Ciberataques en España: radiografía de una amenaza en auge

Portada » General » Ciberataques en España: radiografía de una amenaza en auge

En los últimos años, España se ha convertido en uno de los objetivos preferentes de la ciberdelincuencia a nivel mundial. Empresas del Ibex 35, pymes, universidades, ayuntamientos, ministerios e incluso las Fuerzas Armadas han sufrido incidentes que van desde el robo masivo de datos hasta el secuestro de sistemas críticos mediante ransomware.

Este escenario, que combina ataques cada vez más sofisticados, motivaciones económicas y geopolíticas y un uso creciente de la inteligencia artificial, está obligando a organizaciones públicas y privadas a tomarse muy en serio la ciberseguridad. Lejos de ser una amenaza teórica, los ciberataques en España tienen ya consecuencias muy tangibles: interrupciones de servicio, filtraciones de millones de registros, extorsiones millonarias y una presión regulatoria en aumento.

España en el punto de mira: cifras, tendencias y actores

A nivel global, los informes de referencia apuntan a que España se sitúa entre los países más golpeados por la ciberdelincuencia. Datos recientes sitúan al país en la quinta posición europea más afectada por ciberataques en la primera mitad de 2025, y en torno al puesto 14 a nivel mundial en cuanto a volumen de clientes afectados, según análisis de grandes proveedores tecnológicos.

Firmas de ciberseguridad que monitorizan de forma continua la actividad maliciosa destacan que en 2025 las organizaciones españolas sufren una media de alrededor de 1.900 ataques por semana, con incrementos interanuales superiores al 60 %. En algunos estudios, España llega a aparecer incluso como el segundo país más atacado del mundo, adelantando a otros grandes mercados europeos.

Buena parte de este interés criminal se explica porque España tiene un peso económico y geopolítico relevante, presencia comercial en prácticamente todos los mercados internacionales y un papel estratégico como puente entre Europa y América. A esto se suma que el país cuenta con infraestructuras críticas muy digitalizadas y un tejido empresarial amplio, donde aún abundan organizaciones con recursos limitados para la ciberseguridad.

Al mismo tiempo, se observa una profesionalización evidente de las bandas de ciberdelincuentes, con grupos organizados como LockBit o Ransomhub que operan casi como empresas, ofrecen servicios de «ransomware as a service» y cuentan incluso con sistemas de reputación interna para valorar proveedores de malware. El cibercrimen, según algunas estimaciones, ya roza costes globales cercanos al 1,5 % del PIB mundial.

En paralelo, los informes destacan el papel creciente de los actores vinculados a Estados-nación. Grupos asociados a China, Rusia, Irán o Corea del Norte, entre otros, combinan el espionaje con intereses económicos y desestabilizadores. Además, cada vez recurren más a redes de ciberdelincuentes «privados», lo que dificulta todavía más atribuir con precisión la autoría de muchos incidentes.

Ciberataques destacados en España en 2025: casos mes a mes

Durante 2025 se han ido encadenando incidentes de seguridad de enorme relevancia en España, que afectan tanto a grandes compañías como a administraciones públicas y organismos estratégicos. A continuación se repasan los casos más significativos que se han ido conociendo.

Enero 2025: phishing masivo en la Universitat de les Illes Balears

A comienzos de año, la Universitat de les Illes Balears (UIB) vio cómo un ataque de phishing se dirigía contra su comunidad académica. Los atacantes enviaron correos electrónicos que simulaban comunicaciones oficiales de la propia institución, con el objetivo de captar la confianza de estudiantes y personal docente.

Esos mensajes conducían a una página web falsa que imitaba el entorno institucional y pedía introducir las credenciales de acceso. Aunque no se ha hecho público el alcance exacto de la brecha, se teme que puedan haberse expuesto datos personales y credenciales de alumnos y profesores, lo que abre la puerta a accesos no autorizados, suplantaciones de identidad y ulteriores ataques dirigidos.

