España, entre los países más afectados. El equipo de Inteligencia contra amenazas cibernéticas de Thalesuno de los grandes grupos europeos de defensa y ciberseguridad, sitúa a España como uno de los objetivos más atractivos para los actores que operan con ransomware. Según su informe compartido por correo electrónico, el país registró 164 ataques en 2025, con 79 en la primera mitad del año y 85 en la segunda. El dato más relevante llega al poner estas cifras en contexto: España ocupó el sexto lugar mundial en número de ataques durante el segundo semestre del año.
Una tendencia que apunta al alza. Los expertos de Thales señalan además que los ataques de ransomware en España crecieron un 7,6%, una subida que se enmarca en un aumento general de la actividad cibernética. Detrás aparecen factores como las tensiones geopolíticas, la evolución de las herramientas de ransomware, la explotación cada vez más rápida de vulnerabilidades y la interconexión de amenazas entre sectores críticos. Todo ello dibujó un escenario con actores más maduros, organizados y difíciles de contener.
El contexto global cambia la escala. Aunque la situación en España invita a la vigilancia, el panorama se transforma al ampliarlo a nivel internacional. Estados Unidos fue el país más afectado en el segundo semestre de 2025, con 3.946 ataques. Le siguió Canadá, con 411, y Alemania, con 296. El peso estadounidense resulta especialmente llamativo: concentró el 51,23% de los ataques registrados en ese período, lo que evidencia una distribución muy desigual de esta actividad delictiva.
Un sector especialmente expuesto. A escala mundial, y siempre según Thales, el sector financiero continúa entre los principales objetivos. Bancos, entidades de pago y empresas de tecnología financiera se enfrentan no solo a campañas de ransomware, sino también a amenazas persistentes procedentes de ciberdelincuentes avanzados, actores patrocinados por Estados y grupos hacktivistas. En 2025, este sector acumuló 533 ataques de ransomware, la cifra más alta entre las industrias analizadas.
El informe también identifica a los grupos más activos. Qilín encabezó la actividad con 60 ataques, seguido de akiracon 29, e Inc Ransom, con 17. A ellos se sumaron dos operaciones surgidas en la segunda mitad del año, The Gentlemen, con 13 ataques, y Sinobi, con 10, que lograron situarse entre los cinco grupos más activos contra el sector financiero.
Consecuencias que van más allá de las cifras. Cuando un ataque de ransomware logra superar las defensas de una organización, el impacto deja de ser estadístico y se vuelve tangible. A nivel internacional, Jaguar Land Rover se vio obligado a paralizar sus fábricas durante más de un mes tras un incidente de este tipo. En España, varios ayuntamientos también han sufrido ataques similares, con interrupciones de servicios y problemas operativos que evidencian hasta qué punto estas amenazas han dejado de ser un riesgo teórico para convertirse en un desafío muy real.
Imágenes | Xataka con Géminis | Tales
En Xataka | Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad
