· Jonathan Izquierdo · Noticias seguridad ·
Espana escala al 6o puesto mundial en ransomware
164 ataques ransomware en 2025 y 248 publicaciones en la dark web sobre Espana. Analizo el informe Thales, el caso Akira (3 h para cifrar) y que hacer.
164 ataques de ransomware documentados en 2025. Un crecimiento global del 51,5%. Y un dato que deberia quitar el sueno a cualquier responsable de TI: el grupo Akira demostro que puede cifrar una empresa entera en tres horas. Estas son las cifras que arroja el Threat Landscape Report 2025 de Thales, presentado en febrero de 2026, y que situan a Espana como el sexto pais mas atacado del mundo por ransomware en el segundo semestre del ano [1].
No es una posicion que debamos tomarnos a la ligera. Como perito informatico forense que analiza las consecuencias de estos ataques sobre el terreno, puedo confirmar que la velocidad y sofisticacion de los grupos criminales han dado un salto cualitativo. En este articulo desgloso los datos clave del informe, explico por que Espana se ha convertido en objetivo prioritario y detallo que debe hacer una empresa desde el minuto cero si sufre un ataque.
TL;DR: lo esencial en 60 segundos
| Dato clave | Cifra |
|---|---|
| Ataques ransomware en Espana (2025) | 164 (79 en H1, 85 en H2) |
| Posicion mundial (H2 2025) | 6o pais mas atacado |
| Crecimiento global ransomware | +51,5% interanual |
| Incidentes globales | 7.701 en 2025 |
| Grupos activos | 63 (vs. 19 en 2022) |
| Publicaciones dark web sobre Espana | 248 en H2 2025 |
| Tiempo minimo de cifrado documentado | 3 horas (Akira, Barracuda) |
| Coste medio ataque PYME | 75.000 euros |
Espana en el mapa del ransomware: los datos de Thales
El equipo de Cyber Threat Intelligence (CTI) de Thales monitoriza la actividad de ransomware a traves de ocho Security Operations Centers (SOC) distribuidos globalmente. Su informe semestral del segundo semestre de 2025 recoge 7.701 incidentes de ransomware a escala mundial, lo que supone un incremento del 51,5% respecto al mismo periodo de 2024 [1][2].
Espana registro 85 ataques en el segundo semestre, suficientes para escalar hasta la sexta posicion mundial. En el conjunto del ano, la cifra asciende a 164 incidentes, con una distribucion equilibrada: 79 en la primera mitad y 85 en la segunda [3].
Ranking de paises mas atacados por ransomware (H2 2025)
| Posicion | Pais | Ataques H2 2025 | % del total global |
|---|---|---|---|
| 1 | Estados Unidos | 3.946 | 51,23% |
| 2 | Canada | 411 | 5,33% |
| 3 | Alemania | 296 | 3,84% |
| 4 | Reino Unido | ~250 | ~3,2% |
| 5 | Francia | ~200 | ~2,6% |
| 6 | Espana | 85 | ~1,1% |
Fuente: Thales Threat Landscape Report H2 2025 [1][3]. Las posiciones 4 y 5 son estimaciones basadas en datos parciales disponibles de Check Point Research y Thales.
Que Espana aparezca en esta tabla junto a las principales economias del mundo no es casual. Refleja un ecosistema donde la transformacion digital ha avanzado mas rapido que la inversion en ciberseguridad, especialmente en el tejido de PYMEs que constituye el 99% del sector empresarial espanol.
Los grupos mas activos contra Espana
Thales identifica a estos grupos como los mas agresivos durante el segundo semestre de 2025 [4][5]:
| Grupo | Ataques globales H2 | Modelo | Caracteristica principal |
|---|---|---|---|
| Qilin | 60 | RaaS | Altamente activo, ataco Melilla |
| Akira | 29 | RaaS | Velocidad extrema (3 h cifrado) |
| Inc Ransom | 17 | RaaS | Foco en sector industrial |
| Cl0p | Variable | Extorsion sin cifrado | Especializado en exfiltracion masiva |
| The Gentlemen | 13 | RaaS (nuevo H2) | Grupo emergente |
La proliferacion de operadores es alarmante: se ha pasado de 19 grupos activos en 2022 a 63 organizaciones especializadas en 2025 [4]. El modelo de Ransomware-as-a-Service ha democratizado el cibercrimen, permitiendo que afiliados sin conocimientos tecnicos profundos ejecuten ataques devastadores a cambio de un porcentaje del rescate.