Enero 2025: filtración de datos en Guardia Civil y Fuerzas Armadas

En ese mismo mes se conoció un incidente especialmente preocupante por su naturaleza sensible: la filtración de datos de unos 180.000 miembros de la Guardia Civil, las Fuerzas Armadas

Según fuentes cercanas a la investigación, el robo de la información se habría producido tiempo atrás, pero los datos acabaron apareciendo a la venta en un foro de ciberdelincuencia en la dark web. La exposición de este volumen de información sobre personal de defensa plantea un riesgo evidente tanto desde el punto de vista de la seguridad nacional como en materia de privacidad individual.

Enero 2025: intrusión en el sistema de ticketing de Telefónica

También en enero trascendió que Telefónica había sufrido una intrusión en su sistema interno de gestión de incidencias (ticketing). Los atacantes, vinculados a un pequeño grupo que operaría con alias como DNA, Grep, Pryx y Rey, lograron exfiltrar en torno a 2,3 GB de información relacionada con la operativa interna de la compañía.

La operadora insistió en que los datos de clientes residenciales no se vieron comprometidos, aunque diversas filtraciones apuntaban a que parte de la información robada podía incluir detalles internos de gestión y comunicaciones de soporte. El incidente se sumó a una creciente preocupación por el uso de credenciales comprometidas de empleados para acceder a sistemas corporativos críticos.

Febrero 2025: fuga de datos personales en DKV Seguros

En febrero fue el turno de DKV, una de las aseguradoras de salud más conocidas en España, que notificó a sus clientes un ciberataque con impacto directo en información de carácter personal. Aunque la compañía recalcó que no se habían visto afectados historiales médicos ni datos financieros, sí quedó comprometido un conjunto muy relevante de datos identificativos.

Entre la información expuesta figuraban nombres y apellidos, números de teléfono, DNI, fechas de nacimiento, direcciones de correo electrónico y domicilios postales. Este tipo de datos resulta muy atractivo para los ciberdelincuentes, ya que facilita campañas de phishing altamente personalizadas, intentos de fraude, apertura de líneas telefónicas o financieras fraudulentas y múltiples formas de suplantación de identidad.

Marzo 2025: ataque a un proveedor de El Corte Inglés

A comienzos de marzo se conoció un incidente que afectó a El Corte Inglés a través de uno de sus proveedores externos. En este caso, los atacantes no irrumpieron directamente en los sistemas internos del gigante de la distribución, sino que aprovecharon una brecha en la seguridad de un tercero para llegar a datos de clientes.

La intrusión permitió que los delincuentes accedieran a datos de identificación, contacto y números de tarjetas exclusivas para compras en El Corte Inglés. Se calcula que este tipo de tarjeta es utilizada por cerca de 11,8 millones de usuarios, lo que da una idea del posible alcance del riesgo. La compañía, no obstante, insistió en que la información comprometida no permitiría la realización de pagos con la tarjeta, y animó a seguir utilizándola con normalidad.

Marzo 2025: ofensiva prorrusa contra administraciones públicas

En ese mismo mes se produjo un ataque con motivación claramente geopolítica. El grupo de ciberdelincuentes NoName057, afín a intereses rusos, lanzó una campaña coordinada de ataques de denegación de servicio (DDoS) contra distintas webs de administraciones españolas.

Entre las entidades afectadas se encontraban diputaciones como las de Valencia, Cáceres, Badajoz y Guipúzcoa, así como los ayuntamientos de San Sebastián, Irún, Hondarribia, Mérida y Benavente. El ataque también alcanzó infraestructuras como la Dirección General de Tráfico y varios puertos (Cartagena, Palma de Mallorca, Castellón). El objetivo era dejar inoperativos los portales como represalia simbólica por el apoyo del Gobierno español a Ucrania y al presidente Zelenski.

