- España se consolida como el segundo país con más ciberataques detectados, especialmente de ransomware, en la primera mitad de 2025.
- El phishing lidera el ranking de amenazas, seguido por la rápida expansión de técnicas como ClickFix y el auge de los infostealers.
- Los ataques afectan especialmente a pymes y administraciones, con incidentes recientes en organismos municipales y empresas.
- Las amenazas evolucionan en dispositivos móviles y mediante nuevas técnicas de ingeniería social y estafas con criptomonedas.
España ha escalado posiciones hasta convertirse en uno de los países más afectados por ciberataques en 2025, situándose en el segundo puesto a nivel mundial, solo por detrás de Japón. Los datos del informe ESET Threat Report H1 2025 recogen que durante el primer semestre del año se han registrado más de 5.100 incidentes de ransomware a nivel global, con una pérdida económica superior a los 813 millones de dólares y la participación de 96 grupos criminales activos.
Ante la creciente actividad delictiva digital, las amenazas han evolucionado en número y sofisticación. España se ha visto especialmente afectada por ataques dirigidos a pequeñas y medianas empresas, administraciones públicas y el sector industrial, evidenciando la urgencia de consolidar estrategias de ciberprotección.
El phishing y las nuevas técnicas de engaño, protagonistas del semestre
El phishing se mantiene como la amenaza más frecuente para usuarios y empresas españolas. Según el informe, esta técnica representa aproximadamente el 20% de todas las detecciones registradas en el periodo analizado. La estacionalidad de los ciberataques influye en los picos de actividad, que suelen coincidir con campañas destacadas como las navideñas, mientras que en festivos y vacaciones la actividad maliciosa disminuye debido a la menor exposición de los sistemas informáticos.
El incremento de técnicas de ingeniería social como ClickFix ha sido una de las revelaciones de 2025. Este método, que utiliza mensajes de error y CAPTCHA falsos para engañar a los usuarios y hacer que ejecuten comandos maliciosos sin darse cuenta, ha crecido un 517 % en apenas seis meses. Actualmente, supone el segundo vector de ataque en España, solo superado por el phishing. ClickFix afecta por igual a sistemas Windows, macOS y Linux, y ha sido explotado tanto por bandas de cibercrimen organizado como por grupos APT vinculados a estados, incluyendo amenazas de origen norcoreano.
Ransomware: impacto en empresas, organismos y servicios públicos
En los últimos meses, varias entidades y servicios públicos españoles han sido víctimas de ataques de ransomware, quedando temporalmente inoperativos y poniendo en jaque tanto la continuidad operativa como la seguridad de datos sensibles. Es el caso del Ayuntamiento de Villajoyosa, en Alicante, y de la administración de Melilla, donde los sistemas informáticos municipales fueron neutralizados y cientos de ordenadores resultaron infectados. Estos ataques siguen el patrón clásico: tras la infección, los ciberdelincuentes exigen un rescate económico a cambio de la liberación de la información cifrada. Muchas instituciones optan por no pagar, en línea con estudios que demuestran que abonar el rescate suele incrementar el riesgo de futuros ataques.
Además del sector público, el tejido empresarial también ha sido golpeado. Un ejemplo claro fue el ataque sufrido por Hero España, que obligó a la compañía a apagar de forma controlada sus sistemas para frenar la propagación de la amenaza y preservar la integridad de la información corporativa. La incidencia en la factoría de Murcia interrumpió la actividad productiva y logística, y activó un protocolo de emergencia con participación de expertos internos y externos en ciberseguridad. Estos casos destacan la importancia de contar con planes de contingencia y respuesta a incidentes actualizados y efectivos.
Infostealers y vulnerabilidades, otra puerta de entrada al delito
Los infostealers, o ladrones de datos, han consolidado su presencia entre las amenazas más activas. Tras la disminución de Agent Tesla, el malware SnakeStealer se ha convertido en el más detectado en España por los sistemas de ESET, situando al país como el tercer más afectado, solo por detrás de Turquía y Japón. Este software malicioso puede registrar pulsaciones de teclas, robar credenciales, datos del portapapeles y capturas de pantalla. Se distribuye principalmente a través de campañas de correo electrónico suplantando a organismos oficiales y empresas reconocidas.
El informe también subraya la persistencia de vulnerabilidades antiguas, especialmente en sistemas Microsoft Office. Muchas organizaciones siguen sin aplicar los parches de seguridad necesarios, lo que continúa brindando oportunidades de explotación a los ciberdelincuentes. Por ello, la gestión proactiva de actualizaciones y la concienciación de empleados son esenciales para reforzar la seguridad.
Evolución de los grupos criminales y nuevas tendencias en el malware
En la primera mitad de 2025, el número de ataques de ransomware aumentó un 15% a nivel mundial, aunque la cantidad de rescates pagados cayó un 35 %. El liderazgo en la escena criminal ha cambiado, con grupos como RansomHub y DragonForce tomando el relevo de LockBit y BlackCat tras su desarticulación por las autoridades.
El sector móvil vive un auge de amenazas, con un aumento del 160 % en detecciones de adware en dispositivos Android. Esto es resultado de campañas de distribución de aplicaciones fraudulentas que suplantan otros programas populares. Además, se detecta un aumento en estafas que explotan la tecnología NFC y promueven inversiones falsas en criptomonedas, aprovechando la imagen de rostros conocidos para captar víctimas. España se encuentra entre los cinco países con mayor volumen de troyanos bancarios en Android, lo que evidencia la necesidad de reforzar la seguridad en el entorno móvil.
La expansión constante de la ciberdelincuencia en España requiere adoptar medidas de protección cada vez más robustas en todos los ámbitos. El avance de los ataques de ransomware, el protagonismo de técnicas como ClickFix y SnakeStealer, y el crecimiento del malware móvil, marcan el escenario actual. Solo a través de la actualización de sistemas, la formación continua, la colaboración público-privada y la inversión en soluciones avanzadas de ciberseguridad se podrá hacer frente a este fenómeno, que seguirá en aumento durante el año.
