Acronis avisa del auge del ransomware y de la ingeniería social impulsada por IA

En su informe sobre ciberamenazas del primer semestre de 2025, la compañía de ciberseguridad Acronis señala que el ransomware sigue siendo la principal amenaza para empresas medianas y grandes, pero también de que más grupos de atacantes utilizan la IA para automatizar sus actividades. Especialmente, las relacionadas con la ingeniería social.

En el periodo analizado por la compañía, el phishing representó la cuarta parte de todos los ataques. Además, el informe señala que el 52% de los ataques de phishing de enero a junio se dirigieron a MSPs, un 22% más que durante el mismo periodo del año anterior.

El informe aborda el panorama de amenazas a nivel global, según las observaciones de la Unidad de investigación de amenazas de Acronis (TRU) y los sensores de la compañía en endpoints de Windows en la primera mitad de este años. Según las señalas de más de un millón de endpoints distribuidos por el mundo, el informe también incluye estadísticas centradas en amenazas dirigidas a Windows, dad su prevalencia con respecto a MacOS y Linux.

Según sus datos, está claro que el ransomware sigue siendo la forma de ataque preferida por los ciberdelincuentes. El número de víctimas de este tipo de ataque de las que hay constancia ha aumentado casi en un 70% en comparación con 2023 y 2024. Clop, Akira y Qlin han sido los grupos de ransomware más activos en 2025 hasta el mes de junio.

Los grupos de ransomware usan la IA cada vez más, lo que queda reflejado en los vectores de amenazas que eligen: la ingeniería social y los ataques al correo electrónico empresarial (BEC) subieron del 20% al 25% entre enero y mayo de este año con respecto a 2024. Esto se debe posiblemente al aumento del uso de la IA para el diseño de suplantaciones, que cada vez son más convincentes. Además, se descubrió malware en el 1,47% de las copias de seguridad de correo electrónico de Microsoft 365.

En cuanto a los ataques a MSP, aunque ha bajado el número total de los que recibieron en el periodo analizado con respecto al año anterior, ha habido un cambio en la naturaleza de estos ataques. Como hemos mencionado, el 52% de los que recibieron fueron de phishing, un 22% más que en el mismo periodo de 2024. En cuanto a los ataques al Protocolo de escritorio remoto (RDP) que recibieron los MSP, prácticamente desaparecieron en la primera mitad del año.

En cuanto al tipo de ataques de phishing, Acronis recuerda que no todos son iguales, y que se centran cada vez más en las aplicaciones de colaboración. Así, van dejando de manera progresiva las campañas simples de vulneración del email de empresas. Casi el 25% de los ataques a aplicaciones de colaboración aprovecharon la tecnología de deepfakes generados por IA, o exploits automatizados.

Por sectores empresariales, el de la fabricación fue el más atacado por los grupos de ransomware, con un 15% de todos los casos registrados en el primer trimestre de 2025. Le siguen el comercio minorista, la alimentación y las bebidas, con un 12%; y las empresas de telecomunicaciones y medios de comunicación, con un 10% de los ataques.

 En la primera mitad del año, tal como queda reflejado en el informe de Acronis, España ha registrado las tasas de detección más altas de Europa, con dos picos en marzo y mayo por encima del 10%. Ambos picos apuntan probablemente a una exposición más elevada durante ambos meses, que puede deberse a campañas de infostealers en periodos vacacionales, así como a la época de presentación de impuestos. 

Por otro lado, tras el apagón de finales de abril, los ciberestafadores lanzaron diversos ataques de phishing explotando el caos generado a raíz del incidente. Entre ellos estafas con billetes de avión falsos y sitios web de robo de credenciales. España ha registrado también un importante aumento del abuso de dominios .es para phishing, con un pico en mayo de 2025 de unos 1.300 subdominios que almacenaban webs maliciosas. 

Varios incidentes de alto nivel, entre los que hubo una brecha en el correo electrónico del Senado, y una filtración de datos de Telefónica que afectó a 22 millones de clientes, contribuyeron al crecimiento de la detección de URLs maliciosas. La operadora sufrió otro ataque de importancia a primeros de año, que expuso los datos de 20.000 empleados y ocasionó la filtración de 2,3 GB de datos sensibles.