El dato que asusta: 3 horas para cifrar una empresa
Si los datos de Thales retratan el problema a escala macro, el informe de Barracuda Networks de 2025 pone el microscopio sobre lo que ocurre dentro de una red atacada. Basandose en el analisis de mas de 2 billones de eventos IT, 600.000 alertas de seguridad y 300.000 activos protegidos a traves de su servicio Managed XDR, Barracuda documento un caso de Akira donde el tiempo desde la intrusion inicial hasta el cifrado completo fue de solo tres horas [6].
Tres horas. Menos que una reunion de presupuestos.
Como se desarrollo el ataque Akira documentado
Acceso inicial via firewall vulnerable (minuto 0)
El atacante exploto una vulnerabilidad conocida en el firewall perimetral. Segun Barracuda, el 90% de los incidentes de ransomware en 2025 explotaron fallos en firewalls, ya fuera mediante CVEs sin parchear o cuentas con controles de acceso deficientes [6].
Movimiento lateral (minutos 15-45)
Una vez dentro, el atacante utilizo herramientas legitimas de administracion remota (living-off-the-land) para moverse por la red. Localizo cuentas dormientes — empleados que ya no estaban en la empresa pero cuyos accesos seguian activos — y escalo privilegios.
Desactivacion de defensas (hora 1-2)
El atacante desactivo el endpoint security en servidores no protegidos y desabilito las alertas de los sistemas de monitorizacion. En el 96% de los casos donde Barracuda detecto movimiento lateral, el ataque termino en despliegue de ransomware [6].
Exfiltracion de datos (hora 2-2,5)
Antes de cifrar, el grupo extrajo datos sensibles como palanca adicional de extorsion. Esta tactica de “doble extorsion” se ha convertido en la norma: si no pagas por el descifrado, publican tus datos.
Cifrado masivo (hora 2,5-3)
Despliegue simultaneo del ransomware Akira en todos los sistemas comprometidos. Servidores de ficheros, bases de datos, backups locales: todo cifrado en menos de 30 minutos.
El hallazgo mas preocupante de Barracuda es que el 66% de los incidentes de 2025 involucraron compromisos de cadena de suministro o terceros, frente al 45% de 2024 [6]. Esto significa que tu empresa puede ser atacada a traves de un proveedor, un software de gestion o un servicio cloud que uses sin ni siquiera saberlo.
248 publicaciones en la dark web: el mercado negro de datos espanoles
Mas alla de los ataques directos, el informe de Thales revelo otro dato inquietante: durante el segundo semestre de 2025 se detectaron 248 publicaciones en la dark web directamente relacionadas con organizaciones espanolas [2][3].
Tipos de datos vendidos sobre empresas espanolas
| Tipo de publicacion | Porcentaje | Descripcion |
|---|---|---|
| Bases de datos completas | 40,7% | Registros de clientes, empleados, proveedores con datos personales, financieros y de contacto |
| Accesos no autorizados | 37,0% | Credenciales VPN, RDP, paneles de administracion, accesos a servidores internos |
| Otros (documentos, codigo fuente) | 22,3% | Documentacion interna, propiedad intelectual, codigo de aplicaciones |
El dato sobre los accesos no autorizados es particularmente critico. Cuando un ciberdelincuente vende un acceso a la red interna de una empresa en un foro de la dark web, ese acceso se convierte en el vector de entrada para un ataque de ransomware posterior. Es el equivalente digital de vender una copia de las llaves de una oficina: el comprador decide cuando y como entra.
Este modelo de Initial Access Broker (IAB) ha creado una cadena de suministro criminal donde unos se especializan en obtener accesos y otros en monetizarlos mediante ransomware. El precio de un acceso VPN corporativo de una empresa espanola puede oscilar entre 500 y 5.000 euros en estos mercados, dependiendo del tamano de la organizacion y el nivel de privilegios [3][7].
