España recibe tres ciberataques graves al día, con la industria local en el punto de mira

Las ciberamenazas se han convertido en uno de los principales riesgos de la era digital. Cada vez más sofisticados y frecuentes, los ataques informáticos afectan a empresas, administraciones y ciudadanos, con consecuencias económicas y operativas que van mucho más allá del ámbito tecnológico.

España se ha consolidado como uno de los países europeos más expuestos a las ciberamenazas. Solo en el segundo semestre de 2025 se registraron 605 incidentes significativos, lo que equivale a una media de tres ataques graves al día. Así lo recoge el último informe "Tendencias y ciberamenazas" elaborado por el equipo de Cyber Threat Intelligence de NTT Data, que analiza la evolución del riesgo digital a escala global.

La principal motivación detrás de estas ofensivas es económica. De hecho, el 70% de las intrusiones interactivas registradas a nivel global en el último año perseguían un beneficio financiero. El cibercrimen se ha consolidado como un negocio extremadamente rentable y sofisticado, capaz de paralizar empresas, comprometer información sensible y provocar pérdidas millonarias en cuestión de horas.

La industria, principal objetivo en España

A diferencia de lo que ocurre en otras regiones del mundo, los sectores más castigados en España no siguen exactamente los mismos patrones globales. El informe señala que la industria local se sitúa como uno de los focos prioritarios para los ciberdelincuentes.

El sector manufacturero, aunque ha perdido presencia entre los sectores más atacados a nivel internacional, ha seguido sufriendo intrusiones dirigidas a los sistemas que automatizan y monitorizan sus operaciones. En varios casos, las empresas se han visto obligadas a detener líneas de producción para evitar la propagación del ataque, con el consiguiente impacto económico y logístico.

"La industria española continúa siendo uno de los focos prioritarios para los actores orientados al beneficio económico", señala el informe.

Junto a la industria, otros sectores estratégicos como la alimentación, la logística y el turismo también han experimentado accesos no autorizados a sus sistemas operativos. Muchos de estos incidentes no han trascendido públicamente por las políticas de confidencialidad, lo que sugiere que el alcance real podría ser incluso mayor.

Pero la amenaza no se limita al ámbito privado. La Administración Pública es uno de los sectores más afectados por las ciberamenazas. La diversidad tecnológica y la coexistencia de múltiples niveles administrativos amplían su superficie de exposición. También los servicios sanitarios, incluidas clínicas privadas y centros regionales, han sufrido ciberincidentes con consecuencias directas para los pacientes, como retrasos en consultas y procedimientos médicos.

"Los ataques registrados en estos meses no solo confirman la sofisticación de los atacantes, sino el imperativo ineludible de blindar la resiliencia en áreas donde el impacto tendría consecuencias operativas, económicas y sociales críticas", afirma Sandra Somastre González, investigadora del equipo de Ciberamenazas de NTT Data España. Y añade que "el país se sitúa ya como un objetivo crítico, lo que exige acelerar la transición hacia un marco de ciberseguridad más robusto, cohesionado y, sobre todo, preventivo".

El ransomware lidera las amenazas

La mayor parte de los ataques detectados en España responden a campañas de ransomware, es decir, secuestro de datos mediante cifrado a cambio de un rescate. Esta tendencia se explica por el alto grado de digitalización del país, la relevancia económica de determinados sectores y la estructura de su tejido empresarial, compuesto mayoritariamente por pymes con niveles de protección desiguales.

En Europa, Alemania encabeza la lista de países más afectados, con más de 856 ataques en el mismo periodo, situándose como el principal objetivo del continente. Además, el informe subraya la intensificación de la dimensión híbrida del conflicto entre Rusia y Ucrania, cuyos efectos digitales también alcanzan a instituciones y empresas europeas.

Impacto económico de más de 8 billones de euros

A escala global, el cibercrimen ha confirmado en 2025 su papel como riesgo sistémico para las organizaciones. El impacto económico anual supera por primera vez los 10 billones de dólares, equivalentes a unos 8,5 billones de euros al tipo de cambio actual.

El coste medio de un ataque de ransomware rebasa los cinco millones de dólares, al incluir interrupciones de actividad y procesos de recuperación. En el caso de las brechas de datos, la factura media supera los cuatro millones.

Pese a ello, el gasto mundial en seguridad de la información y gestión de riesgos alcanzó en 2025 los 213.000 millones de dólares, con un crecimiento interanual cercano al 14%. Este dato refleja una realidad clave: "el aumento sostenido de la inversión en seguridad como respuesta a la complejidad creciente del entorno de amenazas, sin que ello se traduzca aún en una reducción proporcional del impacto económico de los incidentes", establece el informe.

La inteligencia artificial, acelerador del cibercrimen

La inteligencia artificial (IA) ha pasado de ser tendencia emergente a convertirse en un acelerador tácito. Y es que la integración de esta tecnología permite automatizar tareas, generar contenidos personalizados y adaptar mensajes con mayor precisión lingüística y cultural.

El informe subraya que la IA no sustituye a los operadores humanos, pero sí reduce el coste cognitivo y operativo de cada ofensiva. Entre las aplicaciones más frecuentes destacan la automatización del reconocimiento previo, la personalización avanzada de campañas de ingeniería social y la optimización en la selección de objetivos.

Panorama de cara a 2026

De cara a 2026, se prevé un aumento de campañas basadas en la persistencia silenciosa, el abuso de identidades digitales y la explotación de relaciones de confianza, tanto humanas como técnicas. Estas tendencias podrían reducir aún más las barreras de entrada al cibercrimen y ampliar el número de actores capaces de ejecutar ataques complejos.

Este año estará marcado por menos ataques visibles, pero por intrusiones más prolongadas y sofisticadas. El objetivo ya no será solo explotar un sistema de forma inmediata, sino permanecer dentro el mayor tiempo posible para influir en decisiones, alterar operaciones y monetizar el acceso de manera flexible a lo largo del tiempo.