El ransomware ha consolidado su posición como una de las principales amenazas para las organizaciones europeas, con un ritmo de ataques que no tiene precedentes. Según el informe sobre el panorama de amenazas en Europa 2025 publicado por CrowdStrike, la región se ha convertido en el segundo mayor objetivo global de los ciberdelincuentes, solo por detrás de Norteamérica. Las cifras son elocuentes: casi el 22 % de las víctimas mundiales de ransomware y extorsión se localizaron en Europa.
Desde principios de 2024, se han identificado más de 2.100 víctimas europeas en sitios de extorsión tras filtraciones de datos. En nueve de cada diez casos, los ataques incluyeron tanto el cifrado de archivos como el robo de información. Reino Unido, Alemania, Francia, Italia y España concentran la mayoría de los incidentes. El informe, basado en la inteligencia del equipo de operaciones contra ciberdelincuentes de CrowdStrike, que rastrea a más de 265 actores adversarios, apunta a una profesionalización creciente del delito digital.
Los grupos de ransomware han acelerado sus operaciones. SCATTERED SPIDER, uno de los colectivos más activos, ha reducido el tiempo medio de despliegue de ransomware a solo 24 horas, un 48 % más rápido que en ciclos anteriores. Esta velocidad refleja no solo una mejora técnica, sino también una infraestructura de apoyo más sofisticada. El mercado clandestino ha normalizado servicios como el Malware como Servicio (MaaS), la venta de accesos iniciales y los kits de phishing, que ahora se comercializan con la lógica de un SaaS convencional.
En paralelo, los actores patrocinados por estados-nación han intensificado su actividad en Europa. Rusia y Corea del Norte destacan por su agresividad. Moscú mantiene una campaña persistente contra Ucrania, combinando phishing, espionaje y sabotaje digital en sectores críticos como el energético o el de telecomunicaciones. Pyongyang, por su parte, ha ampliado su radio de acción hacia instituciones financieras, diplomáticas y de defensa europeas, con un enfoque dual: espionaje y robo de criptomonedas.
China ha optado por una estrategia más silenciosa pero igualmente expansiva. Según el informe, los actores vinculados a Pekín han atacado infraestructuras en 11 países europeos, con especial interés en sectores como la salud, la biotecnología y la defensa. VIXEN PANDA, uno de los grupos más activos, ha centrado sus campañas en el robo de propiedad intelectual mediante la explotación de vulnerabilidades en la nube y la cadena de suministro de software.
Irán también ha ganado protagonismo. Actores vinculados a la Guardia Revolucionaria Islámica han lanzado campañas de phishing, ataques DDoS y operaciones de filtración de datos contra objetivos en Reino Unido, Alemania y Países Bajos. En algunos casos, se han hecho pasar por colectivos hacktivistas para camuflar actividades de espionaje estatal. El grupo HAYWIRE KITTEN, por ejemplo, se atribuyó un ataque de denegación de servicio contra un medio neerlandés.
Más allá del ciberespacio, el informe destaca una tendencia inquietante: la digitalización del crimen físico. Bajo el concepto de “Violencia como Servicio”, grupos como RENAISSANCE SPIDER están integrando acciones físicas —como sabotajes, incendios provocados o secuestros— en operaciones cibernéticas. Telegram se ha convertido en una plataforma clave para coordinar estos ataques híbridos, que en algunos casos están vinculados al robo de activos digitales.
Los foros clandestinos siguen siendo el corazón del ecosistema del eCrime en Europa. BreachForums, sucesor de RaidForums, mantiene una actividad intensa, con vínculos detectados en Francia y Reino Unido. En estos espacios se intercambian datos robados, malware y servicios criminales. Herramientas como Tox, Jabber o canales cifrados de Telegram facilitan la colaboración entre actores maliciosos, tanto en la planificación como en la monetización de los ataques.
Adam Meyers, jefe de operaciones contra ciberdelincuentes en CrowdStrike, resume el panorama con una advertencia: “Estamos viendo una peligrosa convergencia entre la innovación criminal y la ambición geopolítica”. Según Meyers, la única forma de contener esta amenaza es mediante una defensa basada en inteligencia, reforzada por inteligencia artificial y experiencia humana. Aunque la afirmación tiene un tono comercial, refleja una preocupación compartida por muchos responsables de ciberseguridad en Europa: la creciente complejidad del entorno de amenazas.
El informe no solo retrata una situación crítica, sino que también apunta a una transformación estructural del delito digital. La ciberseguridad ya no puede abordarse como un problema técnico aislado. La implicación de actores estatales, la sofisticación de los mercados clandestinos y la fusión entre crimen físico y digital obligan a replantear las estrategias de defensa, tanto en el sector público como en el privado.
En este escenario, las empresas europeas se enfrentan a un dilema operativo: cómo proteger sus activos sin frenar su digitalización. La velocidad de los ataques, la variedad de vectores y la opacidad de los adversarios dificultan la anticipación. A medida que el ransomware evoluciona hacia modelos más rápidos y destructivos, la resiliencia organizativa se convierte en un factor tan decisivo como la tecnología empleada.
