El primer semestre de 2025 ha evidenciado un aumento sostenido de la actividad delictiva en el ciberespacio. Según el informe Tendencias y ciberamenazas elaborado por el Departamento de Cyber Threat Intelligence de NTT DATA, la convergencia entre inteligencia artificial (IA), tensiones geopolíticas y estructuras delictivas profesionalizadas ha configurado un panorama de amenazas más complejo y persistente que en ejercicios anteriores.
El documento sitúa al ransomware como la amenaza dominante, con un incremento global del 32% respecto al mismo periodo de 2024. Su rentabilidad económica y capacidad de disrupción lo mantienen como el vector de ataque más utilizado por organizaciones criminales. A este fenómeno se suma el uso ofensivo de la inteligencia artificial, que ha impulsado campañas de phishing y vishing mediante técnicas avanzadas de clonación de voz y creación de perfiles digitales falsos.
De acuerdo con el estudio, estas técnicas han permitido vulnerar sistemas empresariales y públicos, afectando especialmente al ámbito financiero y de recursos humanos, donde la manipulación de información personal resulta más eficaz. En los primeros cinco meses del año, se registraron más de 7,7 millones de credenciales robadas y publicadas en foros de la Dark Web.
Aumento de ciberataques en el sector público y financiero
El informe de NTT DATA subraya que el sector público concentra cerca del 40% de los ciberataques globales, impulsado por la exposición de datos sensibles y la obsolescencia de determinados sistemas. A pesar de que el sector educativo ha reducido sus incidentes en un 23%, las universidades continúan siendo un objetivo relevante por el valor de su propiedad intelectual y las vulnerabilidades de sus infraestructuras digitales.
El sector financiero, por su parte, experimentó un crecimiento del 26,9% en incidentes con respecto a 2024, consolidándose entre los tres más atacados del mundo. La combinación de ataques a sistemas de pago, suplantación de identidad y manipulación de procesos automatizados refleja un interés sostenido de los ciberdelincuentes por esta industria.
En el ámbito internacional, Estados Unidos, Israel e India encabezan la lista de países más afectados. Las pérdidas económicas derivadas del cibercrimen se estiman en 10,5 billones de dólares anuales, con un incremento de hasta el 40% en los costes de contención durante las campañas más intensas, especialmente en los meses de diciembre y enero.
España: sectores logístico y químico bajo presión
España no ha quedado exenta de este escenario global. El informe detalla un repunte de ataques de phishing dirigidos al sector logístico, junto con intentos de intrusión en infraestructuras críticas relacionadas con el suministro de agua y la industria química.
Las credenciales de usuarios españoles continúan apareciendo en foros clandestinos, lo que confirma la exposición del país ante actores criminales y estatales. Según NTT DATA, las áreas más afectadas se concentran en los sectores energético, logístico e industrial, todos ellos considerados estratégicos para la estabilidad económica nacional.
Ciberconflictos y conexiones geopolíticas
El documento identifica una estrecha relación entre la geopolítica y la ciberdelincuencia. Tras la ofensiva militar de Israel contra Irán en junio, los ciberataques dirigidos contra el país aumentaron un 700% en apenas dos días. Paralelamente, la guerra entre Rusia y Ucrania mantiene un componente digital activo, con ataques basados en wipers y exploits de día cero.
En otro frente, la rivalidad tecnológica entre Estados Unidos y China se ha intensificado mediante operaciones de espionaje y sabotaje, mientras que Corea del Norte ha centrado sus esfuerzos en el robo de criptomonedas, acumulando pérdidas estimadas en más de 1.500 millones de dólares.
El hacktivismo también ha resurgido como elemento de desestabilización. NTT DATA señala que algunos colectivos han reforzado sus vínculos internacionales, con apoyos encubiertos de ciertos estados, lo que difumina la frontera entre activismo y operaciones estatales. Este fenómeno complica los procesos de atribución de ataques y limita la capacidad de respuesta coordinada de los gobiernos.
Inteligencia artificial y automatización del fraude
La inteligencia artificial ha adquirido un papel central en el ecosistema delictivo. Su aplicación en el ámbito ofensivo ha permitido la automatización de campañas de spear phishing mediante deepfakes de voz y vídeo, así como la generación de identidades falsas y scripts maliciosos adaptados a objetivos concretos.
Estas técnicas han reducido la barrera de entrada para los ciberdelincuentes, facilitando la creación de fraudes personalizados sin necesidad de amplios conocimientos técnicos. Al mismo tiempo, los algoritmos de IA se han empleado para optimizar la segmentación de víctimas y aumentar la tasa de éxito en los ataques, lo que incrementa la exposición de empresas y administraciones.
Nuevas dinámicas en el ecosistema del cibercrimen
El ransomware mantiene su hegemonía no solo por su impacto económico, sino también por la evolución estructural de los grupos que lo operan. El informe detecta reciclaje de infraestructuras de organizaciones disueltas, ahora reutilizadas por nuevos actores, así como la aparición de grupos fragmentados que se integran en redes más amplias. Esta dinámica refleja una tendencia hacia modelos de negocio criminal descentralizados y altamente adaptativos.
Miguel Ángel Thomas, socio responsable de ciberseguridad de NTT DATA España, destacó en el informe que “el primer semestre de 2025 confirma que el ransomware y el uso ofensivo de la IA ya no son tendencias emergentes, sino una amenaza consolidada y en expansión”, subrayando la necesidad de fortalecer la preparación de las organizaciones frente a un entorno digital más volátil.
Perspectivas para el segundo semestre de 2025
Las previsiones del equipo de NTT DATA apuntan a un aumento de ataques contra infraestructuras críticas y sistemas OT (Operational Technology), especialmente en los sectores energético, del transporte y manufacturero. Se espera una expansión del ransomware hacia Latinoamérica y África, regiones donde la inversión en ciberseguridad aún presenta brechas significativas.
Asimismo, el uso ofensivo de la IA seguirá evolucionando, impulsando nuevas campañas de fraude y suplantación con mayor realismo. Las filtraciones internas y las disputas entre grupos de ciberdelincuentes podrían redefinir la estructura del cibercrimen global durante la segunda mitad del año.
La consolidación del ciberespacio como campo de confrontación estratégica confirma que la ciberseguridad continuará siendo un eje crítico para gobiernos, empresas y ciudadanos. Los datos reflejan una tendencia clara: la sofisticación tecnológica está reduciendo el margen de defensa tradicional y exige una respuesta coordinada, basada en inteligencia y anticipación.