Por que Espana es objetivo prioritario
La escalada de Espana en el ranking mundial del ransomware no es aleatoria. Existen factores estructurales que explican esta vulnerabilidad:
1. Tejido empresarial dominado por PYMEs poco protegidas
El 99% del tejido empresarial espanol esta formado por PYMEs, y los datos son contundentes: el 31% de las PYMEs espanolas ha sufrido un ataque de ransomware en el ultimo ano [8]. Casi el 60% ha experimentado algun tipo de ciberataque, y mas del 70% de los ciberataques totales se dirigen precisamente a pequenas y medianas empresas [9].
El coste medio de un ataque para una PYME puede alcanzar los 75.000 euros, y un alarmante 60% de las que sufren un incidente grave cierran en los seis meses siguientes [9]. Muchas carecen de departamento de TI dedicado, no tienen copias de seguridad offline y consideran que “son demasiado pequenas para ser objetivo”.
2. Transformacion digital acelerada, seguridad rezagada
La pandemia impulso una digitalizacion rapida que no fue acompanada de una inversion proporcional en ciberseguridad. Teletrabajo, servicios cloud, aplicaciones SaaS, accesos remotos: todo se desplego en meses, pero la formacion de empleados, la segmentacion de redes y el parcheo de vulnerabilidades quedaron pendientes.
El informe de Thales apunta que se identificaron 24.365 nuevas vulnerabilidades en el segundo semestre de 2025, y que los atacantes comenzaron a explotarlas en apenas 24 horas tras su publicacion [2][3]. Con un parque tecnologico donde conviven sistemas legacy con soluciones modernas, muchas empresas espanolas no pueden parchear a esa velocidad.
3. El idioma como vector de ataque transversal
Espana comparte idioma con mas de 500 millones de hispanohablantes. Los grupos criminales que operan campanas de phishing y ingenieria social en espanol pueden reutilizar sus plantillas, dominios falsos y scripts de atencion al cliente fraudulenta tanto en Espana como en toda Latinoamerica. El retorno de inversion de una campana en espanol es, por tanto, significativamente mayor que en otros idiomas minoritarios.
4. Tres ciberataques graves al dia
Segun NTT DATA, Espana registro 605 incidentes significativos en el segundo semestre de 2025, lo que equivale a una media de tres ciberataques graves al dia [10]. La industria manufacturera espanola se ha convertido en objetivo prioritario, con intrusiones especificas contra sistemas OT (Operational Technology) que automatizan y monitorizan operaciones.
5. Contexto geopolitico
Thales destaca que las “tensiones geopoliticas, la evolucion de las herramientas de ransomware, la explotacion mas rapida de vulnerabilidades y la interconexion de amenazas entre sectores” son factores que explican el crecimiento global, y que afectan a Espana como miembro de la OTAN y la UE [1][3].
Los sectores mas atacados
El informe de Thales ofrece un desglose sectorial que, aunque es global, se refleja en el patron de ataques que observo en mi practica como perito forense:
| Sector | Ataques globales 2025 | % del total | Situacion en Espana |
|---|---|---|---|
| Industria/Manufactura | 2.801 | 36,37% | Objetivo prioritario segun NTT DATA. Ataques a sistemas OT [10] |
| Consultoria | 948 | 12,31% | Riesgo alto por acceso a datos de multiples clientes |
| Servicios | 620 | 8,05% | Incluye servicios profesionales, juridicos, TI |
| Sector financiero | 533 | 6,92% | Banca, fintech, aseguradoras. +26,9% en Espana [11] |
| Sanidad | En aumento | Variable | 60% hospitales espanoles sufrieron intentos en 2025 [11] |
| Sector publico | En aumento | Variable | Caso Melilla (Qilin): 4-5 TB exfiltrados [11] |
En Espana, el caso del Ayuntamiento de Melilla es especialmente ilustrativo. El grupo Qilin se atribuyo la responsabilidad, afirmando haber exfiltrado entre 4 y 5 terabytes de datos, incluyendo informacion personal de practicamente todos los residentes [11]. Tambien se registraron ataques contra el Ayuntamiento de Villajoyosa (Alicante) y multiples entidades sanitarias.
