Thales, líder europeo en soluciones tecnológicas para las industrias de Defensa, Aeroespacial, Ciberseguridad e Identidad Digital, ha publicado su informe semestral de referencia, Threat Landscape Report 2025 – Second semester, el cual analiza la evolución del cibercrimen en la segunda mitad de 2025 y su impacto sobre gobiernos, infraestructuras críticas y sectores económicos clave.
El estudio concluye que las ciberamenazas se han consolidado, amparadas por las tensiones geopolíticas y la sofisticación de las técnicas criminales. En la segunda mitad de 2025, tanto actores paraestatales (con foco en Rusia, China, Irán y Corea del Norte) como grupos criminales organizados incrementaron su actividad y aprovecharon vulnerabilidades críticas con una virulencia sin precedentes.
La principal amenaza global identificada por el equipo de Cyber Threat Intelligence de Thales, desde las sedes de España y Portugal, es el auge y la transformación del ransomware (programas chantajistas). El informe observa una mutación de la táctica: crecen los ataques de “solo extorsión”, en los que se prioriza el robo de información frente al cifrado de sistemas para acelerar plazos, reducir complejidad técnica y maximizar la presión reputacional.
A este escenario se suma un acelerador decisivo: la velocidad. Los atacantes no solo encuentran fallos cada vez más intrincados, sino que reducen los tiempos entre divulgación y explotación. Además, el informe destaca el auge de vulnerabilidades de día cero (zero-day), cuyo uso se ha “profesionalizado” y forma parte de un mercado maduro de capacidades y accesos.
El informe muestra que la presión del cibercrimen tiende a concentrarse en organizaciones con dos rasgos comunes: alta dependencia de la continuidad operativa y exposición elevada a datos sensibles, procesos industriales o servicios esenciales. Por ello, Gobiernos y Administraciones, industria, finanzas, salud, telecomunicaciones y energía aparecen como ámbitos especialmente sensibles: no por ser “culpables”, sino por el impacto que puede tener cualquier interrupción o filtración y por la complejidad de sus ecosistemas digitales y de terceros.
Situación en España
España se ha posicionado como uno de los blancos más atractivos para el cibercrimen en la segunda mitad de 2025. El país registró 85 ataques de ransomware en el semestre y escaló al sexto puesto global; en el conjunto del año, el volumen ascendió a 164.
Los datos apuntan a un entorno multifacético en el que conviven extorsión industrial, activismo político y fraude digital avanzado, elevando el riesgo operativo y reputacional para organizaciones de distintos tamaños.
Junto a la presión del ransomware, el informe refleja un mercado activo de monetización en entornos clandestinos. En el segundo semestre de 2025 se detectaron 248 publicaciones en la dark web relacionadas con España, con un peso destacado de la venta de bases de datos (40,7%) y de la venta de accesos no autorizados (37%), un indicador relevante porque ese “acceso inicial” suele ser el paso previo a ataques de mayor impacto.
Según el informe, la IA también ha madurado hasta transformarse en una herramienta operativa capaz de automatizar la ‘cadena intrusiva’ de un ciberataque, desde la detección instantánea de vulnerabilidades hasta la creación de phishing indistinguibles de la realidad. Por ello, la premisa de la compañía es tajante: no hay despliegue de IA sin ciberseguridad. Solo mediante sistemas inteligentes que detecten patrones anómalos en tiempo real se garantiza que esta tecnología sea un activo seguro y no una vulnerabilidad expuesta.
El hacktivismo también registró un repunte impulsado por narrativas geopolíticas, con campañas pro-rusas orientadas a la disrupción de servicios y a la amplificación mediática, #OpSpain entre ellas.
En paralelo, el fraude digital evoluciona hacia esquemas híbridos y más sofisticados (por ejemplo, campañas que combinan ingeniería social con vectores físicos como códigos QR) y malware bancario móvil que busca credenciales y transacciones, lo que eleva la exposición de usuarios y organizaciones.
Tendencias globales: más volumen, más velocidad y más superficie de ataque
A nivel global, el informe describe un ecosistema criminal más profesional, competitivo y fragmentado. El ransomware no solo crece en volumen, sino que se apoya cada vez más en modelos industrializados (“crime-as-a-service” y “extortion-as-a-service”), con una proliferación de operaciones y marcas que facilita la escalabilidad de las campañas y reduce las barreras de entrada.
La transformación táctica es igualmente relevante: gana terreno la extorsión centrada en datos (solo extorsión), mientras se generalizan técnicas de bajo ruido que dificultan la detección. Entre ellas, el “vivir del terreno” (living-off-the-land), que abusa de herramientas legítimas del propio sistema, y el uso de herramientas de administración remota (RMM) para persistencia y evasión.
El tercer gran vector es la aceleración del ciclo vulnerabilidad-explotación. Con 24.365 nuevas vulnerabilidades en el segundo semestre de 2025 y casos de explotación apenas 24 horas después de su publicación, la defensa se convierte en una carrera contra el tiempo.
En este contexto, Thales insiste en una aproximación proactiva: proteger la identidad digital como nuevo perímetro, priorizar el parcheo por riesgo real y reforzar el control de terceros, especialmente en cadenas de suministro y componentes de software.