Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd., empresa global en soluciones de ciberseguridad, ha publicado sus resultados globales de ciberamenazas correspondientes a noviembre de 2025, que revelan que las organizaciones de todo el mundo se enfrentaron a una media de 2.003 ciberataques semanales. Esta cifra supone un aumento del 3% respecto a octubre y un incremento interanual del 4%, lo que refleja una escalada continuada de las ciberamenazas globales impulsada por la expansión del ransomware y los riesgos asociados al uso de IA generativa (GenAI).

Por sectores, Educación volvió a ser el más atacado a nivel mundial, con una media de 4.656 ataques semanales por organización, lo que supone un aumento interanual del 7%. Este nivel sostenido de presión refleja la combinación de una digitalización acelerada y recursos limitados en ciberseguridad, factores que continúan situando al sector educativo entre los principales objetivos de los ciberdelincuentes.

A continuación, se sitúan las Instituciones Gubernamentales, que registraron 2.716 ataques semanales por organización (+2% interanual). Por su parte, las Asociaciones y organizaciones sin ánimo de lucro experimentaron un incremento especialmente significativo, alcanzando los 2.550 ataques semanales, un 57% más que hace un año. Este repunte evidencia cómo los atacantes están explotando sectores con menor capacidad de protección, pero que gestionan datos sensibles y servicios digitales críticos.

“Los datos de noviembre muestran que, además del aumento general del número de ataques, preocupa especialmente la creciente sofisticación de las operaciones detectadas”, afirma Eusebio Nieva, director técnico de Check Point Software para España y Portugal.“La combinación entre el crecimiento del ransomware y la exposición de datos vinculada al uso de IA generativa proporciona a los atacantes más herramientas y oportunidades para ejecutar campañas especialmente dañinas. En este escenario, la única estrategia realmente eficaz sigue siendo un enfoque de prevención primero, apoyado en IA en tiempo real e inteligencia de amenazas proactiva capaz de bloquear los ataques antes de que se materialicen”.

Los sectores más atacados en España en noviembre

En España, las organizaciones registraron una media de 1.940 ciberataques semanales en noviembre, lo que supone un aumento del 1% respecto al mismo mes de 2024. Los sectores más afectados fueron, de nuevo, bienes y servicios de consumo, gobierno y telecomunicaciones entre otros:

1. Bienes y Servicios de Consumo
2. Gobierno
3. Telecomunicaciones
4. Servicios Financieros
5. Servicios Empresariales
6. Energía y Servicios Públicos
7. Industria Manufacturera
8. Transporte y Logística

Por regiones, Latinoamérica volvió a ser la zona más atacada, con una media de 3.048 ataques semanales por organización, lo que supone un incremento interanual del 17%, el mayor registrado a nivel global. La región APAC se mantuvo estable, con 2.978 ataques (-0,1%), mientras que África registró 2.696 ataques (-13%). Europa experimentó un ligero descenso del 1%, en contraste con Norteamérica, que volvió a destacar con un aumento interanual del 9%, impulsado en parte por la intensificación de los ataques de ransomware dirigidos a infraestructuras críticas y sectores orientados a servicios.

Riesgos de exposición de datos por IA generativa

El uso de herramientas de Inteligencia Artificial Generativa (GenAI) continúa expandiéndose en los entornos corporativos, lo que incrementa de forma significativa los riesgos de exposición de información sensible.

Durante noviembre, una de cada 35 interacciones o prompts realizados desde redes empresariales presentó un alto riesgo de fuga de datos, una tendencia que afecta ya al 87% de las organizaciones que utilizan de forma habitual soluciones de GenAI. Además, el 22% de los prompts analizados contenían información potencialmente confidencial, como comunicaciones internas, datos de clientes, código propietario o identificadores personales.

Aunque parte de este uso se canaliza a través de herramientas gestionadas, las organizaciones emplean una media de 11 herramientas de GenAI diferentes al mes, la mayoría sin supervisión ni control de seguridad adecuados. Este uso no gobernado aumenta la probabilidad de exposición accidental de datos y eleva el riesgo de infiltración maliciosa, ataques de ransomware y ciberataques impulsados por IA.

Ataques de ransomware

La actividad de ransomware volvió a repuntar en noviembre, con 727 ataques denunciados públicamente en todo el mundo, lo que supone un aumento interanual del 22% respecto al mismo periodo de 2024. Norteamérica concentró la mayor parte de los incidentes, con el 55% de los casos registrados, seguida de Europa, que representó el 18%. Estados Unidos se mantuvo como el principal objetivo global, acumulando el 52% de las víctimas documentadas. A continuación, se situaron Reino Unido (4%) y Canadá (3%), lo que confirma la presión sostenida que este tipo de ciberataques ejerce sobre infraestructuras críticas y sectores altamente digitalizados.

Por sectores, Industria manufacturera fue el más afectado por el ransomware en noviembre, concentrando el 12% del total de víctimas registradas. Le siguieron Servicios empresariales, con el 11%, y Bienes y servicios de consumo, con el 10%. Estos datos reflejan cómo los atacantes continúan explotando dependencias operativas y sistemas heredados en la industria, al tiempo que mantienen una presión constante sobre sectores con alto valor de datos y baja tolerancia a interrupciones operativas, donde cualquier parada puede traducirse en un impacto inmediato para la organización.

Principales grupos de ransomware en noviembre

Los datos de los “puntos calientes” del ransomware en noviembre muestran cambios relevantes en la actividad de los principales grupos:

• Qilin (Agenda) – responsable del 15% de los ataques publicados, se mantiene como uno de los colectivos más activos. Consolidado como una operación madura de Ransomware como Servicio (RaaS), destaca por un cifrador basado en Rust y una infraestructura amplia para sus afiliados, que incluye paneles administrativos, herramientas de negociación y servicios de soporte. Tras la retirada de RansomHub, ha intensificado la captación de afiliados y aumentado notablemente sus publicaciones en sitios de filtración.
• Clip – también con un 15% de los ataques registrados, ha reaparecido tras meses de relativa inactividad publicando víctimas de una campaña prolongada que se remonta, al menos, a agosto de 2025. Esta actividad corresponde a una operación de robo y extorsión de datos a gran escala que explotó dos vulnerabilidades zero-day en Oracle E-Business Suite, incluida la ejecución remota de código CVE-2025-61882. Su estrategia sigue centrada en plataformas empresariales de alto valor
• Akira – ocupa la tercera posición con un 12% de los incidentes. Este actor RaaS, activo desde 2023, emplea cargas útiles para Windows, Linux y ESXi. Su actividad reciente mantiene un foco destacado en servicios empresariales e industria manufacturera. En 2024 incorporó un cifrador en Rust con funciones específicas para servidores ESXi, como cifrado selectivo, ataque a máquinas virtuales y mecanismos destinados a dificultar el análisis y la ingeniería inversa.

El panorama de amenazas de noviembre de 2025 muestra un incremento tanto en el volumen de ataques globales como en la sofisticación de las operaciones de ransomware, impulsado además por los nuevos riesgos derivados del uso de IA generativa en los entornos corporativos. La combinación de una mayor exposición de datos, configuraciones inadecuadas y usos no supervisados de GenAI ofrece a los ciberdelincuentes más oportunidades para ejecutar campañas altamente dañinas. En este escenario, la única estrategia eficaz para mantener la resiliencia pasa por adoptar un enfoque de prevención primero, apoyado en IA en tiempo real, protección avanzada de datos y una gobernanza sólida del uso de la IA que permita bloquear las amenazas antes de que causen impacto.