Abril 2025: robo masivo de datos de autónomos en ATA

En abril se supo que la Federación de Asociaciones de Trabajadores Autónomos (ATA) había sufrido un importante robo de información de sus asociados. El incidente se remontaba a febrero, cuando el grupo Arikos anunció en un conocido foro de la dark web que disponía de una base de datos de la organización.

En concreto, los delincuentes aseguraban haber obtenido 240.000 registros con nombres y apellidos, 110.000 direcciones de correo electrónico y 244.000 números de teléfono de autónomos afiliados, entre ellos el propio presidente de ATA, Lorenzo Amor. Datos de este tipo permiten desplegar campañas masivas de spam, phishing segmentado o extorsión bajo la amenaza de publicar información adicional.

Abril 2025: incidente en la empresa municipal Aigües de Mataró

La compañía municipal Aigües de Mataró, responsable de la gestión del suministro de agua y alcantarillado en la ciudad catalana, comunicó a finales de abril un incidente de ciberseguridad que afectó a su sistema informático y a su página web corporativa.

Aunque la empresa fue rápida en aclarar que no hubo impacto en la potabilidad del agua, el suministro o el funcionamiento del alcantarillado, el suceso volvió a poner el foco en la vulnerabilidad de los servicios esenciales. Muchas infraestructuras críticas dependen de sistemas de control industrial y de gestión remota que, si no están bien protegidos, pueden convertirse en objetivos muy atractivos.

Abril 2025: ransomware contra el Ayuntamiento de Badajoz

En la misma época, el Ayuntamiento de Badajoz sufrió un ataque de ransomware que paralizó sus servicios digitales. El consistorio, que presta servicio a más de 150.000 habitantes, vio cómo sus sistemas informáticos quedaban inoperativos, afectando a trámites administrativos, portales web y canales de atención ciudadana.

Las investigaciones apuntan al grupo LockBit, uno de los colectivos de ransomware más activos a nivel internacional, como posible responsable. Este tipo de ataques suelen combinar el cifrado de sistemas con la exfiltración de datos, para presionar a la entidad afectada con la doble amenaza de mantenerlos inaccesibles y difundirlos públicamente si no se paga el rescate exigido.

Mayo 2025: accesos indebidos a los perfiles digitales del Senado

En mayo se destapó un caso especialmente delicado desde el punto de vista institucional. El Senado detectó que dos informáticos contratados por la propia cámara habían accedido sin autorización meses antes a los perfiles digitales, cuentas de correo e identidades electrónicas de varios senadores.

En total se vieron afectados 29 representantes de diferentes formaciones políticas, entre ellos el expresidente extremeño Guillermo Fernández Vara. Tras una investigación interna, la institución abrió expediente a los empleados, que fueron finalmente despedidos por falta disciplinaria muy grave. El incidente refleja que el riesgo interno, ya sea malicioso o por negligencia, sigue siendo un factor crítico en ciberseguridad.

Junio 2025: posible brecha masiva de datos en Telefónica/Movistar

A principios de junio, Telefónica reconoció que estaba investigando un potencial hackeo masivo a datos de clientes de Movistar. Un ciberdelincuente que se hacía llamar Dedale aseguraba haber tenido acceso a 22 millones de registros y llegó a publicar como «prueba» un millón de ellos, supuestamente correspondientes a clientes de Perú.

Llamó la atención el hecho de que el atacante solicitara una recompensa relativamente baja, en torno a 1.500 dólares, por no difundir el resto de la base de datos. Aunque la compañía adoptó una actitud prudente y centrada en la investigación, el caso reavivó el debate sobre la protección de grandes volúmenes de datos de clientes en empresas de telecomunicaciones.

Octubre 2025: acceso no autorizado a datos de clientes de Mango

Ya en octubre, la cadena textil Mango informó a sus clientes de un acceso no autorizado a datos personales utilizados en campañas de marketing. El incidente se originó en un servicio externo encargado de gestionar comunicaciones comerciales, lo que subraya el riesgo que suponen los terceros proveedores.

