- España registra miles de ciberataques semanales, con fuerte impacto en administraciones públicas, banca, energía, telecomunicaciones y consumo.
- En 2024 y 2025 se han producido brechas masivas de datos, ataques de ransomware y campañas de phishing altamente dirigidas.
- El auge del ransomware y de la IA generativa multiplica la exposición de datos y la sofisticación de los ataques a nivel global.
- Solo una combinación de tecnología avanzada, formación continua, auditorías y ciberseguros permite reducir de forma eficaz el riesgo.
En los últimos años, España se ha convertido en uno de los países más golpeados por los ciberataques, tanto a nivel empresarial como institucional. Grandes compañías del Ibex 35, administraciones públicas, universidades, aseguradoras, energéticas, bancos y hasta organismos de defensa han visto cómo sus sistemas eran comprometidos y sus datos expuestos o secuestrados.
Lejos de tratarse de casos aislados, las cifras muestran una tendencia al alza muy preocupante: miles de ataques semanales, oleadas de ransomware coordinado, campañas masivas de robo de datos y un uso creciente de la inteligencia artificial generativa para potenciar tanto la defensa como, por desgracia, la ofensiva de los ciberdelincuentes. En este artículo repasamos, con todo detalle, los ciberataques más relevantes en España en 2024 y 2025, el contexto internacional, los sectores más castigados y las medidas clave para reforzar la seguridad.
Ciberataques en España durante 2025: cronología de un año crítico
El año 2025 arrancó fuerte en materia de ciberseguridad: en apenas unos meses se acumularon incidentes graves contra universidades, administraciones públicas, aseguradoras, bancos, operadores de telecomunicaciones y grandes marcas. Muchos de estos ataques, como el ciberataque oculto en Chrome y Edge, tuvieron como objetivo la obtención de datos personales o la paralización de servicios esenciales.
Según distintos medios especializados, las primeras semanas de 2025 ya apuntaban a un incremento notable respecto al año anterior, con delincuentes cada vez más sofisticados y ataques mejor dirigidos y más difíciles de detectar. El uso de credenciales robadas, el phishing y el ransomware fueron los protagonistas.
Enero 2025: phishing en la Universitat de les Illes Balears
En Baleares, la Universitat de les Illes Balears (UIB) sufrió un ataque de phishing dirigido a estudiantes y personal docente. Los atacantes enviaron correos electrónicos que imitaban las comunicaciones oficiales de la universidad, incluyendo enlaces a una página web falsa que pedía las credenciales institucionales.
Aunque no se ha desvelado el alcance exacto de la brecha, se teme que se hayan visto comprometidos datos sensibles de alumnos y profesores, al introducir sus usuarios y contraseñas en un portal fraudulento. Este incidente ilustra hasta qué punto el entorno educativo, con gran cantidad de usuarios y sistemas abiertos, es un blanco jugoso.
Enero 2025: filtración masiva en la Guardia Civil y las Fuerzas Armadas
Casi al mismo tiempo se conoció una filtración que afectó a aproximadamente 180.000 miembros de la Guardia Civil, las Fuerzas Armadas y personal del Ministerio de Defensa. Los datos -incluyendo direcciones de correo electrónico, muchas de ellas personales- fueron puestos a la venta en un portal de ciberdelincuencia.
Las investigaciones apuntan a que el robo de la información podría haberse producido un año antes, pero salió a la luz en enero de 2025. La gravedad del ataque no solo radica en el volumen de afectados, sino en el potencial uso de esos datos para espionaje, ingeniería social o campañas dirigidas contra personal sensible.
Enero 2025: brecha de seguridad en el sistema de ticketing de Telefónica
También en enero, Telefónica confirmó un incidente en su sistema interno de ticketing, la plataforma que utilizan técnicos y empleados para registrar incidencias. A través de credenciales comprometidas, un grupo de atacantes accedió al sistema y exfiltró unos 2,3 GB de información.
La compañía aseguró que los datos de clientes residenciales no se vieron afectados, pero la magnitud del robo y la información operativa filtrada dan idea del valor que tiene, para los atacantes, cualquier detalle interno. El ataque se atribuyó a un grupo de cuatro personas que operan bajo los alias DNA, Grep, Pryx y Rey.
Febrero 2025: filtración de datos personales en DKV Seguros
En febrero fue el turno del sector asegurador. DKV Seguros notificó a sus clientes un ciberataque que comprometió su base de datos. Según la entidad, no se vieron afectados ni los datos financieros ni la información médica, pero sí un conjunto de datos personales muy amplio.
