Zscaler ha publicado su ‘Informe Anual de Ransomware 2025’ del equipo de investigación de Zscaler, ThreatLabz. El estudio analiza las últimas tendencias que están configurando el panorama del ransomware, mostrando cómo evolucionan y se intensifican los ataques.
Los hallazgos de ThreatLabz subrayan la importancia crítica de que las empresas adopten una estrategia integral de Zero Trust Everywhere. Este enfoque es esencial para prevenir el ransomware y otras amenazas maliciosas, evitando el movimiento lateral dentro de las redes y la exposición de datos sensibles, aplicaciones e información.
Índice de temas
España, en el punto de mira
El informe sitúa a España como uno de los países europeos donde el ransomware ha crecido con más fuerza en el último año. En 2025 se registraron 134 ataques, frente a los 62 de 2024, lo que supone un incremento interanual de más del 116%, más del doble en solo doce meses.
Los principales grupos de ransomware robaron 238 TB de datos en un solo año
En términos globales, el informe indica que los ataques de ransomware bloqueados por la nube de Zscaler aumentaron un 146% a nivel mundial, el mayor repunte registrado en los últimos tres años; mientras que España representa cerca del 2% de todos los ataques a nivel mundial, entrando en el top 15 de países más afectados.
Mientras que Estados Unidos concentra más de la mitad de todos los ataques de ransomware (51%), 3.671 incidentes en un año, superando la cifra combinada de todos los demás países del top 15 más atacados.
Sectores más afectados por el ransomware
Los ciberdelincuentes siguen centrando sus ataques en sectores críticos como la fabricación (1.063 ataques), la tecnología (922) y la sanidad (672), que se han convertido en los más castigados durante el último año. Estas industrias son especialmente vulnerables por el potencial de interrupción operativa, la sensibilidad de los datos robados y los riesgos reputacionales y regulatorios asociados.
España ha pasado de 62 incidentes de ransomware en 2024 a 134 en 2025
El sector de petróleo y gas ha experimentado un aumento espectacular de ataques de ransomware, con un crecimiento de 935% interanual. Este repunte se atribuye a la creciente automatización de sistemas que controlan infraestructuras críticas, como plataformas de perforación y oleoductos, ampliando la superficie de ataque, junto con la persistencia de prácticas de seguridad obsoletas.
Grupos de ransomware que lideran el repunte
Algunos grupos muy activos continúan dominando el ecosistema del ransomware, con RansomHub a la cabeza, reclamando el mayor número de víctimas públicas con 833 casos. Los casos públicos de extorsión crecieron un 70% en el último año, según el análisis de sitios de filtración de datos; mientras que los volúmenes de exfiltración de datos se incrementaron en un 92% y los principales grupos de ransomware robaron 238 TB de datos en un solo año.
Sin embargo, Akira, con 520 víctimas, ha ampliado su alcance mediante múltiples afiliados y brokers de acceso inicial; y Clop, conocido por sus ataques a la cadena de suministro, sigue de cerca con 488 víctimas, explotando vulnerabilidades en software de terceros ampliamente utilizado; han escalado posiciones respecto al 2024.
ThreatLabz ha identificado 34 nuevas familias de ransomware activas en el último año, elevando el total a 425 desde el inicio de la investigación. Además, mantiene un repositorio público en GitHub con 1.018 notas de ransomware, 73 de ellas añadidas en el último año.
