No todo es dinero: el 80% de los ciberataques son maniobras políticas. ¿Quién maneja realmente los hilos?
Funcionarios y el sector del transporte, principales objetivos de ciberdelincuentes y espías.
En el nuevo informe ENISA Threat Landscape 2025 la Agencia de la Unión Europea para la Ciberseguridad constata que las ciberamenazas no solo se multiplican —sino que evolucionan. Las instituciones estatales y los sectores críticos siguen siendo los principales objetivos de los ataques, mientras que la actividad de grupos con motivaciones políticas y de hacktivistas ha alcanzado un nivel récord.
Según ENISA, más de la mitad de todos los incidentes en 2025 se registraron en activos clasificados como «sensibles»: autoridades, transporte, servicios digitales, finanzas e industria. El mayor impacto se produjo en la administración pública —38,2% de todos los casos. La gran mayoría de los ataques contra este sector fueron ataques DDoS de baja intensidad, de los cuales solo el 2% provocaron interrupciones reales en el funcionamiento de los servicios. Sin embargo, para los sistemas municipales el ransomware sigue siendo el tipo de amenaza más destructivo.
Las empresas de transporte ocuparon el segundo lugar por número de incidentes —7,5%. La mayoría de los ataques se registraron en logística y aviación, pero preocupa en particular el interés por la infraestructura marítima: allí están activas agrupaciones vinculadas a servicios de inteligencia estatales. Aunque la proporción de ataques contra la infraestructura y los servicios digitales fue solo del 2,2%, ENISA destaca su importancia estratégica: los atacantes usan cada vez más estas plataformas como punto de apoyo para la difusión posterior de ataques.
El phishing sigue siendo la principal herramienta de intrusión, responsable de alrededor del 60% de todos los casos de compromiso inicial. En esta categoría la agencia incluye los esquemas clásicos de malspam, fraude telefónico (vishing) y la publicidad maliciosa. La explotación de vulnerabilidades ocupa el segundo lugar con una cuota del 21,3%, y en casi el 70% de los casos en la siguiente fase se produce la descarga de código malicioso.
Un apartado del informe está dedicado al cambio en las tácticas de los atacantes. ENISA registra un fuerte aumento en el uso de inteligencia artificial para automatizar ataques y optimizar su escala. Tanto los grupos APT gubernamentales como las comunidades del cibercrimen usan la IA para acelerar el reconocimiento, evadir sistemas de defensa y crear escenarios de phishing más sofisticados.
A pesar de la reducción del 11% en el número de incidentes con software de rescate (ransomware) respecto al año anterior, el ransomware sigue siendo la amenaza más destructiva. Entre las familias más difundidas se citan Akira y SafePay. Paralelamente se han activado los corredores de acceso inicial, que venden acceso barato a VPN corporativas y a RDP —estas cadenas se usan con frecuencia junto con ataques de cifrado.
Las campañas con motivación política mantienen con firmeza el liderazgo por volumen —79,4% de todas las acciones registradas, frente al 13,4% orientadas a lo financiero y el 7,2% de operaciones de ciberespionaje. Los principales actores siguen siendo APT28, APT29 y Sandworm, dirigidos a instituciones estatales, estructuras de defensa y telecomunicaciones. Además, el conjunto denominado Matryoshka Information Manipulation Set se ha convertido en uno de los participantes más activos en operaciones de influencia informativa y desinformación dentro de la UE.
ENISA subraya: aunque los ataques concretos no provoquen interrupciones inmediatas, el efecto acumulado de campañas DDoS constantes, phishing y manipulaciones de la opinión pública socava la resiliencia del ecosistema digital europeo. Además, la simbiosis cada vez más observada entre los esquemas del cibercrimen y las estructuras estatales hace que el panorama de amenazas sea más complejo que nunca.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla