España se situó en el quinto puesto de Europa por frecuencia de ciberataques a clientes durante el primer semestre de 2025 y en el decimocuarto a escala mundial, de acuerdo con datos del último Microsoft Digital Defense Report. En ese periodo, aproximadamente el 5,4 % de los clientes afectados por actividad maliciosa en Europa se localizaron en España, lo que mantiene al país entre los más presionados del continente.
El informe dibuja un panorama dominado por la motivación económica. Más de la mitad de los incidentes con motivo identificado obedecen a extorsión o ransomware, mientras que el espionaje puro apenas representa un 4 %. En paralelo, en el 80 % de las investigaciones forenses revisadas por la compañía se detectó recolección o preparación para exfiltración de datos, lo que confirma que el dato —más que el “apagón”— es el premio que buscan los atacantes.
Servicios críticos en el punto de mira
Los servicios públicos esenciales —sanidad, administraciones locales, educación o transporte— siguen siendo objetivos prioritarios. La razón es doble: impacto social inmediato y capacidad limitada de respuesta por presupuestos ajustados y tecnología heredada. El informe describe casos recientes con retrasos en urgencias, interrupciones de servicios de emergencia, cancelaciones de clases y paralizaciones de transporte tras ataques a ayuntamientos, hospitales o centros educativos. En ese entorno, los grupos de ransomware parten con ventaja: saben que la ventana para recuperar sistemas es mínima, lo que presiona a las víctimas a pagar el rescate y a asumir, además, el coste reputacional y regulatorio de una filtración de datos.
Identidad: ya no “fuerzan la puerta”, inician sesión
Uno de los titulares del informe es que más del 97 % de los ataques relacionados con identidad siguen centrados en contraseñas. Solo en la primera mitad de 2025, los intentos masivos de adivinación de credenciales crecieron un 32 %. El combustible de esa tendencia no es únicamente el “phishing” tradicional: este año se ha disparado el uso de infostealers, malware que roba credenciales y tokens de sesión a gran escala y que, una vez empaquetado, se revende en foros del cibercrimen. Con ese material, cualquiera puede iniciar sesión en cuentas ajenas y desplegar ransomware con mayor facilidad.
La contramedida más costo-efectiva sigue siendo la autenticación multifactor resistente al phishing (MFA), que, cuando está bien implantada, bloquea más del 99 % de los accesos no autorizados incluso si el atacante conoce usuario y contraseña. El informe destaca además actuaciones policiales y de la industria contra este ecosistema, como el desmantelamiento del infostealer Lumma Stealer mediante una operación conjunta con el Departamento de Justicia de EE. UU. y Europol.
Estados-nación: más actividad, técnicas híbridas
Aunque la ciberdelincuencia común concentra el mayor volumen de incidentes, los actores estado-nación amplían su actividad sobre sectores estratégicos y regiones de interés, con una mezcla de espionaje, obtención de beneficios y operaciones de influencia.
- China intensifica sus campañas para acceder a datos sensibles, con foco creciente en ONGs y el uso de dispositivos expuestos y redes encubiertas para persistir sin ser detectada. Los grupos vinculados al Estado acortan tiempos para explotar vulnerabilidades en cuanto se hacen públicas.
- Irán ha ampliado como nunca la variedad de objetivos, desde Oriente Medio hasta Norteamérica, con especial interés en transporte marítimo y logística en Europa y el Golfo, lo que sugiere capacidad para interferir operaciones comerciales.
- Rusia, centrada en la guerra de Ucrania, ha extendido el alcance de sus ataques a pequeñas empresas de países que apoyan a Kiev, utilizándolas como puntos de entrada a organizaciones mayores; además, recurre cada vez más al ecosistema criminal para ejecutar operaciones.
- Corea del Norte mantiene su foco en ingresos y espionaje: miles de trabajadores de TI vinculados al régimen han buscado empleo en empresas globales para enviar salarios como remesas y, al ser descubiertos, en algunos casos recurren a la extorsión.
La atribución de campañas es, por tanto, más difícil: algunos Estados usan infraestructura y servicios criminales para difuminar huellas, y la colaboración público-privada es clave para compartir inteligencia y levantar defensas sectoriales.
IA: acelerador para atacantes y defensores
La inteligencia artificial se ha convertido en un multiplicador en ambos lados. Los atacantes la usan para automatizar phishing con textos y voces más verosímiles, detectar vulnerabilidades más rápido y generar malware que se adapta. Los estados-nación incorporan IA a operaciones de influencia más sofisticadas y segmentadas.
Para la defensa, la IA permite detectar patrones anómalos en volúmenes masivos de señales, cerrar brechas de detección, interceptar intentos de phishing y proteger a los usuarios más expuestos. La conclusión del informe es inequívoca: la IA defensiva será tan determinante como la ofensiva, y las organizaciones deben proteger sus propias herramientas de IA y formar a sus equipos para usarlas con seguridad.
España: señales de riesgo y prioridades
Que España sea quinta en Europa por frecuencia de ataques a clientes y concentre el 5,4 % de los afectados en la región obliga a priorizar:
- Sectores críticos: reforzar sanidad, administraciones y educación con inventarios de activos expuestos, parcheo acelerado, segmentación de red y copias inmutables para recuperación rápida.
- Identidad: implantación obligatoria de MFA resistente a phishing en todas las cuentas, incluidas privilegiadas, servicios y aplicaciones sin usuario humano (workloads). Limpieza de métodos débiles (SMS/códigos por defecto) y gestión de sesiones anómalas.
- Correo y web: endurecer filtros de malware y phishing en correo, aislar navegadores/descargas en escritorios críticos y desplegar DMARC/DKIM/SPF para reducir suplantaciones.
- Detección y respuesta: telemetría unificada (endpoint, identidad, red y cloud), equipo de respuesta entrenado, gamedays periódicos (ransom, exfiltración, caída cloud) y restauración verificada desde backups aislados.
- Gobernanza y terceros: cláusulas de ciber-resiliencia en contratos con proveedores, verificación de controles (auditorías, informes), y planes de continuidad multiproveedor/multirregión para servicios críticos.
Para pymes y usuarios: lo básico funciona
- Activa MFA allá donde puedas (correo, bancos, redes, nube). Es la barrera que más reduce los accesos no autorizados.
- Actualiza sistemas y aplicaciones. Muchos ataques aprovechan vulnerabilidades públicas para las que existe parche.
- Desconfía de ventanas que piden pegar comandos o introducir códigos “para soporte”. El device-code phishing y técnicas como ClickFix buscan precisamente eso.
- Navega “desconfiando por defecto”: revisa remitentes, dominios y URLs antes de hacer clic; usa navegadores con aislamiento para tareas de riesgo.
- Copia de seguridad: mantén backups desconectados o inmutables de tus datos importantes.
Mirando adelante: seguridad como responsabilidad compartida
El informe insiste en que la ciberseguridad dejó de ser un asunto puramente técnico: es gobernanza, riesgo de negocio y coordinación social. Las medidas tecnológicas no bastan para disuadir a actores respaldados por Estados; se necesitan marcos legales claros y consecuencias proporcionadas. En positivo, cada vez más gobiernos atribuyen públicamente ciberataques, sancionan a sus responsables o presentan cargos. Con la IA acelerando la digitalización, el riesgo cibernético es un factor real para la estabilidad económica, el funcionamiento de las instituciones y la seguridad de las personas.
Para España y Europa, la hoja de ruta combina colaboración público-privada, estándares comunes de resiliencia (incluidos ejercicios conjuntos), y talento: equipos de seguridad formados en identidad, cloud y respuesta a incidentes. La foto de 2025 sugiere que el ataque oportunista no discrimina por tamaño; la diferencia entre un susto y una crisis será la preparación.
Fuente de contexto: Microsoft Digital Defense Report 2025 (tendencias globales julio 2024–junio 2025: motivación económica, presión sobre servicios críticos, auge de infostealers, foco en contraseñas, eficacia de MFA, papel dual de la IA y actividad de Estados-nación). Acceso al informe completo de Microsoft.