Entre la información expuesta se encontrarían nombres y apellidos, direcciones postales, teléfonos, correos electrónicos, DNI y fechas de nacimiento. Este tipo de datos, cruzados con otras filtraciones, resultan oro puro para el fraude, el phishing avanzado o la suplantación de identidad.
Marzo 2025: ataque a un proveedor y fuga de datos de clientes de El Corte Inglés
A comienzos de marzo, un proveedor externo de servicios de El Corte Inglés fue víctima de un ciberataque, lo que permitió el acceso no autorizado a datos personales de clientes de la cadena. De nuevo, el eslabón débil fue un tercero que formaba parte de la cadena de suministro digital.
En este caso, quedaron expuestos datos de contacto e identificación y números de tarjetas “solo para compras en El Corte Inglés”. Se estima que cerca de 11,8 millones de usuarios disponen de este tipo de tarjeta. Desde la empresa insistieron en que con esa información los atacantes no podrían realizar pagos, animando a seguir usando la tarjeta con normalidad.
Marzo 2025: ofensiva prorrusa contra administraciones públicas
El grupo de hackers prorruso NoName057, conocido por sus acciones de denegación de servicio (DDoS), lanzó una campaña coordinada contra webs de diputaciones y ayuntamientos españoles en respuesta al apoyo del Gobierno de España a Ucrania.
Se vieron afectadas, entre otras, las webs de las diputaciones de Valencia, Cáceres y Badajoz, así como los ayuntamientos de Mérida y Benavente. En el País Vasco, las páginas de la Diputación de Guipúzcoa y los consistorios de San Sebastián, Irún y Hondarribia también sufrieron caídas. Aunque no hubo robo de datos confirmado, la ofensiva demostró la fragilidad de los servicios públicos frente a ataques de motivación geopolítica.
Abril 2025: robo de datos de la Federación de Autónomos ATA
En abril se hizo público que ATA, la Federación de Asociaciones de Trabajadores Autónomos, había sido víctima de un acceso ilícito a sus bases de datos. El grupo delincuente Arikos anunció en la dark web que disponía de una copia de la información de socios.
Según lo filtrado, habrían caído en manos de los atacantes 240.000 registros con nombres y apellidos, 110.000 direcciones de correo electrónico y 244.000 números de teléfono. Incluso el presidente de la federación, Lorenzo Amor, se habría visto afectado, evidenciando que nadie está a salvo cuando una base de datos se ve comprometida.
Abril 2025: incidente en Aigües de Mataró
Ese mismo mes, la empresa municipal de aguas Aigües de Mataró informó de un incidente que afectó a sus sistemas informáticos y a su página web. El ataque levantó preocupación entre los vecinos por el posible impacto en el suministro.
La compañía aclaró que el ataque no afectó ni al abastecimiento de agua ni a su calidad, ni tampoco a la gestión del alcantarillado. El problema se limitó a los sistemas de información, pero vuelve a poner el foco en la vulnerabilidad de las infraestructuras críticas.
Abril 2025: ransomware contra el Ayuntamiento de Badajoz
En plena semana del gran apagón que dejó a gran parte del país a oscuras, el Ayuntamiento de Badajoz sufrió un ataque de ransomware que dejó completamente inoperativos sus servicios digitales.
Los sistemas informáticos del consistorio, que da servicio a más de 150.000 habitantes, quedaron paralizados: trámites electrónicos, sedes web y atención ciudadana quedaron fuera de servicio. Las pesquisas iniciales apuntaron al grupo LockBit, uno de los grupos de ransomware-as-a-service más activos a nivel internacional.
Mayo 2025: accesos indebidos a cuentas de senadores
El Senado español también se vio salpicado por un grave incidente interno. Dos informáticos contratados por la institución accedieron sin autorización a los perfiles digitales, correos electrónicos e identidades digitales de varios senadores, aprovechando su posición privilegiada y el acceso a sistemas.
La cámara abrió expedientes disciplinarios y ambos técnicos fueron despedidos por falta muy grave. Se estima que 29 políticos de distintos partidos se vieron afectados, entre ellos el expresidente de Extremadura Guillermo Fernández Vara. Este caso demuestra que no todos los ciberincidentes vienen “desde fuera”: el riesgo interno es igual de real.
Junio 2025: posible brecha masiva en Telefónica (Movistar)
En junio, Telefónica volvió al foco mediático al reconocer que estaba investigando un supuesto hackeo masivo a datos de Movistar. Un ciberdelincuente, bajo el alias Dedale, aseguró haber obtenido acceso a 22 millones de registros de clientes.
