En els últims anys, Espanya ha esdevingut un dels objectius preferits dels ciberdelinqüents. Des de ministeris i ajuntaments fins a bancs, elèctriques, universitats o asseguradores, la llista d'organitzacions afectades no deixa de créixer i dibuixa un panorama força preocupant per a ciutadans, empreses i administracions públiques.
El que abans semblaven incidents aïllats ara forma una pressió constant d'atacs de ransomware, filtracions massives de dades, phishing o denegació de servei. A més, la irrupció de la intel·ligència artificial generativa ha elevat el nivell de sofisticació tant de les defenses com de les ofensives, fent que el joc del gat i el ratolí en ciberseguretat sigui cada cop més complex.
Ciberatacs a Espanya durant 2025: casos més cridaners
L'any 2025 amb prou feines ha avançat i ja acumula incidents de primer nivell, que afecten tant organismes públics com grans companyies privades. Molts daquests atacs tenen en comú el robatori de dades personals i lús de tècniques com el phishing o el ransomware.
Gener: phishing a la Universitat de les Illes Balears (UIB)
Les primeres setmanes de l'any, la Universitat de les Illes Balears va ser víctima d'una campanya de pesca molt ben elaborada. Els atacants van enviar correus electrònics que imitaven amb força fidelitat les comunicacions oficials de la universitat, enllaçant a una pàgina web fraudulenta que demanava a alumnes i personal les seves credencials institucionals.
Aquest tipus d'accions cerca capturar usuaris i contrasenyes per després intentar accedir a sistemes interns, consultar expedients, robar informació personal o moure's lateralment cap a altres serveis. Tot i que no s'ha fet públic l'abast exacte, l'incident va encendre totes les alarmes sobre la necessitat de formar millor la comunitat universitària davant de correus sospitosos.
Gener: filtració massiva a Guàrdia Civil, Forces Armades i Defensa
Poc després es va conèixer una bretxa especialment delicada: dades d'uns 180.000 membres de la Guàrdia Civil, les Forces Armades i el personal del Ministeri de Defensa van acabar a la venda en fòrums de ciberdelinqüència. Entre la informació compromesa hi havia identificadors i adreces de correu, incloent-hi gairebé 20.000 comptes de correu personals.
Tot i que tot apunta que el robatori de la informació s'hauria produït aproximadament un any abans, la filtració va sortir a la llum el 2025, evidenciant la dificultat per detectar intrusions en sistemes complexos i la gravetat d'exposar dades de personal vinculat a la seguretat nacional.
Gener: atac al sistema de ticketing intern de Telefónica
Un altre dels incidents del mes va afectar Telefónica, el sistema intern de gestió d'incidències (ticketing) del qual va ser compromès. Arran de l'atac s'haurien filtrat al voltant de 2,3 GB d'informació. Segons la mateixa operadora, les dades de clients residencials no es van veure afectades, però sí documentació interna relacionada amb l'operativa tècnica.
L'atac s'ha vinculat a un grup de quatre individus que s'identifiquen amb els àlies DNA, Grep, Pryx i Rey, i que presumiblement haurien utilitzat credencials compromeses d'empleats. Aquest episodi il·lustra molt bé com els sistemes de suport intern es poden convertir en una porta d'entrada crítica quan no es protegeixen adequadament.
Febrer: filtració de dades personals a DKV Seguros
Al febrer, l'asseguradora DKV va notificar als seus clients un incident de seguretat que afectava informació personal. La companyia va insistir que no s'havien vist compromeses dades relatives a la salut ni informació financera, però sí elements sensibles com a nom complet, DNI, telèfon, correu electrònic, adreça postal i data de naixement.
Aquest conjunt de dades ofereix als delinqüents una base excel·lent per orquestrar fraus, suplantacions d'identitat i campanyes de pesca altament personalitzades, de manera que la preocupació entre els afectats es va centrar més en els possibles usos futurs de la informació que no pas en l'atac en si.
Març: dades de clients d'El Corte Inglés exposats
Al començament de març, El Corte Inglés va comunicar un atac informàtic originat en un dels seus proveïdors de serveis. Els atacants van aprofitar aquesta empresa externa com a baula feble i van aconseguir accedir a dades de clients de la cadena de distribució.
