La administración pública (38,2%) es uno de los principales objetivos de los ciberataques en la Unión Europea (UE), según el informe ‘Panorama de amenazas de Enisa 2025’ (Enisa Threat Landscape 2025) de la Agencia de ciberseguridad de la Unión Europea (Enisa). El informe ha analizado 4.875 incidentes durante un período comprendido entre el 1 de julio de 2024 y el 30 de junio de 2025, proporcionando una descripción general de las amenazas y tendencias de ciberseguridad más importantes a las que se enfrenta la UE en el ecosistema actual de ciberamenazas.
Según el análisis sectorial de amenazas del informe, encabezando la lista de sectores objetivo en la UE se encuentra la administración pública (38,2%), foco de hacktivismo y grupos de intrusión en el nexo estatal que realizan campañas de ciberespionaje contra entidades diplomáticas y gubernamentales.
En segundo lugar, se encuentra el sector del transporte (7,5%), seguido de las infraestructuras y servicios digitales (4,8%), las finanzas (4,5%) y la industria manufacturera (2,9%). La estrecha correspondencia entre los sectores mejor clasificados y los sectores incluidos en el ámbito de aplicación de la Directiva NIS 2 subraya la importancia de esta. El 53,7% del total de incidentes afecta a entidades esenciales, según la definición de la Directiva NIS 2.
Tres de los cinco sectores más atacados se han mantenido consistentemente en los primeros puestos durante dos años consecutivos, mientras que la administración pública ha experimentado un aumento notable en los incidentes este año, impulsado por el aumento de los ataques DDoS de los hacktivistas.
Riesgos dominantes en la UE
Los puntos destacados del informe revela que los ataques DDoS fueron el tipo de incidente dominante y representaron el 77% de los incidentes denunciados, la mayor parte de los cuales fueron implementados por hacktivistas, mientras que los ciberdelincuentes representan solo una porción menor. Asimismo, el hacktivismo ha representado casi el 80% del número total de incidentes, principalmente a través de campañas DDoS de bajo impacto dirigidas a sitios web de organizaciones de los Estados miembros de la UE, y solo el 2% de los incidentes de hacktivismo resultaron en una interrupción del servicio.
Por otro lado, el ransomware se identifica como la amenaza más impactante en la UE, mientras que el phishing (60%), seguido de la explotación de vulnerabilidades (21,3%) son los dos principales puntos de acceso de intrusión.
El phising es la amenazada más frecuente
Basándose en la metodología actualizada del panorama de amenazas de ciberseguridad de Enisa y en un nuevo formato, los hallazgos incluyen tendencias clave actualizadas. En cuanto al método principal de intrusión inicial, el phishing (incluyendo vishing, malspam y malvertising) se identifica como el vector principal, representando aproximadamente el 60% de los casos observados. Los avances en su implementación, como el phishing como servicio (PhaaS), que permite la distribución de kits de phishing listos para usar, indican una automatización que facilita el camino a los atacantes, independientemente de su experiencia.
En estrecha relación con los recientes acontecimientos en la UE, se ha observado un aumento en los ataques contra las ciberdependencias. Los ciberdelincuentes han intensificado sus esfuerzos para aprovechar puntos críticos de dependencia, por ejemplo, en la cadena de suministro digital, para obtener el máximo provecho de sus ataques. Este método permite magnificar el impacto de las acciones al aprovechar la interconexión inherente a los ecosistemas digitales europeos.
Lo que también se destaca es la convergencia entre los grupos de amenazas y la superposición actual en sus tácticas, técnicas y procedimientos (TTP), objetivos, metas, etc. Esto se demuestra mejor con el faketivismo, donde las intrusiones de actores alineados con el Estado emplean características hacktivistas, así como similitudes en las herramientas utilizadas tanto por los grupos de hacktivistas como por los ciberdelincuentes.
Mejoras en la técnica del phishing a través de la IA
El creciente papel de la inteligencia artificial (IA) se ha convertido en una tendencia clave innegable en el cambiante panorama de amenazas. El informe destaca su uso como herramienta de optimización para actividades maliciosas, pero también como un nuevo punto de exposición. Los modelos de lenguaje largo (LLM) se están utilizando para mejorar el phishing y automatizar las actividades de ingeniería social.
A principios de 2025, las campañas de phishing respaldadas por IA representaban más del 80% de la actividad de ingeniería social observada en todo el mundo. Los ataques a la cadena de suministro de IA están en aumento. Si bien las actividades de amenaza que involucran IA se centraban en el uso de herramientas de IA de consumo para mejorar las operaciones existentes, los nuevos sistemas maliciosos de IA plantean inquietudes sobre sus capacidades futuras debido al uso generalizado de modelos de IA.
Por último, se ha observado un mayor volumen de ataques hacia dispositivos móviles, centrándose en comprometer dispositivos obsoletos.