Los atacantes lograron acceder a nombres (sin apellidos), números de teléfono y correos electrónicos empleados en acciones promocionales. Mango recalcó que no se habían visto afectados datos bancarios, DNI, pasaportes ni credenciales de acceso, y que la operativa de tiendas físicas y online continuó con normalidad. Aun así, el suceso vuelve a evidenciar la importancia de controlar bien la cadena de suministro digital.

Noviembre 2025: brechas en ING y posible filtración en Santander

En noviembre saltó a los titulares una acción atribuida al grupo hacker BreachParty, que habría robado información de unos 21.000 clientes de ING España. El propio banco confirmó la filtración, y parte de los datos acabaron siendo publicados.

Según los atacantes, la información incluía identificadores de cliente, nombre y apellidos completos, fecha de nacimiento, ciudad de residencia, teléfonos asociados, códigos bancarios, IBAN y la sucursal en la que se ubica la cuenta. Días después se difundió que ese mismo grupo podría haber obtenido datos de alrededor de 10.000 clientes de Banco Santander, con campos similares (identificaciones, fechas de nacimiento, teléfonos e IBAN). En este último caso, la entidad aún no ha confirmado ni desmentido de forma rotunda el alcance del incidente.

Grandes ciberataques en España durante 2024: un año de inflexión

El año 2024 ya había marcado un punto de inflexión, con un aumento considerable en la frecuencia y el impacto de los ciberataques en España. Tanto empresas privadas como administraciones públicas se vieron golpeadas por incidentes de todo tipo: interrupciones de servicio, filtraciones masivas de datos, ransomware y ataques a infraestructuras críticas.

Durante ese año, se registraron ataques a operadoras, aseguradoras, empresas energéticas, organismos reguladores y medios de comunicación públicos. El panorama demostró que ningún sector estaba a salvo y que el país necesitaba elevar con urgencia su nivel de resiliencia digital para afrontar 2025 en mejores condiciones.

Cortes de servicio y robo de datos en sectores clave

En enero de 2024, un incidente en Orange provocó interrupciones de servicio que afectaron a miles de usuarios en todo el país. Aunque no se comunicó una filtración de datos personales, la caída del servicio generó importantes molestias entre clientes y pérdidas económicas para la compañía, poniendo sobre la mesa el impacto directo que puede tener un ciberataque en la continuidad del negocio.

En marzo, FIATC Seguros sufrió una brecha de seguridad que dejó expuesta información considerada sensible, entre la que se incluían nombres, direcciones y datos vinculados a la salud de sus asegurados. Este tipo de incidentes en el sector asegurador genera una especial preocupación por la naturaleza confidencial de la información tratada.

Poco después, el sistema de gestión del transporte público de Guadalajara fue comprometido, generando retrasos y desajustes en el servicio. Este episodio evidenció la vulnerabilidad de infraestructuras que, aunque no siempre se consideran «críticas» en el sentido clásico, sí afectan de manera directa a la vida diaria de miles de ciudadanos.

En mayo, Iberdrola confirmó una brecha que afectó a aproximadamente 850.000 clientes. Aunque la compañía aseguró que los datos financieros se mantenían a salvo, se filtraron nombres y números de DNI, lo que vuelve a situar la protección de la identidad digital de los usuarios en el centro del debate.

Ataques a ITV, energética, RTVE y sector aeronáutico

Durante junio se produjeron ciberataques contra varias estaciones de ITV, que provocaron interrupciones y complicaciones a los conductores a la hora de pasar la inspección. Estos incidentes muestran que tanto los sistemas administrativos como los industriales pueden convertirse en blanco de la ciberdelincuencia.

En julio, TotalEnergies reconoció un ataque que afectó a casi 211.000 clientes en España, con exposición de nombres, números de DNI e incluso, en determinados casos, datos bancarios. La combinación de información identificativa y financiera hace que este tipo de filtraciones sean especialmente peligrosas.

