La ciberseguridad en España cerró 2025 con una fotografía que ya no admite lecturas complacientes: el volumen de incidentes sigue creciendo y, sobre todo, cambia el tipo de amenaza que llega a ciudadanos y empresas. El Instituto Nacional de Ciberseguridad (INCIBE), a través de su equipo de respuesta a incidentes (INCIBE-CERT), gestionó 122.223 incidentes durante 2025, lo que supone un aumento del 26% respecto a 2024. Al mismo tiempo, el organismo detectó y notificó 237.028 sistemas vulnerables relevantes, es decir, equipos expuestos que podrían ser explotados para entrar en redes, robar información o provocar interrupciones.
Más allá del número, el dato relevante es lo que sugiere: la amenaza se ha normalizado como ruido de fondo de la vida digital. Y cuando el “ruido” crece, la primera consecuencia suele ser organizativa: equipos de IT, responsables de seguridad y direcciones se ven obligados a operar en modo reactivo, apagando fuegos, mientras intentan sostener la continuidad del negocio.
Operadores esenciales: menos incidentes, pero más críticos
En el ámbito de los operadores esenciales e importantes (alineados con la directiva NIS2), INCIBE atendió 401 incidentes. El reparto sectorial deja pistas sobre dónde se concentra el impacto potencial: banca (34%), transporte (14%), energía (8%), infraestructuras de los mercados financieros (7%) y aseguradoras y fondos de pensiones (6%).
No es un ranking “de popularidad” del atacante, sino una señal de riesgo sistémico: cuando el objetivo es un sector esencial, el incidente no se mide solo en equipos cifrados o credenciales robadas, sino en servicios que afectan a la sociedad (pagos, movilidad, suministro, estabilidad financiera).
Malware y fraude: la combinación que no deja respirar
Entre los incidentes más frecuentes, el malware sigue dominando el tablero, con 55.411 casos. Dentro de ese bloque aparecen 392 incidentes de ransomware, una cifra que recuerda que el secuestro digital no ha desaparecido: se ha integrado en el “menú” habitual del cibercrimen, especialmente cuando hay posibilidades reales de monetización.
El segundo gran bloque es el fraude online, que representa 4 de cada 10 incidentes, con 45.445 casos, un 19% más que en 2024. Aquí la clave no es solo técnica, sino psicológica: el fraude funciona porque explota confianza, urgencia y fatiga digital. De hecho, el phishing lidera este capítulo con 25.133 incidentes, apoyado por variantes que se han vuelto cotidianas: llamadas (vishing), SMS o mensajería instantánea (smishing), y suplantaciones cada vez más convincentes.
Un indicador especialmente relevante para administradores de sistemas y responsables de seguridad es el impacto del “lado oscuro” del IoT. De los sistemas infectados y controlados de forma remota (botnets) identificados por INCIBE-CERT, el 85% está relacionado con dispositivos inteligentes: televisores, decodificadores, reproductores multimedia y equipos similares.
El patrón se repite: dispositivos con ciclos de vida largos, firmware desactualizado, contraseñas por defecto, servicios expuestos y escasa monitorización. La botnet no necesita sofisticación extrema si el ecosistema está lleno de “puertas entornadas”.
Menos dominio “libre”: cierres de .es y menos oxígeno para el atacante
Hay también señales de respuesta y contención. INCIBE trabajó, en colaboración con Red.es, para cerrar 4.600 dominios .es potencialmente fraudulentos, principalmente asociados a tiendas falsas.
Este tipo de acciones no elimina el problema —el fraude migra y reaparece—, pero reduce superficie y, sobre todo, acorta el tiempo en el que una campaña puede captar víctimas. En un entorno donde el fraude escala por volumen, la velocidad de retirada es un factor defensivo real.
Robo de información: menos visible, igual de dañino
Otro dato que conviene leer con calma es el de los incidentes con robo de información: 3.849 casos de acceso o sustracción no autorizada de datos digitales y/o confidenciales.
Aquí el impacto es más silencioso: el atacante no siempre “rompe” nada. A veces solo entra, copia y se va. El daño llega después: extorsión, suplantación, fraude financiero, filtraciones o ventaja competitiva ilícita.
El termómetro social: el 017 atendió 142.767 consultas
Si el CERT refleja lo que sucede “en el campo de batalla”, la Línea de Ayuda 017 refleja lo que la gente percibe. En 2025 atendió 142.767 consultas, un 45% más que el año anterior. El reparto también es revelador: 49% fueron consultas preventivas (dudas antes del incidente) y 51% reactivas (ya hay daño y se busca mitigación).
Entre los temas más comunes:
- 28%: intentos de phishing, vishing o smishing.
- 16%: compras fraudulentas en Internet.
- 14%: suplantación de identidad digital.
En el ámbito de menores y su entorno, el informe señala que un 5% de las consultas solicitaron ayuda por ciberacoso y que se registraron 3.302 reportes de contenidos inadecuados relacionados con abuso sexual infantil a través de la hotline.
Es el recordatorio de que la ciberseguridad no es solo un problema de sistemas: también es un problema de protección, educación digital y respuesta coordinada.
Qué deberían leer entre líneas empresas y responsables de IT
Con estos datos, la conclusión operativa es directa: la amenaza más común no siempre es la más “glamurosa”, pero sí la que más recursos consume. Para muchas organizaciones, 2025 refuerza tres prioridades prácticas:
- Reducir superficie expuesta: inventario real (incluido IoT), configuración mínima, segmentación, y revisión de servicios accesibles desde Internet.
- Endurecer identidad y correo: phishing y suplantación siguen en cabeza; autenticación fuerte y controles antifraude son barreras con retorno inmediato.
- Preparar respuesta: copias de seguridad verificadas, procedimientos de aislamiento y recuperación, y criterios claros para escalar a soporte especializado.
No es una carrera por “tener más herramientas”, sino por operar mejor: menos puntos ciegos, menos improvisación y tiempos de reacción más cortos.
Preguntas frecuentes
¿Qué es INCIBE-CERT y a quién da servicio?
Es el equipo de respuesta a incidentes de INCIBE. Da soporte a ciudadanía, empresas, proveedores de servicios digitales, entidades de RedIRIS y operadores esenciales e importantes del sector privado, gestionando y notificando incidentes y sistemas vulnerables.
¿Por qué el fraude online crece aunque haya más concienciación?
Porque escala por volumen y se adapta rápido: el phishing, el vishing y el smishing explotan urgencia y confianza, y funcionan incluso con usuarios “cuidadosos” cuando hay fatiga digital o mensajes muy creíbles.
¿Qué riesgos introduce el IoT en redes domésticas y corporativas?
Muchos dispositivos IoT tienen firmware desactualizado o contraseñas débiles y acaban formando parte de botnets. Esto puede usarse para ataques, accesos indirectos a redes o actividades remotas sin que el usuario lo note.
¿Qué es el 017 de INCIBE y cuándo conviene usarlo?
Es la Línea de Ayuda gratuita y confidencial de INCIBE para consultas preventivas (antes del incidente) y reactivas (cuando ya hay un problema). Se utiliza por teléfono y también por otros canales, según el propio balance publicado por INCIBE.
