España aparece cada vez con más frecuencia en las estadísticas internacionales del ransomware. El último Threat Landscape Report 2025 (segundo semestre), elaborado por Thales, refleja un repunte sostenido de este tipo de ataques y sitúa a España como uno de los países con mayor presión en la segunda mitad de 2025. En cifras: 85 ataques entre julio y diciembre, que elevan el total anual a 164 incidentes. En el mismo periodo, el ransomware registró 7.701 ataques a nivel global en 2025, un 51,5 % más que en 2024, según el recuento que recoge el análisis semestral de la compañía.
El dato no es solo un número para informes. Para empresas y administraciones, el ransomware sigue siendo una amenaza “de negocio”: paraliza operaciones, cifra datos, detiene plantas industriales y fuerza decisiones bajo presión. Y para los ciudadanos, el impacto suele llegar por la puerta de entrada más antigua y rentable para los atacantes: la ingeniería social. Thales lo resume como un entorno “multifacético” donde conviven extorsión industrial, fraude avanzado y activismo con motivación política, elevando el riesgo operativo y reputacional para organizaciones de cualquier tamaño.
No pagar el rescate: un consejo repetido por experiencia
En ese contexto, los expertos consultados por Thales mantienen una recomendación tajante: no pagar. María Ordiales, responsable de respuesta a incidentes en Thales Iberia, lo explica con un argumento que muchas víctimas aprenden tarde: el pago no borra el daño, y tampoco garantiza el final del problema. “El daño reputacional ya está hecho” y, además, “no tienes la certeza de que vayas a recuperar todos los datos secuestrados”, señala. La compañía advierte incluso de casos en los que una organización paga y, aun así, vuelve a ser atacada.
Detrás de esta postura hay una realidad incómoda: el ransomware ha evolucionado de “cifrar y pedir dinero” a un modelo de extorsión más complejo. En la segunda mitad de 2025, Thales describe una mutación táctica con más peso de la “solo extorsión”: el atacante prioriza el robo de información y la amenaza de publicación para acelerar el chantaje y aumentar la presión reputacional, incluso aunque el cifrado no sea el eje central.
España, objetivo prioritario: industria en el punto de mira
El informe también ayuda a entender por qué ciertas organizaciones sufren más que otras. En España, el sector industrial aparece como el más castigado: 40 incidentes en el segundo semestre, casi la mitad de los ataques registrados en ese periodo. Detrás, consultoría (12), hostelería (7) y servicios (5). La lógica del atacante es fría: una fábrica parada, una cadena de suministro interrumpida o una empresa incapaz de operar tiene más incentivos para ceder rápido.
A escala global, Thales apunta la misma tendencia: la industria concentra una parte enorme del volumen anual. Y el ecosistema de atacantes es cada vez más competitivo y fragmentado. En España, Ciberseguridad TIC recoge que Qilin fue el actor más activo en el segundo semestre (con 26 ataques), seguido de Space Bears y LockBit (con 7 cada uno). No se trata, por tanto, de una única “banda dominante”, sino de un mercado criminal donde se solapan grupos, afiliados y modelos de “crimen como servicio”.
El factor velocidad: vulnerabilidades explotadas en tiempo récord
Otro elemento que está apretando el acelerador del ransomware es el tiempo. La ventana entre la publicación de una vulnerabilidad y su explotación se ha encogido. Thales señala que solo en el segundo semestre de 2025 se detectaron 24.365 nuevas vulnerabilidades, y en algunos casos los atacantes comenzaron a explotarlas apenas 24 horas después de hacerse públicas. Ese ritmo castiga especialmente a organizaciones con inventarios incompletos, parcheo lento, dependencia de terceros o entornos heredados difíciles de actualizar.
Para los equipos de sistemas, este punto es crítico: no basta con “parchear cuando se pueda”. La presión exige priorización por riesgo real, visibilidad del perímetro y planes de contingencia cuando un parche no es posible (segmentación, endurecimiento, control de accesos y monitorización reforzada).