Entre la informació exposada es trobaven dades de contacte i identificació i números de targetes de compra “només a El Corte Inglés”. Es calcula que més d'11,8 milions d'usuaris disposen d'aquest tipus de targeta, tot i que la companyia va recalcar que amb les dades filtrades no seria possible fer pagaments ni fer càrrecs fraudulents, i va instar els clients a continuar utilitzant-la amb normalitat.
Març: ofensiva prorrussa contra administracions locals
En paral·lel, el grup d'origen prorus NoName057 va llançar una campanya coordinada d'atacs de denegació de servei (DDoS) contra webs públics espanyols, com a resposta al suport del Govern d'Espanya a Ucraïna i al seu president, Volodímir Zelenski.
Els objectius van incloure diputacions com les de València, Càceres, Badajoz i Guipúscoa, a més d'ajuntaments com Sant Sebastià, Irun, Hondarribia, Mèrida o Benavente, i fins i tot organismes com la Direcció General de Trànsit o diversos ports. Encara que en general l'impacte es va limitar a caigudes temporals de pàgines web, la campanya va demostrar com de vulnerables continuen sent moltes infraestructures digitals públiques davant d'atacs relativament senzills però molt sorollosos.
Abril: robatori de dades d'ATA, la federació d'autònoms
A l'abril es va conèixer que l'organització ATA (Federació d'Associacions d'Autònoms) havia patit el robatori d'una base de dades massiva. El grup ciberdelinqüent Arikos va publicar en un fòrum de la dark web que tenia en poder uns 240.000 registres amb noms i cognoms, 110.000 adreces de correu electrònic i 244.000 números de telèfon d'associats.
Entre les persones afectades es trobaria fins i tot el mateix president d'ATA, Lorenzo Amor. L'incident va posar sobre la taula fins a quin punt les associacions professionals i empresarials es poden convertir també en objectius molt sucosos per l'enorme concentració de dades de contacte que gestionen.
Abril: atac a Aigües de Mataró
Aquest mateix mes, l'empresa pública Aigües de Mataró va patir un incident que va afectar els seus sistemes informàtics i la seva pàgina web. La companyia es va afanyar a assegurar que ni el subministrament ni la qualitat de l'aigua, ni la gestió del clavegueram s'havien vist afectats per l'atac.
Tot i aquest missatge tranquil·litzador, el cas serveix per recordar que les infraestructures de serveis essencials, com aigua, energia o transport, són objectius prioritaris per als atacants, perquè qualsevol impacte operacional té conseqüències directes sobre la ciutadania.
Abril: ransomware a l'Ajuntament de Badajoz
En un context especialment delicat, coincidint amb una gran apagada elèctrica que va afectar bona part del país, el Ajuntament de Badajoz va ser víctima d'un atac de ransomware que va paralitzar de dalt a baix els seus sistemes digitals.
Els serveis municipals van quedar pràcticament fora de joc: portals web inoperatius, tràmits administratius detinguts i atenció ciutadana molt limitada per a una població de més de 150.000 habitants. Les primeres indagacions van assenyalar el grup LockBit, una de les bandes de ransomware més actives del món, com a possible responsable de l'atac.
Maig: accessos indeguts a identitats digitals de senadors
Al maig, el focus es va traslladar a l'esfera política quan el Senat va detectar que dos informàtics contractats havien accedit de manera irregular als perfils digitals de diversos senadors. S'haurien consultat comptes de correu, identitats digitals i altres recursos interns durant mesos sense autorització.
La investigació va acabar amb l'acomiadament dels dos treballadors per falta molt greu, després de comprovar-se que el nombre de senadors afectats rondava la trentena, de diferents formacions polítiques, entre ells l'expresident extremeny Guillermo Fernández Vara. El cas subratlla com n'és de crític controlar els accessos interns i no només les amenaces externes.
Juny: hackeig massiu a clients de Movistar
Ja al juny, Telefónica va tornar a ser al centre de l'atenció mediàtica en reconèixer que estava investigant un possible hackeig massiu a dades de clients de Movistar. Un ciberdelinqüent, amb l'àlies Dedale, va assegurar que havia accedit a una base amb 22 milions de registres.
Per demostrar-ho, hi hauria publicat al voltant d'un milió de registres de clients peruans com a mostra i sol·licitat una quantitat relativament baixa com a recompensa, uns 1.500 dòlars. Més enllà de la xifra, l'incident reflecteix la tendència a atacs dirigits a grans bases de dades i l'ús de filtracions parcials per pressionar les companyies.
