El ransomware continúa consolidándose como la mayor amenaza para grandes y medianas empresas. Los grupos más activos han encontrado en la inteligencia artificial una herramienta para perfeccionar sus campañas, generando con facilidad ataques de phishing y estrategias de ingeniería social cada vez más difíciles de detectar. España se coloca además a la cabeza de Europa en tasas normalizadas de detección de malware, con una tendencia al alza en los últimos meses. El nuevo Informe de Ciberamenazas de Acronis, que recoge datos del primer semestre de 2025, analiza los vectores de ataque más utilizados, los sectores más afectados y las bandas de ransomware más activas. Según el estudio, el ransomware sigue siendo el método preferido de los ciberdelincuentes, con un notable incremento en el número de víctimas respecto al año anterior. Entre los grupos más agresivos destacan Cl0p, Akira y Qlin, que han intensificado sus operaciones a nivel global.

Uno de los aspectos más preocupantes es el auge de la ingeniería social respaldada por inteligencia artificial. Acronis advierte de que incluso atacantes con poca experiencia tienen hoy acceso a herramientas avanzadas que les permiten crear suplantaciones convincentes, correos fraudulentos difíciles de identificar e incluso deepfakes utilizados en estafas dirigidas a empresas. Todo ello está aumentando la presión sobre sectores como el de los proveedores de servicios gestionados (MSP), la industria manufacturera o las telecomunicaciones.

Gerald Beuchelt, CISO de Acronis, ha explicado que “los ciberdelincuentes no necesitan grandes conocimientos para acceder a funciones de IA capaces de generar ataques masivos y automatizados. Esto coloca a los MSP, fabricantes, proveedores de servicios de internet y otros profesionales en una situación de riesgo constante. Basta un error mínimo para comprometer el futuro de una organización”.

España ocupa un lugar destacado en el informe. Durante el primer semestre, el país registró picos de detección de malware por encima del 10% en marzo y mayo, coincidiendo con periodos vacacionales y de declaración de impuestos, momentos especialmente aprovechados por los estafadores para lanzar campañas de infostealers. Además, tras el apagón tecnológico de abril, se multiplicaron las estafas de phishing relacionadas con billetes de avión falsos y páginas fraudulentas de robo de credenciales.

Otro de los puntos críticos señalados es el abuso de dominios .es, que alcanzó un máximo de más de 1.300 subdominios maliciosos en mayo. Este escenario se ha visto agravado por incidentes de alto perfil, entre ellos la brecha en el correo electrónico del Senado y la filtración de datos de Telefónica que afectó a 22 millones de clientes. A esto se suma un ataque anterior, registrado en enero, que expuso información de 20.000 empleados y filtró documentos internos, datos de clientes y cientos de miles de registros de su sistema Jira.