Cuando el ciudadano es la puerta de entrada
Aunque el ransomware golpea a empresas, muchos ataques empiezan lejos de los CPD. El error humano sigue siendo el multiplicador. Lourdes Mora, responsable de análisis de inteligencia en Thales, resume una defensa simple frente a los fraudes de suplantación: no entrar por el enlace. Si llega un aviso de una plataforma, un banco o una compañía de servicios, lo razonable es ir a la app o al sitio oficial, no a la URL del mensaje. “En vez de ir al enlace que me llegue, me voy a ir a la aplicación”, advierte.
Ese consejo cobra peso por la persistencia de campañas que parecen “viejas” y, aun así, siguen funcionando: correos y SMS que piden actualizar datos de pago, falsos avisos de facturas, supuestas incidencias de seguridad o, en el ámbito laboral, ofertas de empleo falsas. Thales y varios medios recogen un patrón que se repite: mensajes que simulan proceder de LinkedIn u otros portales y adjuntan un documento (condiciones económicas, una “prueba”, un CV para actualizar). Abrir ese archivo puede ser el primer paso para comprometer un equipo… y, desde ahí, saltar a la red corporativa.
El riesgo es doble: el ciudadano pierde dinero o credenciales; y la empresa hereda una intrusión que puede terminar en extorsión, secuestro de datos o venta de accesos en mercados clandestinos.
La monetización no termina en el rescate: datos y accesos en venta
Thales también describe un mercado activo de monetización paralela. En el segundo semestre de 2025 se detectaron 248 publicaciones en la dark web relacionadas con España, con especial peso de la venta de bases de datos (40,7 %) y la venta de accesos no autorizados (37 %). Ese acceso inicial —credenciales, RDP, VPN, cuentas en servicios externos— suele ser el “eslabón” que habilita ataques mayores. En otras palabras: aunque una organización no haya sufrido un ransomware “visible”, puede estar ya expuesta si su acceso circula en foros clandestinos.
Qué deberían hacer empresas y administraciones antes del “día cero” operativo
Más allá del “no pagar”, el debate real para empresas es otro: resistir. En la práctica, eso implica convertir la continuidad del negocio en un plan medible:
- Copias de seguridad con restauración probada: si no se prueba la recuperación, no es una copia; es una esperanza.
- Identidad como perímetro: MFA, mínimo privilegio, control de cuentas con privilegios y auditoría continua.
- Segmentación y contención: reducir la propagación lateral para que un equipo comprometido no se convierta en un apagón.
- Parches por riesgo y exposición: priorizar lo explotable y lo crítico, no solo lo “pendiente”.
- Monitorización y respuesta: detectar señales tempranas (movimientos laterales, uso anómalo de herramientas legítimas, exfiltración) y tener un plan claro de escalado.
- Gestión de terceros: muchos accesos iniciales entran por proveedores, integraciones o credenciales filtradas.
El ransomware no va solo de cifrado. Va de tiempo, de presión y de reputación. Y, según el retrato que dibuja Thales, 2026 arranca con una idea incómoda pero útil: el país ya está en el foco, y la defensa depende tanto de tecnología como de hábitos.
Preguntas frecuentes
¿Por qué recomiendan no pagar un rescate de ransomware?
Porque no hay garantías de recuperar todos los datos y el daño reputacional y operativo ya se ha producido.
¿Cuántos ataques de ransomware registró España según Thales en 2025?
Los recuentos citados por el informe sitúan 164 incidentes en 2025, con 85 en el segundo semestre.
¿Qué sectores son más atacados en España?
La industria destaca como el principal objetivo en el segundo semestre, seguida por consultoría y hostelería, según el análisis citado por medios especializados.
¿Qué puede hacer un usuario para evitar caer en fraudes que abren la puerta a ataques?
No acceder a enlaces de mensajes: entrar siempre desde la app o web oficial del servicio y desconfiar de adjuntos inesperados, especialmente en supuestas ofertas de empleo.
