Acronis ha publicado su informe de ciberamenazas semestral de la segunda mitad de 2025, en el que analiza la evolución de las amenazas y el malware a nivel global a partir de la telemetría recogida por su Unidad de Investigación de Amenazas (TRU) y su red de sensores. El informe confirma una tendencia sostenida de crecimiento de los ataques basados en identidad, phishing y ransomware, así como la integración cada vez mayor de la IA en la operativa de las campañas maliciosas.
En Europa, España queda como uno de los mercados con más exposición normalizada a detecciones de malware en 2025, con picos asociados a campañas coordinadas a gran escala. Además, el informe señala que determinadas campañas en castellano, inicialmente activas en Latinoamérica, escalan después hacia Europa, con España en una posición estratégica en estas dinámicas transcontinentales.
A nivel global, los ataques basados en email aumentaron un 16% interaanual por organización, y un 20% por usuario. El phishing siguió siendo el principal vector de entrada, y el responsable del 52% de los ataques dirigidos a MSP. Las amenazas avanzadas contra plataformas de colaboración aumentaron de forma notable, subiendo del 12% en 2024 al 31% en 2025.
Entre las principales tendencias en malware identificadas en el informe de 2025 destaca el uso malicioso de herramientas legítimas. Como PowerShell, una de las utilidades maś explitadas por los atacantes. Además, el phishing representó el 83% de todas las amenazas por email registradas en la segunda mitad del año. La integración de IA en fases clave de ataques, desde el reconocimiento hasta la negociación del ransomware, sigue en alza.
Además, destaca la presencia de vulnerabilidades críticas en plataformas empleadas por MSP, así como el impacto sostenido del malware en sectores como manufactura, tecnología y sanidad, por su necesidad de alta disponibilidad y la complejidad de sus entornos.
En la segunda mitad del año pasado también se observó un aumento notable en el uso de IA para automatizar campañas de extorsión, optimizar técnicas de ingeniería social y escalar operaciones. Grupos como Global Group o GTG-2002 utilizaron capacidades asistidas por IA para aumentar el impacto de sus ataques de malware, lo que ha puesto en evidencia el paso hacia un modelo de ciberdelincuencia más automatizado, escalable y sofisticado.
El ransomware siguió siendo una amenaza dominante, con más de 7.600 víctimas a nivel global en 2025. Alrededor de 150 MSP y organizaciones del sector telecomunicaciones afectadas de manera directa. Entr los grupos de ciberatacantes más activos estuvieron Qilin (962 víctimas), Akira (726) y Cl0p (517). Estados Unidos registró el mayor número de víctimas, aunque también hubo un número elevado en Europa.
Los ataques a la cadena de suministro y MSP siguen siendo un vector crítico para los ciberataques. La explotación de vulnerabilidades en herramientas de acceso remoto y gestión remota permitió comprometer a más de 1.200 organizaciones de terceros y proveedores, subrayando la importancia de reforzar controles en entornos interconectados.
En este contexto, el informe destaca la necesidad de adoptar un enfoque de ciberprotección integrado frente al malware y todo tipo de amenazas que combine prevención, detección, automatización y capacidad de recuperación. Especialmente en mercados en los que la presión regulatoria y la digitalización acelerada aumenten el nivel de exposición.
Gerald Beuchelt, CISO de Acronis, ha destacado que «el panorama de amenazas está evolucionando rápidamente. Los atacantes no solo mantienen métodos tradicionales, como el phishing o el ransomware, sino que integran la IA en sus operaciones para actuar con más velocidad y eficacia. Esta nueva etapa exige que las organizaciones combinen automatización defensiva con resiliencia operativa y capacidad real de recuperación«.
