Cada año, en octubre, la Agencia Europea de Ciberseguridad publica Seguridad (ENISA) ha publicado su informe anual sobre amenazas: ENISA Threat Landscape. La edición del año pasado, publicada en octubre de 2025, analiza casi 4 900 incidentes ocurridos entre julio de 2024 y junio de 2025. No se trata de un mero resumen de estadísticas; este año, los autores relacionan deliberadamente acontecimientos concretos con tendencias más amplias y tratan de describir cómo evolucionan las amenazas y por qué. El panorama resultante es sobrio —y quizá sorprendente para algunos—.
Los ataques DDoS dominan las estadísticas, pero no los daños
La gran mayoría de los incidentes registrados —77 %— corresponden a ataques DDoS (Distributed Denial of Service), es decir, intentos de saturar el sistema e impedir el acceso al servicio. A primera vista, la cifra parece alarmante. Sin embargo, el impacto real de estos ataques fue mínimo en la mayoría de los casos: solo 2 % de ellos provocaron interrupciones reales del servicio.
Detrás de esta oleada se encuentran principalmente grupos hacktivistas que reaccionan ante las tensiones geopolíticas y los acontecimientos políticos en los Estados miembros de la UE. Se trata más bien de una demostración de fuerza y de una señal de desacuerdo que de operaciones sofisticadas con consecuencias duraderas. Los ataques DDoS como herramienta de presión política: esa es una de las características distintivas del panorama del año pasado.
Ransomware: silencioso, pero devastador
La amenaza económicamente más devastadora sigue siendo ransomware. Aunque su cuota global de incidentes se mantuvo estable en comparación con el año anterior, Ecosistema ha experimentado una transformación significativa. Durante el periodo analizado se lanzaron un total de 82 variantes diferentes de ransomware y el modelo Ransomware-as-a-Service (RaaS) se ha profesionalizado aún más: los atacantes „alquilan“ herramientas ya preparadas, por lo que cada vez se necesitan menos conocimientos técnicos para lanzar un ataque.
Las bandas, por su parte, responden a la presión de las fuerzas del orden descentralizando sus operaciones y endureciendo sus tácticas de chantaje. Una estrategia muy utilizada es el chantaje doble o triple: primero, el cifrado de los datos; después, la amenaza de publicarlos; y, además, el aprovechamiento del temor de las víctimas a incumplir sus obligaciones normativas —por ejemplo, en el marco de GDPR o NIS2 - como palanca para forzar el pago.
Phishing a gran escala
La forma más habitual en que los atacantes logran acceder a los sistemas sigue siendo phishing — lo que equivale aproximadamente a 60 % de intrusiones registradas. Esto no es nada nuevo. Lo que sí cambia, sin embargo, es el grado de automatización y la sofisticación de estas campañas.
La inteligencia artificial está desempeñando un papel clave. A principios de 2025, se estimaba que las campañas de phishing impulsadas por IA representaban más del 80 % de toda la actividad de ingeniería social observada a nivel mundial. Los grandes modelos lingüísticos permiten generar mensajes convincentes con el lenguaje y el tono adecuados, y sin errores evidentes que antes servían de señal de alarma. Las plataformas de Phishing-as-a-Service (PhaaS) ponen esta herramienta al alcance incluso de los atacantes sin conocimientos técnicos avanzados.
El segundo vector de intrusión más frecuente es el aprovechamiento de vulnerabilidades en el software, responsable de aproximadamente el 21 % de los casos. El informe destaca la reducción del tiempo que transcurre entre la divulgación de una vulnerabilidad y su explotación activa. Durante el periodo analizado del año pasado se publicaron más de 42 000 nuevas vulnerabilidades, 27 % más que el año anterior.
¿Quién está en el punto de mira?
El objetivo más frecuente sigue siendo la administración pública, responsable del 38 % de los incidentes. El segundo sector más amenazado es el del transporte, especialmente la aviación y la logística. Las fugas de datos se dirigieron principalmente a las telecomunicaciones y los servicios digitales; los ataques de ransomware se centraron en el sector manufacturero.
El informe también señala que los países que participan en el apoyo a Ucrania —por ejemplo, a través de las cadenas de suministro— se enfrentan a una mayor atención por parte de actores patrocinados por el Estado. La República Checa se menciona explícitamente a este respecto.
Fronteras difusas
Uno de los cambios estructurales que describe el informe es, en mi opinión, el más interesante: la división tradicional entre ciberdelincuencia, espionaje estatal y hacktivismo se está difuminando. Los grupos comparten herramientas, infraestructura y tácticas. Un grupo con motivaciones ideológicas puede reorientarse sin previo aviso hacia el chantaje financiero, y viceversa. Por ello, la ENISA habla de una „presión constante y diversificada“ sobre la infraestructura digital de la UE, y no de incidentes aislados.
El informe completo «ENISA Threat Landscape 2025» se puede descargar en enisa.europa.eu.
Este artículo tiene carácter informativo. No se basa en un auditoría de seguridad propia ni en datos que no procedan de fuentes de acceso público.
Čeština
English
Deutsch
Español
Français