Como actua el ransomware moderno: la cadena de ataque
Para entender por que la velocidad de tres horas es posible, hay que comprender la cadena de ataque moderna. Ya no hablamos del ransomware de 2017 que se propagaba indiscriminadamente. Los grupos actuales operan como empresas, con departamentos especializados:
Reconocimiento (dias/semanas antes)
Los atacantes escanean rangos IP, buscan vulnerabilidades en firewalls, VPNs y servicios expuestos. Monitorizan filtraciones de credenciales en la dark web. Compran accesos iniciales a Initial Access Brokers.
Acceso inicial
Explotan una vulnerabilidad (90% via firewall segun Barracuda [6]), utilizan credenciales robadas, o comprometen a un tercero de la cadena de suministro (66% de los casos en 2025 [6]).
Persistencia y escalada de privilegios
Instalan backdoors, crean cuentas de administrador, desactivan logs. Utilizan herramientas legitimas del sistema (PowerShell, WMI, RDP) para evitar deteccion — tecnica conocida como living-off-the-land.
Movimiento lateral
Mapean la red interna, identifican servidores criticos, localizan los backups. Se mueven silenciosamente hasta tener acceso a la mayor superficie posible.
Exfiltracion de datos
Extraen los datos mas valiosos: propiedad intelectual, datos de clientes, informacion financiera, contratos. Estos datos serviran como palanca de doble extorsion.
Despliegue del ransomware
Desactivan las soluciones de seguridad (EDR, antivirus) y lanzan el cifrado simultaneo en todos los sistemas. En el caso mas rapido documentado, esta fase duro menos de 30 minutos [6].
Extorsion
Nota de rescate con temporizador. Si no pagas, publican tus datos en un leak site. Si pagas, quiza recuperes parte de los datos. Solo el 57% de las empresas que pagan rescate recuperan mas de la mitad de su informacion [12].
La tendencia mas preocupante que destaca Thales es el auge de los ataques de “solo extorsion” (extortion-only), donde los grupos directamente exfiltran datos sin molestarse en cifrar. Es mas rapido, mas dificil de detectar y el impacto reputacional es igual de devastador [2].
Que hacer en las primeras 3 horas de un ataque
Si el ransomware puede cifrar en tres horas, tu capacidad de respuesta debe ser aun mas rapida. Este es el protocolo que recomiendo basandome en mi experiencia como perito forense y en las mejores practicas de INCIBE y CCN-CERT. He desarrollado una guia completa para las primeras horas de un ciberataque, pero aqui resumo las acciones criticas:
Minuto 0-15: Contener sin destruir
Aisla los sistemas afectados de la red (desconecta el cable, no apagues). No reinicies los equipos: la memoria RAM contiene evidencias criticas sobre el tipo de ransomware, las claves de cifrado y el vector de entrada. Documenta todo con capturas de pantalla y fotografias de las pantallas.
Minuto 15-60: Evaluar el alcance
Determina cuantos sistemas estan comprometidos. Revisa si los backups estan intactos (los atacantes los cifran en el 94% de los casos). Identifica el tipo de ransomware por la nota de rescate y la extension de los archivos cifrados. Consulta NoMoreRansom.org para ver si existe descifrador gratuito.
Hora 1-3: Activar el equipo de respuesta
Contacta con tu seguro de ciberriesgo, tu proveedor de respuesta a incidentes y un perito informatico forense. Prepara la notificacion a la AEPD (tienes 72 horas desde que tengas constancia de la brecha). Presenta denuncia ante la Guardia Civil o Policia Nacional.
Error critico que veo en casi todos los casos
El error mas frecuente es formatear los equipos afectados antes de que un perito los analice. Una vez formateados, se pierde la cadena de custodia digital, las evidencias del vector de entrada y la posibilidad de reclamar al seguro. He visto polizas de ciberriesgo denegadas por este motivo.
El papel del perito informatico forense
Cuando una empresa sufre un ataque de ransomware, necesita tres cosas: contener el dano, recuperar la operatividad y documentar lo ocurrido. El perito informatico forense interviene en las tres fases, pero su papel es especialmente critico en la tercera.
Que aporta el analisis forense post-ransomware
Determinacion del vector de entrada: identificar como accedieron los atacantes (vulnerabilidad explotada, credenciales comprometidas, phishing, cadena de suministro) es esencial para cerrar la brecha y evitar reinfecciones.
