Acronis, empresa mundial en ciberseguridad y protección de datos, ha publicado su informe semestral “Acronis Cyberthreats Report H22025: From Exploits to Malicious AI”, en el que analiza la evolución de las amenazas a nivel global a partir de la telemetría recopilada por la Unidad de Investigación de Amenazas de Acronis (TRU) y su red de sensores.

El informe confirma una tendencia sostenida de crecimiento en los ataques basados en identidad, phishing y ransomware, así como la integración cada vez más operativa de la inteligencia artificial en las campañas maliciosas. 

En el contexto europeo, el análisis identifica a España como uno de los mercados con mayor exposición normalizada a detecciones de malware durante 2025, con picos asociados a campañas coordinadas de gran escala. Asimismo, el informe observa que determinadas campañas en español, inicialmente activas en Latinoamérica, escalan posteriormente hacia Europa, situando a España en una posición estratégica dentro de estas dinámicas transcontinentales.

A nivel global, los ataques basados en correo electrónico crecieron un 16 % interanual por organización y un 20 % por usuario. El phishing se mantuvo como el principal vector de entrada, responsable del 52 % de los ataques dirigidos a MSP, mientras que las amenazas avanzadas contra plataformas de colaboración aumentaron significativamente, pasando del 12 % en 2024 al 31 % en 2025.

Entre las principales tendencias identificadas en 2025 destacan:

• El uso malicioso de herramientas legítimas como PowerShell, consolidada como una de las utilidades más explotadas por atacantes.
• El predominio del phishing, que representó el 83 % de todas las amenazas por correo electrónico en el segundo semestre del año.
• La integración creciente de IA en fases clave de los ataques, desde el reconocimiento hasta la negociación de ransomware.
• La persistencia de vulnerabilidades críticas en plataformas utilizadas por MSP.
• El impacto sostenido en sectores como manufactura, tecnología y sanidad, debido a su necesidad de alta disponibilidad y la complejidad de sus entornos.

Durante 2025 también se observó un incremento significativo en el uso de IA para automatizar campañas de extorsión, optimizar técnicas de ingeniería social y escalar operaciones. Grupos como GLOBAL GROUP o GTG-2002 emplearon capacidades asistidas por IA para maximizar el impacto de sus ataques, evidenciando una transición hacia un modelo de ciberdelincuencia más automatizado, escalable y sofisticado.

“El panorama de amenazas está evolucionando rápidamente. Los atacantes no solo mantienen métodos tradicionales como el phishing o el ransomware, sino que integran la inteligencia artificial en sus operaciones para actuar con mayor velocidad y eficacia”, afirmó Gerald Beuchelt, CISO de Acronis. “Esta nueva etapa exige que las organizaciones combinen automatización defensiva con resiliencia operativa y capacidad real de recuperación”.

El ransomware continuó siendo una amenaza dominante. Más de 7.600 víctimas fueron divulgadas públicamente a nivel global en 2025, con cerca de 150 MSP y organizaciones del sector telecomunicaciones afectadas directamente. Entre los grupos más activos se situaron Qilin (962 víctimas), Akira (726) y Cl0p (517). Estados Unidos registró el mayor número de víctimas, aunque el impacto se mantuvo elevado en Europa.

Los ataques a la cadena de suministro y a MSP siguen siendo un vector crítico. La explotación de vulnerabilidades en herramientas de acceso remoto y gestión remota permitió comprometer a más de 1.200 organizaciones de terceros y proveedores, subrayando la importancia de reforzar controles en entornos interconectados.

En este contexto, el informe subraya la necesidad de adoptar un enfoque de ciberprotección integrado que combine prevención, detección, automatización y capacidad de recuperación, especialmente en mercados europeos como el español, donde la presión regulatoria y la digitalización acelerada elevan el nivel de exposición.