Durante el primer semestre de 2025, España se ha consolidado como uno de los principales objetivos de la ciberdelincuencia a nivel global, solo por detrás de Japón según el “ESET Threat Report H1 2025”.
En el primer trimestre, los ciberataques en España aumentaron un 66%, con una media de 1.911 ataques semanales por organización. En el segundo trimestre, el crecimiento continuó, aunque a menor ritmo, con un 36% de incremento, y una media de 1.950 ataques semanales.
El repunte no se ha detenido en verano: en julio, las empresas españolas sufrieron 2.057 ataques semanales de media. Esto sitúa a España como objetivo prioritario de amenazas como ransomware, infostealers y phishing.
Sectores y perfiles más vulnerables a los ciberataques en España
Algunos sectores sufren una presión especialmente intensa por parte de los ciberdelincuentes. La exposición pública, la digitalización acelerada y la falta de inversión en ciberseguridad explican gran parte de esta vulnerabilidad.
- Educación e investigación: lidera el ranking de ciberataques con un crecimiento del 73% en el primer semestre. Las credenciales académicas, muchas veces poco protegidas, son un objetivo fácil para los atacantes.
- Telecomunicaciones: las operadoras y servicios digitales sufrieron un aumento del 94% de ataques en el primer trimestre y un 38% más en el segundo. Su rol como infraestructuras críticas los convierte en objetivos clave para actores maliciosos.
Sectores más afectados por ransomware
El ransomware sigue siendo una de las amenazas más lucrativas para los ciberdelincuentes. Durante 2025, los sectores más atacados con esta técnica han sido: construcción e ingeniería, bienes de consumo y servicios empresariales.
Estos sectores combinan alto volumen de datos, escasa preparación en ciberdefensa y dependencia operativa de sus sistemas informáticos, lo que los convierte en víctimas rentables.
Objetivo persistente de los ciberataques en España: Gobierno y pymes
Los organismos públicos y las pequeñas empresas no están exentos de esta oleada:
- El Gobierno y la Administración pública siguen siendo un objetivo habitual debido al valor de sus bases de datos y a su relevancia geopolítica. Desde el inicio del año, se han producido múltiples brechas en organismos como la Guardia Civil, el Senado o ayuntamientos locales.
- Pymes y autónomos: a menudo sin recursos ni equipos especializados en ciberseguridad, las pymes y autónomos españoles registraron una media de 2.000 ciberataques semanales en julio, lo que confirma su creciente exposición.
Tipos de amenazas más frecuentes
Los ciberataques en España no solo crecen en volumen, sino también en sofisticación. Estas son las amenazas más detectadas en el segundo trimestre de 2025, según el “Informe de NordVPN sobre ciberamenazas – Q2 2025”.
El malware no descansa
Durante el segundo trimestre se registraron 6,9 millones de ataques de malware en España. El tipo de malware más detectado fue APC, seguido por otras variantes que se propagan a través de archivos ejecutables.
Los archivos .exe, .zip y .dll fueron los más peligrosos, sumando 181.008 amenazas solo en el primer caso. Esto confirma que los formatos tradicionales siguen siendo un vehículo eficaz para infiltrar dispositivos.
Phishing, ClickFix y SnakeStealer
- Phishing: representó un 20% del total de amenazas detectadas. Sigue siendo una técnica común por su efectividad y bajo coste.
- ClickFix: esta táctica emergente, que simula errores del sistema para engañar al usuario, creció un 517% en solo seis meses.
- SnakeStealer: se consolidó como el infostealer dominante, especializado en robar credenciales y datos sensibles. España es el tercer país más afectado por esta amenaza, tras Turquía y Japón.
Así atacan hoy: tácticas y tecnología de los ciberataques en España
Más allá de las cifras, los métodos que utilizan los atacantes evolucionan rápidamente. La combinación de tecnología avanzada y psicología del engaño multiplica su impacto.
Auge de los ataques móviles
Los dispositivos móviles se han convertido en un blanco prioritario. Los ataques mediante tecnología NFC y adware en Android aumentaron un 160%, con aplicaciones maliciosas que imitan herramientas populares para infiltrarse.
Suplantación de marcas
Los ciberdelincuentes recurren cada vez más a páginas falsas que imitan a grandes marcas para robar datos de acceso o financieros. En España, las más suplantadas son:
- Yahoo
- Telegram
- Steam
- Outlook
Estacionalidad de los ataques
Los picos de actividad cibercriminal coinciden con campañas de alto consumo, como Navidad, mientras que se observa una caída durante los periodos festivos.
Esta estacionalidad está ligada a la exposición de los usuarios y a la propia planificación de los grupos criminales.
Ejemplos de casos reales: ataques mes a mes
Más allá de las estadísticas, los incidentes registrados mes a mes muestran la gravedad y variedad de los ciberataques en España durante 2025.
- En enero, se filtraron los datos de 180.000 miembros de la Guardia Civil y Defensa, y Telefónica sufrió el primero de varios ciberataques.
- En febrero, fue DKV Seguros quien notificó una filtración de datos personales sensibles.
- En marzo, El Corte Inglés y múltiples ayuntamientos y diputaciones fueron víctimas de ataques, incluidos los orquestados por el grupo prorruso NoName057.
- Abril trajo consigo el robo de datos de la federación ATA y un ataque de ransomware al Ayuntamiento de Badajoz.
- En mayo, incluso el Senado se vio comprometido, con accesos indebidos a las cuentas digitales de 29 senadores.
Esta secuencia de incidentes confirma que el riesgo no es hipotético. La ciberseguridad es ya una prioridad nacional.
