España ocupa la séptima posición en el ranking mundial de países más ciberatacados.

El sector servicios es el más perjudicado (37%), seguido por industria (23%) y salud, que sufrió 535 ataques en 2025.

La actividad de los grupos de ciberdelincuencia sigue experimentando un fuerte crecimiento en los últimos años. Según el Informe de Ciberinteligencia 2025 elaborado por Secure&IT, el año pasado aumentaron el número de ataques publicados por organizaciones criminales en la Dark Web, alcanzando los 7.979 incidentes, lo que supone un incremento del 42% con respecto a 2024, cuando se registraron 5.613.

El informe identifica 162 actores activos, frente a los 114 del año anterior, lo que confirma una clara expansión del ecosistema criminal. Aunque siete grupos concentran el 43% del total de ataques, se observa una mayor fragmentación del panorama con respecto a 2024, lo que indica que nuevos actores están entrando en el mercado del ransomware.

“La ciberdelincuencia funciona como una industria organizada, con estructuras jerarquizadas, modelos de afiliación y cadenas de suministro propias. Esto reduce la barrera de entrada y multiplica el número de atacantes activos”, explica Francisco Valencia, director general de Secure&IT.

¿Qué grupos criminales han estado más activos?

En 2025, siete grupos criminales concentraron más del 40% de la actividad global, liderado por Qilin, con 1.015 ataques (12,7%), que ha cuadruplicado su actividad respecto al año anterior. En este ranking también encontramos al grupo Akira (659 ataques) y Play (385 ataques).

“Todos estos grupos operan bajo esquemas de Ransomware-as-a-Service (RaaS), un modelo que funciona como una franquicia criminal en la que los desarrolladores alquilan su malware a afiliados que ejecutan los ataques”, explica Valencia.

Estados Unidos concentra más de la mitad de los ataques

El ranking de países con más ciberataques en 2025 está liderado por Estados Unidos. El objetivo principal de los ciberdelincuentes han sido las empresas estadounidenses, que recibieron más de la mitad de los ataques publicados el año pasado (52%). En la segunda posición del ranking se encuentra Canadá (5%), seguido de Reino Unido (4%) y Alemania (4%).

“Un año más, España sigue situándose dentro de este ranking en la séptima posición mundial, con 170 ataques publicados, lo que representa el 2,1% del total global y el 10% de los ataques registrados en Europa”, indica el director general de Secure&IT.

Servicios, industria y salud: los sectores más afectados

El sector servicios continúa siendo el más atacado (37%), seguido por industria (23%) y el sector salud, que ha sufrido 535 ataques en 2025, un 7% del total mundial, con la participación de hasta 91 grupos distintos.

“La presión sobre sectores críticos como salud o industria confirma que los atacantes buscan maximizar el impacto para forzar el pago del rescate. La profesionalización del ransomware exige a las organizaciones adoptar modelos de defensa avanzados, monitorización continua y respuesta automatizada”, señala Francisco Valencia.

Profesionalización y automatización en los ciberataques: la nueva normalidad

Los grupos criminales han evolucionado hacia estructuras cada vez más sofisticadas, llegando a reutilizar códigos filtrados de otras familias de ransomware para acelerar su desarrollo, operando bajo esquemas de doble extorsión que combinan el cifrado de la información con la exfiltración de datos sensibles, y empleando herramientas legítimas para las fases de post explotación con el fin de evadir la detección.

“Además, estos ciberdelincuentes también automatizan campañas de explotación masiva para maximizar su alcance y rentabilidad, y migran de forma estratégica entre plataformas digitales para preservar su anonimato y garantizar la continuidad de sus operaciones. Este informe que hemos elaborado en Secure&IT indica que el crecimiento de la ciberdelincuencia no solo es cuantitativo, sino también cualitativo”, concluye Francisco Valencia.