Los datos de 2025 de Google Threat Intelligence muestran que Alemania experimentó un crecimiento del 92 por ciento en víctimas listadas en sitios de filtración de datos, tres veces el promedio europeo.
En 2025 Alemania se convirtió nuevamente en un área de enfoque para las operaciones de extorsión cibernética en Europa. Las publicaciones en sitios de filtración de datos que listaban organizaciones alemanas aumentaron de manera significativa. A nivel global, el número de tales publicaciones creció casi un 50 por ciento durante el año. El crecimiento observado en Alemania superó la tasa registrada en los países vecinos y devolvió al país a los niveles de actividad vistos por última vez en 2022 y 2023.
La posición de Alemania siguió un patrón diferente en 2024, cuando el Reino Unido registró el mayor número de víctimas listadas. Alemania pasó al frente en 2025. Este cambio no puede atribuirse simplemente al número total de empresas que operan en el país. Alemania cuenta con menos empresas activas que Francia o Italia. El atractivo para los grupos de extorsión proviene más bien de la naturaleza avanzada de la economía alemana y del grado de digitalización en su base industrial.
El volumen de víctimas alemanas listadas en sitios de filtración de datos creció un 92 por ciento entre 2024 y 2025. Esta tasa representó tres veces el crecimiento promedio registrado en toda Europa. La actividad dirigida a organizaciones en el Reino Unido disminuyó en el mismo período, mientras que los volúmenes en países de habla no inglesa aumentaron. Varios factores interconectados explican este desarrollo. Los grupos cibercriminales han adoptado herramientas de inteligencia artificial para automatizar la localización de ataques y las comunicaciones relacionadas. La tecnología ha reducido el efecto protector que antes ofrecían las diferencias idiomáticas. Al mismo tiempo, los grupos han redirigido su atención hacia el Mittelstand alemán. Este segmento de la economía está formado por pequeñas y medianas empresas que operan a menudo en campos especializados de manufactura e ingeniería y constituyen una parte central de la producción industrial alemana.
Las organizaciones más grandes en Norteamérica y el Reino Unido han mejorado sus controles de seguridad o han resuelto incidentes mediante acuerdos privados respaldados por seguros cibernéticos. El resultado ha sido un desplazamiento de los actores de amenazas hacia mercados que consideran que ofrecen mayores tasas de éxito. Evidencia de este enfoque deliberado aparece en anuncios públicos colocados por actores en foros criminales. Algunos actores han buscado asociaciones comerciales que otorguen acceso a empresas alemanas y han propuesto compartir una parte de los pagos de extorsión resultantes. Un actor identificado como Sarcoma ha perseguido tales arreglos desde noviembre de 2024 mientras apunta a empresas en varias economías desarrolladas, incluida Alemania.
Los números extraídos de sitios de filtración de datos deben interpretarse con precaución. Estas plataformas publican información solo en casos en los que las víctimas se niegan a iniciar o completar negociaciones de pago. Un descenso documentado en la proporción de organizaciones que pagan rescates puede, por tanto, contribuir al mayor volumen de publicaciones. Los grupos parecen emplear la lista pública de datos robados como un mecanismo de presión secundario una vez que se rechazan las demandas iniciales.
El ecosistema cibercriminal en sí experimentó turbulencias internas y presión externa en 2025. Operaciones de las fuerzas del orden y conflictos dentro de grupos importantes como LockBit y Alphv redujeron el dominio de un pequeño número de operaciones grandes. La reducción resultante de capacidad en la cima del mercado permitió que un conjunto más amplio de grupos de nivel medio expandieran su participación en la actividad. En Alemania, este reequilibrio produjo una distribución más variada de los ataques.
SafePay contabilizó publicaciones relacionadas con 76 empresas alemanas en 2025. Ese total representó el 25 por ciento de todas las víctimas alemanas listadas en sitios de filtración de datos durante el año. Qilin aumentó su ritmo operativo en Alemania por un factor de tres durante el tercer trimestre de 2025. El grupo continuó el patrón a principios de 2026 con 13 víctimas alemanas adicionales publicadas. La expansión en Alemania ha ocurrido junto con el crecimiento internacional más amplio del grupo, pero ha mantenido un énfasis consistente en objetivos alemanes.
Los datos sobre el tamaño de las organizaciones afectadas aclaran aún más el patrón de targeting. Las empresas con menos de 5.000 empleados representaron el 96 por ciento de todas las filtraciones de datos relacionadas con ransomware registradas en Alemania en 2025. La proporción se alinea estrechamente con la estructura general de la economía alemana, en la que predominan las pequeñas y medianas empresas. La cifra contrarresta la suposición de que solo las grandes corporaciones atraen atención. Las organizaciones más pequeñas operan frecuentemente con personal de seguridad dedicado y recursos especializados más limitados. Esto las convierte en objetivos prácticos para grupos que buscan retornos confiables con menor resistencia.
La concentración en empresas más pequeñas conlleva consecuencias secundarias para las empresas más grandes. Muchas grandes compañías alemanas mantienen extensas redes de proveedores y contratistas. Estas terceras partes procesan a menudo datos sensibles o retienen acceso privilegiado a los sistemas corporativos. Los atacantes pueden explotar tales conexiones para moverse lateralmente hacia objetivos de mayor valor. Las organizaciones en la cima de las cadenas de suministro pueden reducir la exposición al ir más allá de la supervisión pasiva de proveedores. Los enfoques estructurados de gestión de riesgos de terceros, que incluyen la clasificación de proveedores y la aplicación de controles de seguridad como la autenticación multifactor, limitan las vías favorecidas por los métodos de ataque actuales.
La distribución de víctimas a lo largo de los sectores económicos muestra tanto continuidad como cambio. La manufactura siguió siendo la industria más afectada, con el 23 por ciento de todas las filtraciones registradas. Los servicios legales y profesionales siguieron con el 14 por ciento y registraron crecimiento durante el año. La construcción e ingeniería representaron el 11 por ciento, mientras que el comercio minorista representó el 10 por ciento. El aumento en el sector de servicios legales y profesionales refleja el tipo de información que estas firmas gestionan de manera rutinaria. Actúan como custodios de datos de clientes que incluyen detalles de propiedad intelectual, estrategias financieras y planes relacionados con fusiones y adquisiciones. Tal material ofrece a los grupos de extorsión un apalancamiento que se extiende más allá de la víctima inmediata a una base de clientes más amplia.
Los desarrollos registrados en 2025 indican que el volumen de actividad de extorsión cibernética que afecta a Alemania ha regresado a los niveles elevados observados en 2022 y 2023. El entorno de amenazas europeo se ha vuelto más variado. La actividad ahora se extiende a una gama más amplia de idiomas y mercados nacionales. La contracción de antiguos grupos dominantes ha producido un campo más competitivo poblado por operadores de nivel medio ágiles. Grupos como SafePay y Qilin han expandido su presencia en Alemania en paralelo con sus operaciones internacionales. Su actividad se centra en el Mittelstand y el sector de servicios profesionales, donde los enlaces de la cadena de suministro crean puntos de entrada adicionales. Las vulnerabilidades a nivel de organizaciones más pequeñas pueden, por tanto, propagarse hacia arriba a través de las redes industriales.
Estos patrones probablemente persistirán en 2026. Las organizaciones de todos los tamaños en Alemania y en Europa enfrentan la necesidad de monitorear un entorno caracterizado por una mayor diversidad de actores y una presión continua sobre las economías de habla no inglesa. La combinación de la adaptación tecnológica por parte de los criminales y las características estructurales de la economía alemana ha sostenido la posición del país dentro del panorama de extorsión cibernética europea.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de