Zscaler ha publicado su Informe Anual de Ransomware 2025 del equipo de investigación de Zscaler, ThreatLabz. El estudio analiza las últimas tendencias que están configurando el panorama del ransomware, mostrando cómo evolucionan y se intensifican los ataques. Asimismo, identifica los sectores y regiones más afectados, destaca las familias de ransomware más activas, examina los cambios en las metodologías de ataque y ofrece recomendaciones prácticas para ayudar a las organizaciones a reforzar sus defensas.
Los hallazgos de ThreatLabz subrayan la importancia crítica de que las empresas adopten una estrategia integral de Zero Trust Everywhere. Este enfoque es esencial para prevenir el ransomware y otras amenazas maliciosas, evitando el movimiento lateral dentro de las redes y la exposición de datos sensibles, aplicaciones e información.
España, en el punto de mira
El informe sitúa a España como uno de los países europeos donde el ransomware ha crecido con más fuerza en el último año. En 2025 se registraron 134 ataques, frente a los 62 de 2024, lo que supone un incremento interanual de más del 116%, más del doble en solo doce meses.
En términos globales, el informe indica que los ataques de ransomware bloqueados por la nube de Zscaler aumentaron un 146% a nivel mundial, alcanzando cifras récord, mientras que España representa cerca del 2% de todos los ataques a nivel mundial, entrando en el top 15 de países más afectados.
Mientras que Estados Unidos concentra más de la mitad de todos los ataques de ransomware (51%), 3.671 incidentes en un año, superando la cifra combinada de todos los demás países del top 15 más atacados.
“Las tácticas de ransomware continúan evolucionado, y el creciente giro hacia la extorsión en lugar de la encriptación es un claro ejemplo de ello. La inteligencia artificial generativa (IA generativa) está convirtiéndose en parte del arsenal de los actores de ransomware, permitiendo ataques más dirigidos y eficientes. A medida que las amenazas avanzan, las medidas de seguridad deben mantenerse a la par», afirma Deepen Desai, EVP de Ciberseguridad en Zscaler.
Sectores más afectados
Los ciberdelincuentes siguen centrando sus ataques en sectores críticos como la fabricación (1.063 ataques), la tecnología (922) y la sanidad (672), que se han convertido en los más castigados durante el último año. Estas industrias son especialmente vulnerables por el potencial de interrupción operativa, la sensibilidad de los datos robados y los riesgos reputacionales y regulatorios asociados.
El sector de petróleo y gas ha experimentado un aumento espectacular de ataques de ransomware, con un crecimiento superior al 900% interanual. Este repunte se atribuye a la creciente automatización de sistemas que controlan infraestructuras críticas, como plataformas de perforación y oleoductos, ampliando la superficie de ataque, junto con la persistencia de prácticas de seguridad obsoletas.
Grupos de ransomware que lideran el repunte
Algunos grupos muy activos continúan dominando el ecosistema del ransomware, con RansomHub a la cabeza, reclamando el mayor número de víctimas públicas con 833 casos. Sin embargo, Akira y Clop han escalado posiciones respecto al 2024:
• Akira: con 520 víctimas, ha ampliado su alcance mediante múltiples afiliados y brokers de acceso inicial.
• Clop: conocido por sus ataques a la cadena de suministro, sigue de cerca con 488 víctimas, explotando vulnerabilidades en software de terceros ampliamente utilizado.
ThreatLabz ha identificado 34 nuevas familias de ransomware activas en el último año, elevando el total a 425 desde el inicio de la investigación. Además, mantiene un repositorio público en GitHub con 1.018 notas de ransomware, 73 de ellas añadidas en el último año.
