ZIUR, el Centro de Ciberseguridad perteneciente a la Diputación Foral de Gipuzkoa, alerta de un incremento significativo del 'ramsonware'. Durante el cuarto trimestre de 2025 se registraron 1.951 incidentes, lo que supone un aumento del 14,62% respecto al trimestre anterior. Los sectores más afectados han sido el manufacturero, tecnológico, sanitario, servicios al consumidor y construcción, una tendencia que se mantiene estable tanto a nivel global como en España, según el último informe de Ciberinteligencia elaborado por ZIUR. 

En el caso español, se confirmaron 33 incidentes de 'ramsonware', frente a los 24 del trimestre anterior. Destacan sectores como el transporte y el turismo, que presentan una mayor afectación relativa que en el contexto internacional, especialmente por su dependencia de cadenas de suministro complejas.

“El 'ramsonware' continúa siendo una de las principales amenazas para la industria, con una actividad sostenida y una diversificación creciente de los actores”, señala Penilla. “La presión sobre sectores intensivos en cadena de suministro demuestra que la ciberseguridad ya no puede abordarse de forma aislada”.

Además, España sigue formando parte de la lista de los diez países más afectados por ataques 'hacktivistas' a nivel mundial, ocupando el cuarto puesto, aunque no se ha detectado ninguna campaña organizada dirigida específicamente contra el país. 

Durante el pasado año, la entrada y salida de España de este listado fue constante. En el tercer trimestre, el país volvió a colarse en los primeros puestos al sufrir una operación llevada a cabo por múltiples grupos ‘hacktivistas’ apodada #OpMortadelos. En el cuarto trimestre, se mantuvo en las primeras posiciones del ranking, aunque no se detectó ninguna campaña específica. 

El análisis del Centro de Ciberseguridad Industrial de Gipuzkoa señala que, durante este periodo, se registraron 3.663 ataques de denegación de servicio (DDoS) exitosos a nivel global, con Ucrania, Dinamarca e Italia como principales objetivos. La inclusión de España en este ranking responde a una mayor exposición de servicios e infraestructuras accesibles desde internet, y no a un interés estratégico específico por parte de los grupos 'hacktivistas'.

Ataques 'poco sofisticados'

“La aparición de España entre los países más atacados no implica una ofensiva coordinada contra el país, sino que refleja un contexto de alta actividad 'hacktivista' y de oportunidades técnicas derivadas de configuraciones inseguras”, explica María Penilla, directora de ZIUR. “Son ataques generalmente poco sofisticados, pero con un impacto potencial relevante si afectan a servicios críticos”.

Al igual que en trimestres anteriores, los sectores gubernamental y energético han sido los más afectados en Europa, en línea con las motivaciones ideológicas y de visibilidad que caracterizan al 'hacktivismo'. ZIUR destaca que estos grupos suelen acceder a entornos industriales expuestos en internet mediante prácticas básicas, como el uso de credenciales por defecto o configuraciones inseguras, por lo que subraya la importancia de reforzar las medidas de higiene digital.

El informe también pone en valor la rápida actuación conjunta de las fuerzas del orden y plataformas como Telegram, que ha permitido cerrar la mayoría de los canales 'hacktivistas' en menos de 24 horas, dificultando la identificación de objetivos y la coordinación de ataques.

Filtraciones de datos y riesgo persistente

Durante el último trimestre se detectaron 34 supuestas filtraciones de datos relacionadas con organizaciones e instituciones españolas, una cifra inferior a la del periodo anterior, aunque con un repunte de filtraciones que afectan directamente a la ciudadanía. Los sectores asegurador y energético siguen siendo objetivos prioritarios, con patrones que apuntan a campañas organizadas de robo y comercialización de información sensible.

ZIUR concluye que el escenario actual exige reforzar la protección de los entornos industriales expuestos, mejorar la monitorización y adoptar un enfoque preventivo, especialmente en sectores críticos. “La clave no es solo reaccionar, sino anticiparse”, subraya Penilla. “La resiliencia industrial pasa por combinar tecnología, procesos y concienciación en un entorno de amenazas cada vez más dinámico”.

Consulta el informe aquí: https://www.ziur.eus/es/-/informe-de-ciberinteligencia-industrial-del-cuarto-trimestre-de-2025