de IA sin ciberseguridad.
En paralelo, repuntó el hacktivismo impulsado por narrativas geopolíticas, con campañas pro-rusas orientadas a la disrupción de servicios y a la amplificación mediática, entre ellas #OpSpain. También evoluciona el fraude digital hacia modelos híbridos, combinando ingeniería social con vectores físicos y malware bancario móvil para robar credenciales y transacciones.
Ante este escenario, el mensaje de fondo del informe es inequívoco: la defensa ya no puede ser reactiva. La prioridad pasa por proteger la identidad digital como nuevo perímetro, priorizar el parcheo por riesgo real y reforzar el control de terceros, especialmente en cadenas de suministro y componentes de software. En 2026, la ciberseguridad deja de ser un área técnica para convertirse, definitivamente, en una cuestión de continuidad de negocio.
