El informe describe un ecosistema criminal más profesional, competitivo y fragmentado, alimentado por tensiones geopolíticas y por el aumento de la sofisticación técnica. La principal transformación es táctica: crecen los ataques de solo extorsión, en los que el objetivo prioritario pasa a ser el robo de información frente al cifrado de sistemas. El cambio no es menor: reduce complejidad técnica, acorta los plazos y multiplica la presión sobre la víctima, porque el chantaje se apoya en el impacto reputacional, regulatorio y contractual de una filtración.
A escala global, la presión se concentra en organizaciones con alta dependencia operativa y exposición a datos sensibles. No es casual que la industria lidere con 2.801 ataques (36%), seguida de consultoría (948; 12%) y servicios (620; 8%). Son actividades donde una interrupción o una fuga de información puede detener cadenas de valor, comprometer propiedad intelectual o paralizar la relación con clientes.
España: 85 ataques en seis meses y señales de mercado clandestino
En la segunda mitad de 2025, España se convirtió en uno de los objetivos más atractivos. Los 85 ataques del semestre y el sexto puesto global evidencian un riesgo creciente para empresas y administraciones, con derivadas operativas y reputacionales.
El informe también apunta a un circuito de monetización activo: en el semestre se detectaron 248 publicaciones en la dark web relacionadas con España, con peso destacado de la venta de bases de datos (40,7%) y la venta de accesos no autorizados (37%). Este último indicador es especialmente relevante: el acceso inicial suele ser el paso previo para intrusiones de mayor impacto, incluidas campañas de ransomware.
La defensa pierde tiempo: vulnerabilidades y explotación en 24 horas
El factor más desestabilizador es la velocidad. En el segundo semestre de 2025 se identificaron 24.365 nuevas vulnerabilidades y los atacantes comenzaron a explotarlas apenas 24 horas después de hacerse públicas. A ello se suma el auge de los zero-day, cuyo uso, según Thales, se ha “profesionalizado” dentro de un mercado maduro de capacidades y accesos.
Thales insiste en una estrategia proactiva: proteger la identidad digital como perímetro, priorizar el parcheo por riesgo real y reforzar el control de terceros y cadena de suministro. Además, alerta de que la IA ya opera como acelerador ofensivo (desde reconocimiento hasta phishing convincente), por lo que la premisa es clara: no hay despliegue de IA sin ciberseguridad, con detección de anomalías en tiempo real y gobierno de accesos como condiciones de partida.
