El Informe de Ciberinteligencia 2025 de Secure&IT señala que los ataques publicados en la Dark Web alcanzaron los 7.979 incidentes, un 42% más que en 2024, con España en la séptima posición mundial.
Casi 8.000 ataques y 162 grupos activos
La actividad de los grupos de ciberdelincuencia continúa en ascenso. Según el Informe de Ciberinteligencia 2025 elaborado por Secure&IT, en 2025 se registraron 7.979 ataques publicados en la Dark Web, frente a los 5.613 del año anterior, lo que supone un incremento del 42%.
El estudio identifica 162 actores activos, frente a los 114 de 2024, lo que evidencia la expansión del ecosistema criminal. Aunque siete grupos concentran el 43% del total de ataques, el informe apunta a una mayor fragmentación del panorama, con nuevos actores entrando en el mercado del ransomware.
Francisco Valencia, director general de Secure&IT, explica que la ciberdelincuencia opera como una industria organizada, con estructuras jerarquizadas, modelos de afiliación y cadenas de suministro propias, lo que reduce la barrera de entrada y multiplica el número de atacantes activos.
Qilin, Akira y Play, entre los más activos
En 2025, siete grupos concentraron más del 40% de la actividad global. Qilin lideró el ranking con 1.015 ataques (12,7%), cuadruplicando su actividad respecto al año anterior. Le siguieron Akira, con 659 ataques, y Play, con 385.
Todos estos grupos operan bajo esquemas de Ransomware-as-a-Service (RaaS), un modelo en el que los desarrolladores alquilan su malware a afiliados que ejecutan los ataques.
España, séptima en el ranking mundial
Estados Unidos encabeza el ranking de países más atacados, concentrando el 52% de los ataques publicados. Canadá ocupa la segunda posición (5%), seguido de Reino Unido y Alemania, ambos con un 4%.
España se sitúa en la séptima posición mundial con 170 ataques publicados, lo que representa el 2,1% del total global y el 10% de los ataques registrados en Europa.
Servicios, industria y salud, los sectores más afectados
El sector servicios continúa siendo el más atacado, con un 37% del total. Le siguen industria, con un 23%, y salud, que sufrió 535 ataques en 2025, equivalentes al 7% del total mundial, con la participación de hasta 91 grupos distintos.
Según Valencia, la presión sobre sectores críticos como salud o industria responde a la búsqueda de mayor impacto para forzar el pago de rescates.
Profesionalización y automatización del ransomware
El informe recoge que los grupos criminales han evolucionado hacia estructuras más sofisticadas. Reutilizan códigos filtrados de otras familias de ransomware, operan bajo esquemas de doble extorsión que combinan cifrado y exfiltración de datos, y emplean herramientas legítimas en fases de post explotación para evadir la detección.
También automatizan campañas de explotación masiva y migran entre plataformas digitales para preservar el anonimato y garantizar la continuidad de sus operaciones. Secure&IT concluye que el crecimiento de la ciberdelincuencia es tanto cuantitativo como cualitativo.