Cronologia del ataque (timeline): reconstruir la secuencia completa de acciones del atacante, desde el primer acceso hasta el cifrado, utilizando logs, artefactos de sistema y analisis de memoria.
Cuantificacion del dano: determinar que datos fueron exfiltrados, cuantos sistemas se vieron afectados y cual es el impacto real sobre la organizacion.
Informe pericial para el seguro: las polizas de ciberriesgo requieren un informe pericial que documente el incidente con rigor forense. Sin este informe, muchas aseguradoras rechazan o reducen la indemnizacion.
Informe pericial para la denuncia: el informe sirve como prueba tecnica ante la Guardia Civil, Policia Nacional o en un procedimiento judicial posterior.
Preservacion de la cadena de custodia: garantizar que las evidencias digitales se recogen, preservan y documentan de forma que sean admisibles en un procedimiento judicial.
Si tu empresa ha sufrido un ataque o quieres prepararte ante esta amenaza, puedo ayudarte. Ofrezco analisis forense digital post-incidente y asesoria preventiva para empresas.
Marco legal: obligaciones ante un ataque de ransomware en Espana
Un ataque de ransomware no es solo un problema tecnico. Desencadena una serie de obligaciones legales que, si se incumplen, pueden acarrear sanciones anadidas al dano ya sufrido.
RGPD: notificacion obligatoria en 72 horas
El articulo 33 del Reglamento General de Proteccion de Datos (RGPD) obliga a notificar cualquier violacion de seguridad que afecte a datos personales a la Agencia Espanola de Proteccion de Datos (AEPD) en un plazo maximo de 72 horas desde que se tenga constancia [13]. Si la brecha supone un alto riesgo para los derechos de los afectados, tambien hay que comunicarselo directamente a estos (articulo 34 RGPD).
Directiva NIS2: obligaciones para operadores esenciales
La Directiva NIS2, que Espana esta transponiendo al ordenamiento nacional, amplia las obligaciones de ciberseguridad y notificacion de incidentes a un espectro mucho mayor de sectores: energia, transporte, banca, sanidad, agua, infraestructuras digitales, administracion publica, alimentacion, fabricacion y correos. Las sanciones pueden alcanzar los 10 millones de euros o el 2% de la facturacion global [14].
Codigo Penal: articulos aplicables
| Articulo | Conducta tipificada | Pena |
|---|---|---|
| Art. 264 CP | Danos informaticos (cifrado de datos ajenos) | 6 meses a 3 anos de prision |
| Art. 264 bis CP | Obstaculizacion del funcionamiento de sistemas | 6 meses a 3 anos |
| Art. 197 CP | Descubrimiento y revelacion de secretos | 1 a 4 anos |
| Art. 197 bis CP | Acceso no autorizado a sistemas informaticos | 6 meses a 2 anos |
| Art. 301 CP | Blanqueo de capitales (pago de rescate en cripto) | 6 meses a 6 anos |
INCIBE: el volumen de ciberincidentes en Espana
Para contextualizar estos 164 ataques de ransomware dentro del panorama general de ciberseguridad espanol: INCIBE gestiono 122.223 ciberincidentes en 2025, un 26% mas que el ano anterior [15]. De ellos, 55.411 fueron casos de malware y 25.133 de phishing. En el ambito de operadores esenciales e importantes, INCIBE gestiono 401 incidentes, siendo la banca (34%), el transporte (14%) y la energia (8%) los sectores mas afectados [15].
Preguntas frecuentes
Si pago el rescate, recuperare mis datos?
Las estadisticas dicen que no. Segun el informe Veeam Ransomware Trends 2025, solo el 57% de las empresas que pagaron recuperaron menos de la mitad de sus datos, y unicamente el 10% recupero mas del 90% de su informacion [12]. Ademas, pagar financia a los criminales y te convierte en objetivo repetido: los grupos comparten listas de “buenos pagadores”.
Mi empresa es pequena. Realmente soy objetivo?
Si. El 70% de los ciberataques se dirigen a PYMEs precisamente porque tienen menos defensas [9]. Los grupos de ransomware utilizan escaneos automatizados que no distinguen entre una empresa de 10 empleados y una de 10.000. Si tu firewall tiene una vulnerabilidad conocida, la encontraran.