En agosto, RTVE se vio envuelta en un robo de datos que impactó en opositores que aspiraban a trabajar en el ente público. La sustracción de información de candidatos en procesos selectivos pone en cuestión las medidas de protección de datos en organismos que custodian grandes bases de datos de ciudadanos.

Ya en octubre, una compañía del sector aeronáutico, Aerotecnic, sufrió una fuga masiva de alrededor de 800 GB de información corporativa y de empleados. Este suceso puso de relieve que la industria aeroespacial, estratégica y altamente tecnológica, es también un objetivo valioso para delincuentes y actores estatales.

Ransomware y filtraciones masivas al cierre de 2024

El Black Friday de 2024 dejó otro titular preocupante con el ataque de ransomware a Infortisa, un distribuidor tecnológico. El golpe paralizó sus operaciones en pleno pico de ventas, evidenciando el enorme impacto económico que puede tener un cifrado masivo de sistemas en campañas comerciales clave.

El año terminó con uno de los incidentes más graves: la filtración de más de 2.000 millones de registros vinculados a usuarios de telefonía móvil en la Comisión Nacional de los Mercados y la Competencia (CNMC). Por la magnitud y la sensibilidad de la información comprometida, este ataque se considera uno de los más serios registrados en España en los últimos años.

Tácticas y tecnologías de los atacantes: identidad, IA y ransomware

Los informes de grandes proveedores de tecnología y ciberseguridad coinciden en señalar un cambio profundo: los atacantes ya no se limitan a «forzar la puerta», sino que directamente inician sesión. Es decir, centran su estrategia en robar o comprar credenciales legítimas para entrar por la misma vía que lo haría un usuario autorizado.

Más del 97 % de los ataques analizados se enfocan en vulnerar contraseñas o sistemas de autenticación débiles, apoyándose en datos filtrados en anteriores brechas o en malware infostealer que roba información directamente de los dispositivos de las víctimas. Este tipo de malware, como el conocido Lumma Stealer, actúa de forma silenciosa recopilando credenciales, cookies de sesión y otros datos valiosos para, posteriormente, venderlos en mercados clandestinos.

En este contexto, la autenticación multifactor (MFA) se ha convertido en una de las medidas más eficaces para frenar muchos ataques de phishing y robo de credenciales. Grandes actores del sector apuntan que la MFA puede bloquear más del 99 % de los intentos de acceso fraudulentos incluso cuando el atacante ya dispone del usuario y la contraseña correctos.

La inteligencia artificial generativa también juega un papel dual. Por un lado, los equipos de seguridad la utilizan para detectar patrones anómalos, reforzar la monitorización y reducir brechas de detección. Por otro, los ciberdelincuentes la explotan para crear campañas de phishing mucho más convincentes, generar textos y audios sintéticos, producir deepfakes y automatizar la búsqueda de vulnerabilidades.

Por encima de todo destaca el auge del ransomware como herramienta principal de extorsión. La tendencia ya no se limita a cifrar los sistemas y pedir un rescate por la clave; los grupos criminales combinan el secuestro de equipos con la exfiltración masiva de datos y el chantaje adicional de publicarlos si no se paga. De esta forma, aunque la víctima tenga copias de seguridad, sigue sometida a una presión enorme por el posible daño reputacional y legal derivado de la filtración.

Impacto en empresas y administraciones: economía, reputación y regulación

Para las organizaciones españolas, un incidente de este tipo implica mucho más que un problema técnico puntual. Los ciberataques pueden paralizar operaciones críticas, interrumpir servicios esenciales y generar pérdidas económicas cuantiosas. En sectores como energía, telecomunicaciones, transporte o sanidad, una caída de sistemas tiene un impacto directo en la ciudadanía.