Octubre: atac a Mango a través d'un proveïdor de màrqueting
A l'octubre li va tocar el torn a Mango, que va confirmar un accés no autoritzat a dades personals de clients mitjançant un dels seus serveis externs de màrqueting. Els atacants van aconseguir dades emprades en campanyes promocionals: noms de pila, correus electrònics i números de telèfon.
L'empresa va insistir que no es van veure compromeses dades bancàries, documents d'identitat, contrasenyes ni credencials d'accés, i que la seva activitat tant en botigues físiques com en línia va continuar amb normalitat. Tot i així, l'incident és un altre exemple de com la cadena de subministrament i els proveïdors de serveis es poden convertir en la baula feble de la seguretat.
Novembre: bretxes de dades a ING i indicis de fugida a Santander
A la recta final de l'any, el grup hacker BreachParty va assegurar que havia robat dades d'uns 21.000 clients d'ING Espanya, filtrant part d'aquesta informació. El mateix banc va confirmar la bretxa, en què s'incloïen identificadors de client, nom i cognoms, data de naixement, ciutat de residència, telèfons associats, codis bancaris, IBAN i la sucursal on estava obert el compte.
Pocs dies després es va saber que el mateix grup podria haver obtingut dades al voltant de 10.000 clients del Banco Santander, amb informació similar: identificacions, dades personals i números de compte. Tot i que Santander no va confirmar ni va desmentir l'atac, la notícia es va difondre a través de comptes especialitzats en seguiment de ciberincidents, cosa que va generar inquietud entre els usuaris del banc.
Radiografia dels ciberatacs: Espanya al punt de mira
Més enllà de casos concrets, diversos informes mostren que Espanya destaca negativament al panorama internacional de ciberseguretat. Tant empreses del sector com grans tecnològiques fa temps que adverteixen del creixement dels incidents i de l'especial exposició del país.
Espanya, cinquè país europeu més atacat segons Microsoft
L'informe anual Microsoft Digital Defense, que analitza les tendències del juliol del 2024 al juny del 2025, situa Espanya com cinquè país europeu amb més clients afectats per ciberatacs a la primera meitat del 2025 ia la posició 14 a nivell mundial.
Segons Microsoft, més del 97% dels atacs se centren en les contrasenyes, aprofitant credencials robades en filtracions prèvies per intentar ingressar en massa a diferents serveis. Els anomenats atacs d'inici de sessió, basats a provar usuaris i contrasenyes en múltiples sistemes, van créixer un 32% en aquest període.
Ransomware i robatori de dades com a gran negoci
El mateix informe destaca que el robatori de dades és darrere d'aproximadament el 80% dels incidents investigats pels equips de resposta de Microsoft, amb una motivació econòmica clara. Almenys la meitat dels atacs tenien com a objectiu extorsió directa mitjançant ransomware o un altre tipus de xantatge.
Els atacs purament orientats a l'espionatge representen un percentatge molt menor al voltant del 4%, encara que els actors vinculats a Estats com Rússia, Xina, Iran o Corea del Nord segueixen molt actius i recorren cada cop més a xarxes criminals per executar operacions difícils d'atribuir.
Serveis crítics i administracions, objectius prioritaris
Hospitals, ajuntaments, organismes reguladors o empreses de transport han esdevingut objectius freqüents a causa dels seus limitats pressupostos de ciberseguretat ia l'ús de sistemes antics. Quan aquestes entitats pateixen un atac, les conseqüències per a la ciutadania són immediates: col·lapsen cites mèdiques, es paralitzen tràmits administratius o es genera caos al transport.
En aquest context, el ransomware continua sent una de les amenaces més greus, en xifrar sistemes complets i exigir pagaments per restaurar l'accés. El cas de l'Ajuntament de Badajoz o els incidents amb transport públic i ITV il·lustren fins a quin punt un atac pot afectar el dia a dia de milers de persones.
La influència de la intel·ligència artificial generativa
L'activitat maliciosa recent està molt marcada per l'ús de IA generativa, tant per reforçar la defensa com per millorar les capacitats datac. Les eines de seguretat aprofiten la IA per detectar patrons anòmals, identificar intents de pesca i tancar bretxes de detecció.