Como “prueba”, el atacante habría filtrado alrededor de un millón de registros correspondientes a clientes de Perú, exigiendo a cambio del resto un rescate sorprendentemente bajo: unos 1.500 dólares (unos 1.300 euros). Si la cifra de 22 millones se confirmara, estaríamos ante una de las brechas más importantes sufridas por una telecom española.
Octubre 2025: Mango y el riesgo de los proveedores de marketing
En otoño, la cadena textil Mango notificó a sus clientes un acceso no autorizado a datos personales gestionados a través de un servicio de marketing externo. De nuevo, el punto de entrada no fue el sistema central de la compañía, sino un proveedor.
Los ciberdelincuentes obtuvieron información utilizada en campañas comerciales, como nombres (sin apellidos), números de teléfono y direcciones de correo electrónico. La empresa recalcó que no se vieron comprometidos datos bancarios, números de DNI o pasaportes ni credenciales de acceso. Tampoco se alteró la operativa de tiendas físicas ni del canal online.
Noviembre 2025: brechas de datos en ING e impacto adicional en Santander
Cerrando el año, varios medios informaron de un ataque del grupo hacker BreachParty contra ING Bank España, que habría expuesto los datos de unos 21.000 clientes. El propio banco confirmó la filtración.
Según los atacantes, la información robada incluiría identificadores de cliente, nombre y apellidos, fecha de nacimiento, ciudad de residencia, números de teléfono, códigos bancarios, IBAN y sucursal. Pocos días después, la misma banda aseguró haber accedido a datos de alrededor de 10.000 clientes del Banco Santander en España, incluyendo identificaciones, IBAN y teléfonos, aunque Santander no ha confirmado ni desmentido por ahora estos extremos.
Estadísticas de ciberataques y comparación internacional
Más allá de los casos concretos, las cifras globales dibujan un panorama inquietante. La división de Inteligencia de Amenazas de Check Point Software publicó un informe con datos de diciembre de 2025 que ayudan a poner contexto a lo que sucede en España.
A nivel mundial, las organizaciones se enfrentaron a una media de 2.027 ciberataques semanales por entidad en ese mes, lo que supone un aumento del 1 % respecto a noviembre y un crecimiento interanual del 9 %. El aumento está directamente relacionado con el auge del ransomware, la concentración regional de las ofensivas y el incremento de la exposición de datos por el uso de inteligencia artificial generativa.
En el caso concreto de España, el informe indica que en diciembre se registraron de media 1.883 ataques semanales por organización, un 5 % más que en el mismo mes de 2024. España se sitúa así ligeramente por encima de la media europea, donde el promedio fue de 1.677 ataques semanales, con un incremento interanual del 9 %.
Sectores más golpeados por los ciberataques en España y otras regiones
En el panorama español, tres sectores lideran la lista de objetivos más atacados según Check Point: Instituciones Gubernamentales, Bienes y Servicios de Consumo y Telecomunicaciones. A estos se suman otros fuertemente presionados como Servicios Financieros, Servicios Empresariales, Industria Manufacturera y Energía y Utilities.
Este reparto encaja con los incidentes comentados: administraciones públicas, grandes bancos, energéticas y empresas de consumo masivo aparecen repetidamente en las crónicas de ciberseguridad. Se trata de sectores con gran volumen de datos y sistemas críticos, donde cualquier caída o filtración tiene un enorme impacto económico y reputacional.
En el plano regional, Latinoamérica se posiciona como la zona más atacada del mundo, con una media de 3.065 ciberataques semanales por organización en diciembre y un incremento interanual del 26 %, la tasa de crecimiento más alta registrada. Asia-Pacífico (APAC) también experimenta niveles altísimos, con 3.017 ataques semanales de media.
Por contraste, África fue la única región que registró un descenso interanual en el número de incidentes en ese periodo, aunque los expertos advierten de que esto no implica que baje el nivel de amenaza, sino más bien un cambio en el enfoque y los objetivos de los atacantes.
El papel de la IA generativa en la exposición de datos
La inteligencia artificial generativa se ha popularizado a una velocidad de vértigo en las empresas, y esa adopción acelerada ha traído consigo nuevos riesgos. Herramientas de redacción automática, asistentes de código y plataformas de análisis impulsadas por IA se han integrado en procesos diarios sin que, en muchos casos, exista una gobernanza clara.