Cuanto cuesta un perito informatico forense tras un ransomware?
El coste de un analisis forense post-ransomware depende del numero de sistemas afectados, la complejidad del ataque y la urgencia. Para una PYME tipica, el rango se situa entre 2.000 y 8.000 euros, incluyendo el informe pericial. Comparado con el coste medio de 75.000 euros que supone un ataque [9], o con la denegacion de una poliza de ciberriesgo por falta de documentacion forense, es una inversion que se justifica sola.
Tengo obligacion legal de denunciar un ataque de ransomware?
Si el ataque afecta a datos personales, estas obligado a notificar a la AEPD en 72 horas (art. 33 RGPD) [13]. Ademas, como ciudadano o empresa tienes la posibilidad de denunciar ante la Guardia Civil (Grupo de Delitos Telematicos) o la Policia Nacional (Brigada Central de Investigacion Tecnologica). Si eres un operador esencial bajo NIS2, la notificacion al CSIRT de referencia es obligatoria.
Que diferencia hay entre los 164 ataques de Thales y los 122.223 incidentes de INCIBE?
Los 164 ataques que reporta Thales son exclusivamente incidentes de ransomware documentados a traves de sus fuentes de inteligencia. Los 122.223 de INCIBE engloban todos los tipos de ciberincidentes: malware, phishing, fraude, vulnerabilidades, etc. [15]. El ransomware es el mas danino por incidente, pero no el mas frecuente.
Referencias y fuentes
Thales. Threat Landscape Report 2025 - Second Semester. Febrero 2026. Enlace al informe.
IT User. “El ransomware mundial crece un 51,5% y Espana se situa como sexto pais mas afectado”. 20 febrero 2026. ituser.es.
Estrella Digital. “El secuestro digital de datos se dispara en 2025 y situa a Espana entre los mas afectados”. 18 febrero 2026. estrelladigital.es.
DirectorTIC. “Espana, sexto pais mas atacado del mundo por los cibercriminales segun Thales”. 23 febrero 2026. directortic.es.
Xataka. “Ahora se entiende por que se habla tanto de ciberataques: el ransomware se ha disparado en Espana y los datos lo confirman”. Febrero 2026. xataka.com.
Barracuda Networks. “90% of Ransomware Incidents Exploit Firewalls”. 2026. barracuda.com.
Data Center Market. “Espana entra en el top 6 mundial del ransomware”. Febrero 2026. datacentermarket.es.
TodoStartups. “El desafio persistente de las pymes espanolas: el 31% han sufrido ciberataques de ransomware en este ultimo ano”. 2025. todostartups.com.
El Derecho. “Los ciberataques en Espana crecen un 35% en 2025 y superan los 45.000 diarios”. 2025. elderecho.com.
NTT DATA. “Espana sufre tres ciberataques graves al dia, industria en peligro”. 16 febrero 2026. es.nttdata.com.
CCN-CERT / CISO.es / Infodefensa. Datos compilados de multiples fuentes sectoriales. ccn-cert.cni.es, ciso.es, infodefensa.com.
Veeam. Ransomware Trends Report 2025. Abril 2025. Referenciado en nuestro analisis detallado.
AEPD. “Notificacion de brechas de datos personales (art. 33 RGPD)”. aepd.es.
BOE / Directiva (UE) 2022/2555 (NIS2). Referenciado en nuestro articulo sobre NIS2 en Espana.
INCIBE. “INCIBE detecto mas de 122.000 incidentes de ciberseguridad en 2025”. Febrero 2026. incibe.es.
Necesitas ayuda tras un ataque de ransomware?
Si tu empresa ha sufrido un ataque de ransomware o quieres estar preparado antes de que ocurra, puedo ayudarte. Como perito informatico forense especializado en respuesta a incidentes, ofrezco:
- Analisis forense post-ataque: identificacion del vector de entrada, cronologia completa, cuantificacion del dano.
- Informe pericial para tu aseguradora, para la denuncia ante Fuerzas y Cuerpos de Seguridad del Estado, o para procedimientos judiciales.
- Asesoria preventiva: evaluacion de tu postura de seguridad y recomendaciones practicas para reducir el riesgo.
