Los ataques a organizaciones en todo el mundo han aumentado en los últimos meses. Según el análisis realizado por el equipo de ciberinteligencia de la compañía especializada en seguridad de la información, Secure&IT, los ataques a organizaciones de todo el mundo han mantenido un ritmo constante, con más de 4.000 incidentes publicados entre enero y junio.

Los países más afectados durante este periodo han sido Estados Unidos, Canadá, Alemania, Reino Unido, Italia y España, lo que confirma que, aunque estos grupos operan a escala global, ponen el foco de forma recurrente en las economías occidentales.

“En este primer semestre de 2025, los ciberdelincuentes han demostrado que no descansan, y parece ser que tampoco lo harán en verano. Durante estos últimos meses, hemos podido comprobar que existe una profesionalización creciente de los ciberataques. Es una tendencia de la que ya veníamos hablando. No se trata de ataques indiscriminados, sino de campañas dirigidas aprovechando vulnerabilidades conocidas y sin parchear o a través de terceros proveedores menos protegidos”, explica Francisco Valencia, director general de Secure&IT.

¿Cuáles son los grupos de cibercriminales más activos y cómo operan?

Entre los grupos más activos en estos últimos meses, destacan Akira —presente en muchos ciberataques analizados durante estos meses—, seguido de RansomHub, Qilin, Play y Clop, que concentraron buena parte de la actividad cibercriminal del semestre. Estos grupos operan principalmente mediante ransomware.

“El objetivo principal de estos grupos son empresas dedicadas al sector servicios, industria, construcción, sanidad y, también, las administraciones públicas, compañías que gestionan datos críticos o presentan entornos más vulnerables”, asegura Valencia.

Grupos como Akira, RansomHub, Qilin y Play, comparten un enfoque común basado en la profesionalización del delito y en la búsqueda de rentabilidad rápida a través del modelo RaaS (Ransomware as a Service).

Akira, el actor más persistente en los últimos meses, basa su operativa en la doble extorsión: primero exfiltra grandes volúmenes de información y, posteriormente, cifra los sistemas afectados. Las víctimas se enfrentan así, no solo a la pérdida de acceso a sus datos, sino también al riesgo de exposición pública. Este grupo suele obtener acceso inicial mediante credenciales comprometidas o servicios expuestos a Internet.

Por su parte, RansomHub ha consolidado su posición como un proveedor de ransomware que trabaja mediante afiliados. Estos reciben herramientas listas para atacar, mientras el grupo mantiene el control de la plataforma y cobra un porcentaje de los rescates. Sus operaciones suelen incluir el uso de herramientas legítimas de administración remota para moverse lateralmente dentro de las redes atacadas.

Qilin se ha especializado en el compromiso de infraestructuras críticas, con ataques dirigidos a sectores industriales o de servicios esenciales. Emplea técnicas de phishing altamente dirigidas y explota vulnerabilidades en dispositivos de red y servicios expuestos como VPNs.

Otro de los actores relevantes es Play, destacando por su velocidad. Una vez obtiene acceso, suele cifrar todo el sistema en pocas horas, dejando poco margen de reacción a las víctimas. Su acceso inicial suele aprovechar conexiones RDP (o de escritorio remoto) mal configuradas o con contraseñas débiles.

“Desde Secure&IT también queremos destacar el grupo Nightspire que, durante este mes de junio, ha irrumpido con fuerza, llegando a situarse entre los actores más activos. Su evolución en los próximos meses será clave para determinar si se trata de un caso puntual o de una nueva amenaza consolidada”, indica el director general de la compañía.

El caso Clop: de liderar el ranking de ciberataques a desaparecer del mapa

Una de las sorpresas del primer trimestre de este año ha sido el comportamiento del grupo Clop. Durante los meses de enero y febrero, este grupo protagonizó un número notable de ataques, llegando incluso a liderar el ranking en el inicio de 2025. Sin embargo, a partir de marzo, desapareció completamente del radar.

“Este descenso repentino de actividad podría deberse a varios factores. Clop ha estado vinculado a campañas muy específicas, como la explotación de la vulnerabilidad en MOVEit Transfer a mediados de 2023, lo que sugiere una estrategia más puntual que sostenida. Por otro lado, no se descarta que el grupo esté reorganizándose, e incluso adoptando nuevas identidades o tácticas para evitar la creciente presión de las fuerzas y cuerpos de seguridad internacionales”, explican desde Secure&IT.

La dinámica que ha llevado a cabo el grupo Clop en los últimos meses es habitual en el mundo del cibercrimen, tras crear campañas muy visibles y lucrativas, algunos grupos optan por desaparecer temporalmente para eludir represalias o preparar nuevos vectores de ataque.

Tendencias del primer semestre de 2025

Más allá de nombres concretos, el análisis de los datos recogidos en los informes de ciberinteligencia revela algunas tendencias clave:

• La consolidación de Akira como amenaza global y constante. Su actividad no ha bajado en ningún mes, lo que evidencia una estructura organizada y en expansión.
• La proliferación del modelo RaaS, que permite a actores con menor experiencia técnica lanzar ataques sofisticados mediante plataformas de alquiler.
• Un aumento progresivo de ataques a través de terceros, especialmente proveedores de servicios como vía de entrada a grandes organizaciones.
• El papel creciente de España en los mercados de la dark web, donde se ha detectado un incremento notable de accesos comprometidos y venta de credenciales de empresas públicas y privadas.