Según los datos recopilados por Check Point, una de cada 27 solicitudes realizadas a herramientas de IA generativa en diciembre implicaba un alto riesgo de filtración de datos sensibles. Además, el 91 % de las organizaciones que usaron GenAI durante ese periodo registraron actividades consideradas de alto riesgo.
Los investigadores señalan que el 25 % de las solicitudes analizadas contenían información potencialmente sensible o confidencial, como datos personales, información interna de red y TI o incluso código fuente propietario. Cada empresa llegó a utilizar una media de 11 herramientas distintas de IA generativa, y el usuario corporativo medio generó hasta 56 peticiones mensuales que involucraban estas tecnologías.
La consecuencia es evidente: se están cargando datos corporativos delicados a servicios de terceros sin control suficiente, incrementando la exposición a fugas y a ataques impulsados por IA. Los expertos insisten en que las organizaciones deben ser capaces de supervisar y limitar qué tipo de información se comparte con estas plataformas, estableciendo políticas y herramientas de gobernanza robustas.
Ransomware: la amenaza más disruptiva
Otro fenómeno destacable es el auge del ransomware. En diciembre de 2025 se reportaron públicamente 945 incidentes de este tipo, un 60 % más que el año anterior. Esta forma de ataque, basada en el cifrado y la extorsión, se ha consolidado como la más disruptiva a nivel global.
Las consecuencias del ransomware son múltiples: interrupción de la actividad, pérdidas económicas directas, costes de recuperación, posibles sanciones regulatorias y daños reputacionales. Prácticamente ningún sector escapa a su alcance, desde pymes hasta grandes conglomerados, pasando por hospitales, organismos públicos o infraestructuras críticas.
En el reparto geográfico, América del Norte concentró alrededor del 52 % de los incidentes de ransomware reportados en diciembre, mientras que Europa representó en torno al 23 %. Entre los grupos más activos destacaron Qilin, responsable de aproximadamente el 18 % de los ataques divulgados, LockBit5 con un 12 %, y Akira con un 7 %, este último orientando buena parte de sus ofensivas contra entornos Windows, Linux y sistemas virtualizados ESXi.
Ciberataques en España en 2024: grandes empresas y administraciones en el punto de mira
El año 2024 sirvió de antesala a lo ocurrido en 2025, con un notable incremento en la frecuencia y sofisticación de los ciberataques. Empresas privadas de primer nivel, instituciones públicas y servicios esenciales sufrieron incidentes de todo tipo, desde interrupciones de servicio hasta filtraciones masivas de datos personales.
Compañías como Iberdrola, Santander, Telefónica, Decathlon o Ticketmaster, junto a organismos como la Dirección General de Tráfico (DGT) o la Comisión Nacional de los Mercados y la Competencia (CNMC), protagonizaron algunos de los episodios más sonados. Muchos de ellos tuvieron lugar en mayo de 2024, configurando una auténtica “ola” de ciberataques en cuestión de semanas.
Incidentes destacados en 2024: energía, banca, retail y sector público
Entre los casos más relevantes, Iberdrola reconoció un ciberataque que expuso los datos personales de unos 850.000 clientes, incluyendo nombres, apellidos y números de DNI. Aunque la empresa aseguró que no se comprometieron datos financieros, la magnitud de la brecha generó una enorme preocupación entre los usuarios.
El Banco Santander notificó a la CNMV un acceso no autorizado a una base de datos con información de clientes de España, Chile y Uruguay, además de datos de empleados y exempleados, que suman más de 211.000 personas. Según la entidad, la información filtrada era de carácter básico (como nombres y fechas de nacimiento) y no incluía credenciales bancarias ni datos transaccionales.
Telefónica, por su parte, investigó un supuesto ciberataque detectado en marzo que podría haber afectado a unos 120.000 usuarios y dejado expuestos cerca de 2,7 millones de registros. Aunque los datos filtrados no parecían incluir información especialmente sensible, sí contenían nombres completos, teléfonos y direcciones postales.
En el ámbito del comercio y los servicios, Decathlon sufrió un incidente el 27 de mayo de 2024 que impactó en los correos electrónicos de sus empleados en España, a través de una aplicación de terceros. Ticketmaster protagonizó uno de los casos más mediáticos a escala global, al confirmarse el robo de 1,3 terabytes de datos correspondientes a unos 560 millones de clientes, con nombres, emails, teléfonos, historial de pedidos y datos parciales de tarjetas de pago.
