La actividad de los grupos de ciberdelincuencia ha experimentado un aumento muy significativo entre los países en el último año, consolidando una tendencia que ya venía acelerándose desde ejercicios anteriores. En 2025 se registraron cerca de 8.000 ataques publicados en la Dark Web, lo que supone un incremento del 42% en los países respecto al año previo.
Este volumen refleja no solo una mayor actividad, sino también una mayor visibilidad de las operaciones criminales, muchas de ellas vinculadas a ransomware.
El ecosistema delictivo digital se ha ampliado de forma notable, pasando de poco más de un centenar de actores activos a más de 160. Este crecimiento evidencia que el acceso a herramientas de ataque es cada vez más sencillo.
Tal y como señala Francisco Valencia, director general de Secure&IT, “la ciberdelincuencia funciona como una industria organizada, con estructuras jerarquizadas y modelos de afiliación que facilitan la entrada de nuevos actores”.
Los grupos criminales más activos del momento en los países
El panorama actual está dominado por organizaciones altamente especializadas que operan bajo modelos empresariales ilícitos.
En 2025, siete grupos concentraron más del 40% de los ataques globales entre países. Entre ellos destaca Qilin, responsable de más de mil incidentes, lo que representa cerca del 13% del total. También figuran Akira y Play, con centenares de ataques cada uno.
Estos grupos funcionan principalmente bajo esquemas de Ransomware-as-a-Service, un modelo que permite a desarrolladores de malware ofrecer sus herramientas a terceros a cambio de una comisión. Según Valencia, “este sistema actúa como una franquicia criminal que multiplica la capacidad de ataque y reduce las barreras técnicas para los afiliados”. Este enfoque ha democratizado el acceso a capacidades ofensivas avanzadas.
Estados Unidos lidera el ranking de países más atacados
El análisis geográfico de los ciberataques revela una clara concentración en determinadas economías. Estados Unidos se mantiene como el principal objetivo entre los países, acumulando más de la mitad de los ataques registrados a nivel mundial, concretamente un 52%. Esta posición responde tanto al tamaño de su tejido empresarial como al valor de los datos que gestionan sus organizaciones.
En segundo lugar entre los países aparece Canadá con un 5% de los incidentes, seguido por Reino Unido y Alemania, ambos con un 4%. Estas cifras reflejan una preferencia por mercados desarrollados donde el potencial de monetización es mayor.
España, por su parte, ocupa la séptima posición mundial con 170 ataques documentados, lo que supone el 2,1% del total global y alrededor del 10% de los incidentes registrados en Europa.
Este dato sitúa al país en una posición relevante dentro del mapa de amenazas. Como advierte Valencia, “España continúa siendo un objetivo recurrente, especialmente por la diversidad de su tejido empresarial y su nivel de digitalización”.
Sectores más vulnerables: servicios, industria y salud
El impacto de la ciberdelincuencia no es homogéneo entre países ni sectores. El ámbito de los servicios encabeza la lista de los más afectados, concentrando el 37% de los ataques. Se trata de un sector amplio que incluye desde consultoras hasta empresas tecnológicas y de gestión, muchas de ellas con grandes volúmenes de datos sensibles.
La industria ocupa la segunda posición con un 23%, reflejando el creciente interés de los atacantes por entornos productivos y cadenas de suministro. La digitalización de fábricas y procesos ha incrementado la superficie de ataque, haciendo que estos entornos sean especialmente atractivos.
El sector sanitario también presenta cifras preocupantes en todos los países, con más de 500 ataques registrados en 2025. La criticidad de sus servicios y la sensibilidad de los datos que manejan convierten a hospitales y centros médicos en objetivos prioritarios.
En este sentido, Valencia señala que “la presión sobre sectores críticos confirma que los atacantes buscan maximizar el impacto para forzar el pago de rescates”.
La evolución hacia ataques más sofisticados y automatizados
El crecimiento de la ciberdelincuencia no solo se mide en volumen, sino también en complejidad. Los grupos actuales utilizan técnicas avanzadas como la doble extorsión, que combina el cifrado de datos con su filtración pública si no se paga el rescate. Algo que se repite entre todos los países. Además, reutilizan códigos filtrados de otras familias de malware para acelerar sus desarrollos.
Otra tendencia destacada es el uso de herramientas legítimas para moverse dentro de los sistemas comprometidos, dificultando su detección. A esto se suma la automatización de campañas masivas, que permite lanzar ataques a gran escala con menor intervención humana en cualquiera de los países.
Según explica Valencia, “los ciberdelincuentes automatizan sus operaciones y migran entre plataformas para mantener su anonimato y garantizar la continuidad de sus actividades”. Esta capacidad de adaptación convierte a estas organizaciones en estructuras altamente resilientes.
España ante un escenario de riesgo creciente
La posición de España en el ranking global refleja un nivel de exposición relevante que obliga a reforzar las estrategias de defensa. La combinación de digitalización, presencia de pymes y dependencia de servicios tecnológicos genera un entorno propicio para los ataques.
Las empresas españolas, especialmente en sectores como servicios e industria, deben asumir que la amenaza es constante y evoluciona rápidamente. La adopción de sistemas de monitorización continua, la formación en ciberseguridad y la implementación de planes de respuesta son elementos clave para reducir riesgos.
El contexto actual muestra que la ciberdelincuencia ya no es un fenómeno aislado, sino un ecosistema estructurado y en expansión que impacta directamente en la economía global.