Al costat fosc, els delinqüents utilitzen la IA per redactar correus de phishing impecables, crear deepfakes i automatitzar campanyes amb un nivell de personalització que fa que l'engany sigui molt més creïble. A més, l'ús massiu d'aplicacions d'IA a empreses, moltes vegades sense controls adequats, genera una nova superfície d'exposició de dades.
Estadístiques d'atacs i riscos el 2025
Segons dades de Check Point Research, Espanya estaria rebent el 2025 uns 1.800 ciberatacs setmanals de mitjana, un 5% més que el 2024. El risc ja no es concentra en episodis puntuals, sinó que es percep com una pressió continuada sobre empreses i institucions.
Les més afectades són les administracions públiques, les companyies de béns i serveis i les operadores de telecomunicacions. Alhora, l'ús no controlat de solucions d'IA a les organitzacions està provocant que una de cada 27 sol·licituds a plataformes d'IA suposi un alt risc de filtració d'informació sensible, segons la mateixa font.
La gran onada de ciberatacs del 2024: empreses a l'ull de l'huracà
L'any anterior ja havia deixat clar que la cibercriminalitat a Espanya estava en plena escalada. Maig del 2024, en particular, va ser un mes negre, amb una llista de companyies de primera línia patint filtracions i accessos no autoritzats.
Iberdrola: dades de 850.000 clients exposats
Al maig de 2024, Iberdrola va reconèixer que un incident de seguretat havia deixat exposades dades personals d'uns 850.000 clients. Es van veure compromesos noms, cognoms i números de DNI, si bé l'elèctrica va insistir que ni dades bancàries ni informació de facturació s'havien vist afectades.
L'empresa va afirmar que va contenir ràpidament l'atac i va notificar als usuaris afectats, però el cas va evidenciar l'enorme valor de les bases de dades de clients de les utilities i l'impacte potencial que té sobre la privadesa dels ciutadans una bretxa d'aquesta magnitud.
Santander: base de dades amb clients i empleats compromesa
També al maig, el Banco Santander va comunicar a la CNMV un accés no autoritzat a una base de dades que incloïa informació de clients d'Espanya, Xile i Uruguai, així com d'empleats i extreballadors, sumant un total que superava els 211.000 registres de personal.
Les dades filtrades eren considerades "bàsiques", com a noms i dates de naixement, sense credencials d'accés ni detalls d'operacions, però el seu valor per a l'elaboració de campanyes de phishing dirigides o suplantacions d'identitat continua sent elevat.
Telefònica: milions de registres potencialment exposats
En paral·lel, Telefónica va començar a investigar una possible intrusió detectada el març del 2024, que s'hauria donat a conèixer en un fòrum de la dark web. L?atacant afirmava haver accedit a 2,7 milions de registres i dades d?uns 120.000 usuaris.
La informació filtrada incloïa noms complets, telèfons i adreces, però no contrasenyes, dades bancàries ni números de documents, segons fonts del sector. Tot i així, la combinació d'aquesta informació amb altres bases de dades robades multiplica el risc de frau.
Decathlon i Ticketmaster: cadenes globals esquitxades
L'onada no es va limitar a empreses espanyoles. Decathlon va patir un incident que va afectar correus corporatius d'empleats a Espanya, vinculat a una aplicació de tercers, i va assegurar que no s'havien compromès contrasenyes ni dades de clients.
Pitjor va ser el cas de Ticketmaster, que va veure com el grup ShinyHunters assegurava haver robat 1,3 terabytes d'informació, amb dades d'uns 560 milions de clients a escala global. Entre la informació s'incloïen contactes, historial de compres i fragments de dades de targetes, prou detallats per facilitar intents de frau i suplantació.
DGT: possible accés a la base de dades de conductors
La Direcció General de Trànsit també es va veure envoltada d'un incident d'alt impacte. A fòrums de compravenda de dades va aparèixer una oferta amb suposats registres de milions de conductors espanyols, incloent matrícules, dades de vehicles, noms, adreces i detalls d'assegurances.
La DGT va sostenir que la vulnerabilitat s'havia corregit i que els atacants ja no hi tenien accés, però va admetre que no podia precisar amb exactitud el volum ni la naturalesa exacta de les dades sostretes, cosa que posa en relleu les dificultats a l'hora de reconstruir el que ha passat després d'una intrusió complexa.
Més enllà de les grans marques: rànquing, costos i resposta institucional
Tot aquest context ha fet que Espanya torni a situar-se com a segon país més atacat del món segons Secure&IT, després d'haver oscil·lat tradicionalment entre la tercera i la cinquena posició en els darrers anys.
