A través de un enfoque más centrado en las amenazas y un análisis contextual más detallado, esta última edición del Panorama de amenazas de ENISA analiza 4875 incidentes durante un período que abarca desde el 1 de julio de 2024 hasta el 30 de junio de 2025. En esencia, este informe ofrece una visión general de las amenazas y tendencias de ciberseguridad más destacadas a las que se enfrenta la UE en el actual ecosistema de ciberamenazas.
Aspectos destacados del panorama de amenazas de ENISA 2025
- Tipo de incidente: Los ataques DDoS fueron el tipo de incidente dominante y representaron el 77% de los incidentes reportados, la mayor parte de los cuales fueron implementados por hacktivistas, mientras que los ciberdelincuentes representan solo una parte menor.
- El ransomware se identifica como la amenaza más impactante en la UE.
- El hacktivismo tomó la delantera, representando casi el 80% del número total de incidentes, principalmente a través de campañas DDoS de bajo impacto dirigidas a los sitios web de las organizaciones de los Estados miembros de la UE, y solo el 2% de los incidentes de hacktivismo resultaron en interrupciones del servicio.
- Los grupos de amenazas alineados con el Estado intensificaron constantemente sus operaciones contra las organizaciones de la UE. Los actores del nexo estatal llevaron a cabo ciberespionaje contra el sector de la administración pública, mientras que el público de la UE se enfrentó a la manipulación e interferencia de información extranjera (FIMI).
- El phishing (60%), seguido de la explotación de vulnerabilidades (21,3%) son los dos principales puntos de acceso a la intrusión.
- Con respecto a los objetivos evaluados de estos incidentes, casi el 80% fueron incidentes impulsados por ideología, llevados a cabo exclusivamente por hacktivistas a través de DDoS.
Profundizar en las tendencias clave
Sobre la base de la metodología actualizada de ENISA sobre el panorama de las amenazas a la ciberseguridad y de un nuevo formato, las conclusiones incluyen tendencias clave actualizadas. Con respecto al método principal para la intrusión inicial, el phishing (incluido el vishing, el malspam y la publicidad maliciosa) se identifica como el vector principal, representando alrededor del 60% de los casos observados. Los avances en su implementación, como el phishing como servicio (PhaaS) que permite la distribución de kits de phishing listos para usar, indican una automatización que allana el camino para los atacantes independientemente de su experiencia.
Estrechamente relacionado con los recientes acontecimientos en la UE, se ha observado un aumento en los ataques contra las ciberdependencias. Los ciberdelincuentes han intensificado sus esfuerzos para abusar de puntos críticos de dependencia, por ejemplo en la cadena de suministro digital, para sacar el máximo provecho de sus ataques. Este método es capaz de magnificar el impacto de las acciones aprovechando la interconexión inherente a nuestros ecosistemas digitales.
Lo que también destaca es la convergencia entre los grupos de amenazas y la superposición actual en sus Tácticas, Técnicas y Procedimientos (TTP), metas, objetivos, etc. Esto se demuestra mejor con el faketivismo, donde las intrusiones de actores alineados con el estado emplean características hacktivistas, así como con similitudes en las herramientas utilizadas tanto por los grupos de hacktivistas como por los ciberdelincuentes.
El creciente papel de la IA se ha convertido en una tendencia clave innegable del panorama de amenazas en rápida evolución. El informe destaca el uso de la IA como herramienta de optimización para actividades maliciosas, pero también como un nuevo punto de exposición. Los grandes modelos de lenguaje (LLM) se están utilizando para mejorar el phishing y automatizar las actividades de ingeniería social. A principios de 2025, las campañas de phishing apoyadas por IA representaban más del 80 por ciento de la actividad de ingeniería social observada en todo el mundo. Los ataques a la cadena de suministro de IA van en aumento. Si bien el enfoque de las actividades de amenazas relacionadas con la IA fue el uso de herramientas de IA de nivel de consumidor para mejorar sus operaciones existentes, los sistemas de IA maliciosos emergentes están generando preocupaciones sobre sus capacidades en el futuro debido al uso generalizado de modelos de IA.
Por último, pero no menos importante, se ha observado un mayor volumen de ataques hacia dispositivos móviles, con un enfoque en comprometer dispositivos obsoletos.
Principales sectores objetivo en la UE
El análisis sectorial de amenazas del informe es importante para destacar los puntos objetivo estructurales de las infraestructuras críticas de la UE. En la parte superior de la lista de sectores objetivo en la UE se encuentra la administración pública (38,2%), siendo el foco del hacktivismo y los conjuntos de intrusión de nexo estatal que realizan campañas de ciberespionaje en entidades diplomáticas y gubernamentales.
En segundo lugar se encuentra el sector del transporte (7,5%), seguido de las infraestructuras y servicios digitales (4,8%), las finanzas (4,5%) y la manufactura (2,9%). La estrecha correspondencia entre los sectores con mayor clasificación y los sectores incluidos en el ámbito de aplicación de la Directiva NIS 2 subraya la importancia de la Directiva. El 53,7% del número total de incidentes se refieren a entidades esenciales, tal como se definen en la Directiva NIS 2.
Tres de los cinco principales sectores objetivo se han mantenido constantemente en los primeros puestos durante dos años consecutivos, mientras que la administración pública ha visto un aumento notable en los incidentes este año, impulsado por el aumento de los ataques DDoS de los hacktivistas.
