Europa, el segundo mayor objetivo los ciberdelincuentes ante el avance del ransomware y la Violencia como Servicio

Europa es el segundo mayor objetivo a nivel global de los ciberdelincuentes en un contexto en el que las operaciones de 'ransomware' se están acelerando, los actores patrocinados por los Estados han ampliado su actividad en la región y ha parecido el fenómeno llamado 'Violencia como Servicio'.

Las organizaciones europeas representan casi el 22 por ciento de las víctimas globales de 'ransomware' y extorsión, sólo por detrás de Norteamérica, según se recoge en el la última edición del informe de CrowdStrike sobre el panorama de amenazas en Europa 2025.

A partir de los resultados, la compañía especializada en ciberseguridad ha destacado una aceleración en las operaciones de 'ransomware'; grupos de ciberdelincuentes como Scattered Spider aumentaron su velocidad de despliegue de 'ransomware' en un 48 por ciento, con ataques que ahora tardan solo 24 horas en promedio.

Desde el 1 de enero de 2024, se han encontrado 2.100 víctimas europeas en sitios de extorsión tras filtración de datos. Reino Unido, Alemania, Francia, Italia y España se presentan como los países más atacados, con un 92 por ciento de los casos que involucraron cifrado de archivos y robo de datos.

Los investigadores de CrowdStrike también han encontrado 260 intermediadores de acceso inicial que ofrecían acceso a más de 1.400 organizaciones europeas, como señala la compañía en una nota de prensa.

ACTORES PATROCINADOS POR LOS ESTADOS

Los actores patrocinados por los Estados de Rusia, China, Corea del Norte e Irán han ampliado su actividad en Europa, y afectan ya a múltiples sectores, lo que, como apuntan desde CrowdStrike, refleja la creciente convergencia entre la ciberdelincuencia y las amenazas geopolíticas.

En este contexto, los actores vinculados a Rusia continúan atacando a Ucrania mediante 'phishing' de credenciales, recolección de inteligencia y operaciones destructivas dirigidas a los sectores gubernamental, militar, energético, de telecomunicaciones y servicios públicos.

Por su parte, los actores asociados a Corea del Norte han ampliado sus ataques contra instituciones europeas de defensa, diplomacia y finanzas, combinando espionaje con robos de criptomonedas para avanzar en sus intereses estratégicos.

En lo que respecta a China, los adversarios patrocinados por este Estado han atacado industrias en once países, explotando infraestructuras en la nube y cadenas de suministro de 'software' para robar elementos de propiedad intelectual. Se han observado campañas persistentes centradas en salud y biotecnología, con Vixen Panda como la amenaza más prolífica contra entidades gubernamentales y de defensa europeas.

Por último, los actores vinculados a la Guardia Revolucionaria Islámica de Irán (IRGC) han intensificado campañas de 'phishing', 'hack-and-leak' (hackear y filtrar) y ataques de denegación de servicio (DDoS) contra el Reino Unido, Alemania y los Países Bajos.

Haywire Kitten se atribuyó la autoría de un ataque DDoS contra un medio de comunicación neerlandés, mientras que múltiples actores iraníes se hicieron pasar por 'hacktivistas' para encubrir sus esfuerzos de espionaje estatal.

MERCADOS CLANDESTINOS

Según CrowdStrike, los adversarios que operan en Europa, o la tienen como objetivo, se han beneficiado de mercados clandestinos que han convertido en productos comerciales servicios como 'Malware como Servicio' (MaaS), intermediación para conseguir accesos iniciales y kits de 'phishing'.

Los foros en inglés y ruso, como BreachForums, sucesor de RaidForums, cuyos administradores estaban vinculados a actores en Francia y el Reino Unido, siguen siendo el núcleo del ecosistema del 'eCrime' en Europa, facilitando el intercambio de datos robados, 'malware' y servicios criminales.

Plataformas como Telegram, Tox y Jabber permiten la colaboración, el reclutamiento y la monetización entre los actores de amenazas.

También ha surgido como amenaza creciente en Europa el fenómeno 'Violencia como Servicio' (Violence-as-aService), donde actores maliciosos usan redes basadas en Telegram para coordinar ataques físicos, secuestros y extorsiones vinculadas a robos de criptomonedas.

Grupos relacionados con el ecosistema The Com y adversarios híbridos como Renaissance Spider están fusionando operaciones cibernéticas y físicas, ofreciendo pagos por sabotaje, incendios provocados y violencia dirigida.

"Estamos viendo una peligrosa convergencia entre la innovación criminal y la ambición geopolítica: los grupos de 'ransomware' utilizan herramientas corporativas, y los actores respaldados por Estados aprovechan las crisis globales para interrumpir, persistir y realizar espionaje", ha explicado el jefe de Operaciones contra ciberdelincuentes en CrowdStrike, Adam Meyers.

El directivo cree que, "en este entorno de alto riesgo, una defensa basada en inteligencia, potenciada por IA y guiada por la experiencia humana, es la única combinación capaz de detener las ciberamenazas".