Entre las instituciones públicas, la DGT investigó un ciberataque a sus bases de datos que podría haber comprometido información de millones de conductores, incluyendo matrículas, marcas y modelos de vehículos, domicilios, poblaciones y detalles sobre seguros en vigor. Aunque se corrigió la vulnerabilidad, no se pudo precisar con exactitud cuántos usuarios se vieron afectados ni qué volumen de datos se exfiltró.
Otros casos relevantes de 2024 incluyeron la interrupción de servicios en Orange, la exposición de datos de salud en FIATC Seguros, ataques al sistema de transporte público de Guadalajara, brechas de datos en estaciones de ITV, una fuga que afectó a cerca de 211.000 clientes de TotalEnergies, un robo de información a RTVE que impactó a opositores y procesos de selección, accesos no autorizados en Repsol y una fuga masiva de 800 GB de datos en la empresa aeronáutica Aerotecnic.
El año terminó con un ataque a la CNMC que habría expuesto más de 2.000 millones de registros relacionados con usuarios de telefonía móvil, una de las filtraciones de datos más graves conocidas en España por volumen y sensibilidad de la información implicada.
Por qué España es un objetivo tan atractivo para los ciberdelincuentes
España ocupa actualmente un lugar destacado entre los países más atacados del mundo, situándose en torno al quinto puesto según distintos informes. La combinación de un tejido empresarial muy digitalizado, infraestructuras críticas avanzadas y un gran volumen de datos personales y financieros hace que sea un blanco especialmente suculento.
La rápida transformación digital, impulsada entre otras cosas por el teletrabajo y la adopción masiva de servicios en la nube, ha multiplicado la superficie de exposición. Muchas empresas han migrado procesos sin acompañarlos de un refuerzo equivalente de sus medidas de ciberseguridad, lo que genera brechas, configuraciones deficientes y falta de control sobre accesos remotos.
Además, la falta de cultura de seguridad en buena parte del tejido de pymes las convierte en víctimas frecuentes. Estas empresas suelen carecer de equipos internos especializados, dependen de proveedores generalistas de TI y retrasan inversiones en protección hasta que sufren un susto serio.
La irrupción de la IA y la automatización también actúa como arma de doble filo. Mientras las organizaciones la usan para optimizar procesos y mejorar su productividad, los atacantes la aprovechan para lanzar campañas de phishing hiperpersonalizadas, crear deepfakes creíbles o automatizar el escaneo de vulnerabilidades y el despliegue de malware.
Medidas clave para protegerse de los ciberataques en España
Frente a este contexto, la receta pasa por combinar tecnología, procesos y personas. La protección ante ciberataques no puede basarse solo en instalar un antivirus o un firewall; requiere una estrategia integral y continuada en el tiempo.
En el plano técnico, resulta esencial desplegar soluciones avanzadas de seguridad perimetral y de endpoint, sistemas de detección y respuesta (EDR/XDR), protección frente a ransomware, segmentación de redes, copias de seguridad robustas y probadas, así como monitorización constante de las infraestructuras.
Igualmente importante es la formación continua de empleados y directivos. La mayoría de los ataques más exitosos se inician con un simple correo de phishing o una descarga maliciosa, y contar con plantillas que saben identificar señales de alerta y reaccionan con prudencia puede marcar la diferencia entre un susto y una brecha masiva.
Realizar auditorías y evaluaciones periódicas de seguridad ayuda a detectar vulnerabilidades antes de que lo hagan los atacantes. Revisar accesos, permisos, configuraciones en la nube, protocolos de actualización y planes de respuesta a incidentes debería ser una rutina anual (o incluso más frecuente) en organizaciones de cierto tamaño.
Por último, cada vez más empresas recurren a ciberseguros para mitigar el impacto financiero de un incidente grave. Estas pólizas pueden cubrir desde los costes de recuperación y asesoría legal hasta la gestión de crisis y la notificación a usuarios afectados. No sustituyen a las medidas de seguridad, pero sí ayudan a amortiguar el golpe cuando algo falla.
A la vista de los incidentes que han afectado a España en 2024 y 2025, junto al aumento constante del ransomware, el uso masivo de IA generativa y el interés creciente de grupos criminales y actores geopolitizados, queda claro que la ciberseguridad ha pasado de ser un tema técnico a convertirse en una prioridad estratégica para empresas y administraciones. Quienes apuesten por la prevención, la inteligencia de amenazas en tiempo real y una buena gobernanza del uso de la tecnología estarán en mejor posición para afrontar un entorno digital cada vez más hostil.