Además, las consecuencias legales y reputacionales son cada vez más severas. El Reglamento General de Protección de Datos (RGPD) exige notificar brechas de seguridad y demostrar que se han aplicado medidas adecuadas para proteger la información. A esto se suman las nuevas obligaciones introducidas por la Directiva NIS2, que refuerza los requisitos de ciberseguridad para operadores de servicios esenciales y proveedores de servicios digitales.

Las sanciones pueden venir acompañadas de una pérdida de confianza por parte de clientes, proveedores y socios. En un entorno en el que la relación comercial se apoya en gran parte en la confianza digital, cualquier señal de debilidad en la protección de datos o en la continuidad del servicio puede provocar la fuga de clientes hacia competidores percibidos como más seguros.

Las administraciones públicas, por su parte, lidian con el reto de proteger infraestructuras a menudo antiguas y con presupuestos limitados. Ayuntamientos, diputaciones, organismos reguladores y empresas públicas gestionan enormes volúmenes de información, en muchos casos con sistemas heredados y software sin actualizar, lo que los convierte en un objetivo recurrente y relativamente fácil para ciertos atacantes.

Este escenario ha impulsado iniciativas como el Proyecto +Ciberseguridad, promovido por INCIBE y diferentes organizaciones empresariales, que busca reforzar la formación, la concienciación y la cultura de seguridad digital en el tejido empresarial. También se han intensificado las campañas institucionales para sensibilizar sobre el uso responsable de la tecnología y la importancia de configurar medidas de protección básicas.

El factor humano y la responsabilidad compartida

Una constante en prácticamente todos los informes es que alrededor del 80 % de los incidentes de ciberseguridad tiene algún componente humano. Errores como abrir adjuntos maliciosos, introducir credenciales en webs fraudulentas, utilizar contraseñas débiles o no revocar accesos de ex empleados siguen siendo puertas de entrada muy habituales.

De ahí que la formación y la concienciación sean tan importantes como la propia tecnología. Programas de formación continua, simulaciones de phishing, políticas claras de contraseñas y revisiones periódicas de privilegios ayudan a reducir de manera drástica la probabilidad de éxito de muchos ataques.

Las organizaciones más avanzadas están adoptando modelos de seguridad basados en Zero Trust, donde no se da por sentado que ningún dispositivo, usuario o aplicación sea de confianza por defecto. Bajo este enfoque, se verifica de forma continua cada acceso, se aplica el principio de mínimo privilegio y se segmentan las redes para que una intrusión no se propague fácilmente.

Al mismo tiempo, se consolida la idea de que la ciberseguridad ya no es un asunto exclusivo del departamento de TI. Es una responsabilidad transversal que implica a la dirección, a los responsables de negocio y a toda la plantilla. Sin un apoyo claro de la alta dirección, los proyectos de mejora en este ámbito tienden a quedarse cortos en alcance, presupuesto o prioridad.

En este contexto, muchas empresas están recurriendo a socios especializados que les ayuden a evaluar su nivel de madurez, identificar vulnerabilidades y diseñar una estrategia integral de protección. Consultoras y proveedores de servicios de seguridad ofrecen auditorías, pruebas de penetración, servicios gestionados de monitorización y respuesta, así como soluciones de backup, protección de red y entornos cloud seguros.

El panorama de los ciberataques en España deja claro que ya no se trata de si una organización será atacada, sino de cuándo y con qué preparación contará. El aumento de incidentes en 2024 y 2025, la diversidad de objetivos —desde grandes bancos y operadoras hasta ayuntamientos pequeños, aseguradoras, universidades o autónomos— y la sofisticación de las bandas criminales obligan a elevar el listón. Reforzar la autenticación, mantener los sistemas actualizados, formar a los empleados, vigilar muy de cerca a los proveedores y contar con planes de respuesta probados son pasos imprescindibles para construir ese «escudo digital» del que se habla a nivel institucional. Quienes tomen estas medidas con seriedad estarán mucho mejor posicionados para resistir la próxima oleada de ataques que, visto lo visto, no tardará en llegar.