Según el último informe ENISA Threat Landscape 2025, la Administración pública se ha consolidado como el sector más afectado por los ciberataques en la Unión Europea, representando el 38,5 % de los incidentes registrados en el continente. Estos ataques se suman a los dirigidos a sectores esenciales como transporte, infraestructuras digitales, servicios financieros y manufactura, que en conjunto representan más de la mitad (53,7 %) de los incidentes totales.
El informe destaca que los ataques de denegación de servicio distribuidos (DDoS) de bajo impacto fueron los más frecuentes contra organismos públicos, representando un 94,8 % de los incidentes, aunque solo un 2 % llegó a provocar interrupciones de servicio. Los ataques de ransomware, aunque menos numerosos, fueron especialmente dañinos para ayuntamientos y entidades locales, generando impactos más graves en la continuidad de los servicios.
El sector transporte fue el segundo más afectado, con un 7,5 % de los incidentes, centrados principalmente en el transporte aéreo y la logística, mientras que la infraestructura digital y los proveedores de servicios digitales, aunque representando solo el 2,2 % de los ataques, siguen siendo objetivos estratégicos de alto valor por su papel como plataformas desde las que se lanzan ataques posteriores.
El phishing se mantuvo como la vía de acceso más común, con un 60 % de los incidentes utilizando técnicas como malspam, vishing o malvertising. La explotación de vulnerabilidades representó otro 21,3 % de los casos, con un 68% de ellos derivando en la instalación de malware.
El informe también resalta la actividad de actores alineados con Estados, con grupos como APT28, APT29 y Sandworm destacando por atacar Administraciones públicas, defensa y telecomunicaciones. Las operaciones de manipulación de información, especialmente el conjunto conocido como Matryoshka, se centraron en influir en audiencias europeas, mientras que el grupo NoName057(16) lideró los ataques DDoS, vinculados a eventos geopolíticos y elecciones nacionales.
A pesar de una reducción del 11% respecto al informe anterior, el ransomware continúa siendo la amenaza más impactante, mientras que los corredores de acceso inicial (Initial Access Brokers) siguen ofreciendo acceso a sistemas mediante VPN y RDP de bajo coste y alto volumen.
El informe de ENISA subraya además que los operadores estatales y cibercriminales están aprovechando cada vez más la inteligencia artificial para optimizar la efectividad de sus ataques, incluyendo dispositivos móviles y sistemas expuestos a Internet, así como infraestructuras críticas de tecnología operativa (OT).
