Thales, multinacional tecnológica especializada en ciberseguridad, pone de relieve en su informe “Threat Landscape Report 2025”, en el que se hace referencia a los datos del segundo semestre del año, el constante aumento de la superficie de ataque. Así, según el estudio, la segunda mitad de 2025 cerró con un aumento sostenido de ataques de ransomware (un 51,5 %) y un incremento interanual del 18 % en el número de vulnerabilidades reportadas, lo que confirma una clara aceleración del uso de inteligencia artificial por parte de los atacantes. Por un lado, los fabricantes intensifican la detección de fallos y por otro los atacantes buscan activamente nuevas brechas para explotarlas antes de que se apliquen los parches. Y es que la inteligencia artificial juega un papel clave en esta aceleración: facilita la automatización del reconocimiento, la explotación y el desarrollo de nuevas variantes de malware, rebajando el nivel técnico necesario para ejecutar ataques complejos.
El ransomware continúa siendo la principal amenaza. Desde 2022 el número de grupos activos ha pasado de 19 a 63 organizaciones altamente operativas en 2025. Entre los más activos se encuentran Qilin, Akira y Clop, señalan Miguel López, manager CTI de Thales y Lourdes Mora, team leader del equipo de ciberinteligencia de la compañía, permitiendo el modelo “ransomware as a service” que los desarrolladores alquilen su infraestructura a afiliados que ejecutan los ataques, a cambio de un porcentaje del rescate. Este esquema ha profesionalizado el delito y multiplicado su alcance. Y, aunque Estados Unidos sigue siendo el país más afectado por volumen absoluto de ataques, España se sitúa en sexta posición mundial en cuanto a ramsonware se refiere. Solo en el segundo semestre de 2025 se registraron 85 ataques de este tipo en territorio español. En el ámbito nacional, además, el fraude digital y las campañas de smishing mantienen una elevada actividad. Y las detenciones de redes organizadas dedicadas al fraude son recurrentes, lo que confirma una presencia significativa de cibercriminalidad en el país, en comparación con otros entornos europeos.
El informe también detecta una evolución del uso creciente de técnicas conocidas como “living off the land”. Los atacantes emplean herramientas legítimas del propio sistema o software de acceso remoto, autorizado para mantener persistencia y moverse lateralmente sin activar alarmas tradicionales. También se mantiene la actividad de malware ya conocido, como troyanos bancarios especialmente activos en España y Portugal, y campañas basadas en falsas actualizaciones de software. Sin embargo, el uso de infostealers muestra una ligera caída tras diversas operaciones policiales internacionales.
Además, la ingeniería social se ha sofisticado, detectándose campañas dirigidas a profesionales técnicos, especialmente en sectores aeronáutico y de defensa, mediante falsas ofertas de empleo distribuidas por plataformas como LinkedIn, que incluyen pruebas técnicas o documentos adjuntos maliciosos para obtener acceso inicial a redes corporativas.
Sectores críticos
Por otro lado, el patrón sectorial de los ataques refleja una adaptación estratégica por parte de los ciberdelincuentes. El sector industrial se consolida como el principal objetivo del ransomware a nivel global. La paralización de plantas de producción genera pérdidas económicas inmediatas, lo que incrementa la probabilidad de pago del rescate. Consultoría y servicios profesionales también concentran ataques por su efecto multiplicador sobre clientes.
En el sector financiero, aunque el ransomware no es dominante, persisten los troyanos bancarios, el phishing y el robo de credenciales con fines económicos directos. Además, reaparecen ataques físicos a cajeros automáticos en algunas regiones de Latinoamérica, combinando técnicas digitales y acceso presencial. Por su parte, el sector energético continúa bajo presión tanto de grupos criminales como de actores patrocinados por Estados, dada su relevancia estratégica y su potencial desestabilizador. En paralelo, el hacktivismo mantiene campañas de denegación de servicio y filtraciones amplificadas mediáticamente.
En defensa y aeronáutica se observa un repunte del ciberespionaje. Países como Estados Unidos, Tailandia, Polonia y Brasil figuran entre los más afectados. Los ataques buscan información técnica sensible, incluidos sistemas aeronáuticos y tecnologías relacionadas con drones.
El sector sanitario vuelve a registrar ataques de ransomware tras la tregua informal observada durante la pandemia. Aunque el foco se centra en empresas de investigación e innovación, también se han visto afectados hospitales, con el consiguiente riesgo operativo.
Telecomunicaciones y transporte reflejan una convergencia entre ciberdelito y criminalidad organizada tradicional. En transporte, el acceso remoto no autorizado a sistemas logísticos ha permitido planificar robos físicos de mercancías, combinando intrusión digital y delito convencional.
Thales España
La compañía, con 83.000 empleados en 68 países, invierte anualmente 4.000 millones de euros en I+D y registró más de 20.000 millones de euros en ventas en el último ejercicio. Para 2026 prevé incorporar 9.000 nuevos profesionales en todo el mundo, de los cuales 350 estarán en Iberia. En España emplea actualmente a 1.300 personas y cuenta con cuatro centros de competencia: sistemas biométricos, espacio, ciberseguridad y personalización de tarjetas.
Desde Madrid se coordina la ciberinteligencia global, apoyada por un SOC local, otro en Portugal y ocho centros adicionales interconectados internacionalmente, que prestan servicio 24/7 a gobiernos y organismos públicos en más de 100 países.