Raons de l'elevada exposició d'Espanya
Entre els factors que expliquen aquesta situació es troben el pes econòmic d'Espanya, la presència en mercats internacionals i la posició geoestratègica com a pont entre Europa i Amèrica. A més, la inestabilitat global i les tensions geopolítiques fan que el país sigui un objectiu atractiu per a campanyes de desestabilització.
El Govern ha reconegut que cada any es registren més de mil ciberatacs contra serveis essencials i infraestructures crítiques, molts dels quals no transcendeixen els mitjans. Hospitals, aeroports i altres serveis vitals pateixen intents constants que, de moment, s'estan aconseguint repel·lir majoritàriament.
Cost del cibercrim i professionalització dels atacants
Segons dades presentades per Secure&IT, el cibercrim ja suposa al voltant de l'1,5% del PIB mundial, amb grups com Ransomhub o LockBit entre els més actius. Només el 2024, els ciberatacs haurien crescut al voltant d'un 64% respecte a l'any anterior, segons xifres del CCN-CERT.
Es parla fins i tot d'un ecosistema de “ransomware DIY” (fes-ho tu mateix), on qualsevol usuari amb pocs coneixements, una targeta prepagament i una mica de temps pot contractar kits datac llestos per desplegar. Plataformes il·legals valoren la “reputació” dels proveïdors de codi maliciós, com si es tractés d'un marketplace més, on sorgeixen amenaces com Risk Tool.
Pla governamental per a un “escut digital”
En aquest escenari, l'Executiu ha anunciat mesures dins del seu Pla Industrial i Tecnològic per a la Seguretat i la Defensa, que inclouen inversions en telecomunicacions segures, infraestructura 5G, intel·ligència artificial, computació quàntica i solucions al núvol.
L'objectiu declarat és aixecar una mena d'escut digital nacional que permeti blindar millor tant sistemes militars com civils, reforçant la resiliència davant d'atacs dirigits a infraestructures crítiques i serveis essencials.
Serveis d'ajuda i paper de l'usuari a la ciberseguretat
Paral·lelament a les mesures estructurals, les autoritats han posat a disposició de la ciutadania diferents recursos per rebre assistència directa quan sorgeixen problemes de ciberseguretat en el dia a dia.
INCIBE i el servei “El teu Ajuda en Ciberseguretat”
L'Institut Nacional de Ciberseguretat (INCIBE) ofereix un servei gratuït i confidencial anomenat “El teu Ajuda en Ciberseguretat”, orientat tant a ciutadans com a empreses, professionals, menors i el seu entorn (famílies, educadors i professionals de protecció de menors).
Aquest servei compta amb un equip multidisciplinar d'experts que atenen dubtes i problemes tècnics, legals o psicosocials relacionats amb incidents a Internet, amb un horari ampli que va des de les 8 del matí fins a les 11 del vespre, els 365 dies de l'any, a través de diferents canals de contacte.
Bones pràctiques bàsiques per reduir riscos
Organismes com Microsoft recomanen implantar autenticació multifactor (MFA) de forma generalitzada, ja que pot bloquejar més del 99% dels intents de pesca, fins i tot quan l'atacant ha aconseguit fer-se amb usuari i contrasenya.
A això cal sumar mesures com mantenir sistemes i aplicacions actualitzats, revisar els permisos de les eines d'IA que es fan servir a l'empresa, limitar l'accés a la informació segons el rol i elevar la formació dels usuaris amb l'ajuda d'un expert en ciberseguretat. Moltes bretxes comencen amb un clic en un enllaç maliciós, així que la conscienciació és tan important com la tecnologia.
El mapa de ciberatacs a Espanya dibuixa un entorn on empreses, administracions i ciutadans conviuen amb un risc digital creixent i cada cop més sofisticat. Les grans filtracions de dades a bancs, elèctriques, asseguradores o institucions públiques, els atacs de ransomware a ajuntaments i serveis essencials, i la pressió continua motivada per interessos econòmics i geopolítics deixen clar que la ciberseguretat ja no és un extra, sinó una peça central de l'estabilitat del país; reforçar defenses tècniques, millorar la governança de la dada i elevar la cultura de seguretat de tota la societat és l?única manera d?evitar que aquesta cascada d?incidents es converteixi en la nova normalitat.
