España ha registrado casi 36.000 ciberincidentes entre enero de 2024 y junio de 2025, con una media mensual de 2.000 ataques y un pico de 4.753 en mayo de este año, según el informe Spain Cyber Threat Landscape 2024–2025 elaborado por Mastercard. El estudio sitúa al país como el quinto más atacado de Europa, solo por detrás de Francia, en un contexto marcado por el auge del ransomware, el phishing y la explotación de vulnerabilidades en sistemas críticos.
Los sectores público, financiero y retail & commerce son los principales objetivos de los ciberdelincuentes, coincidiendo con las áreas esenciales identificadas por la directiva NIS2, aún pendiente de completa transposición en España.
El sector público, en el punto de mira
El sector público concentra el 40% de los ataques analizados, con un fuerte protagonismo de grupos Black Hat y campañas de ransomware, malware y phishing. El informe destaca un incidente en junio de 2025, cuando datos personales de políticos españoles fueron robados y vendidos en foros de la dark web a cambio de criptomonedas. Entre los actores identificados figuran ShinyHunters, Natohub, UNC5537 e IntelBroker.
Pese a contar con marcos sólidos como el Esquema Nacional de Seguridad (ENS) y una posición de Tier 1 en el Global Cybersecurity Index, el informe alerta de una madurez técnica aún insuficiente en la administración pública.
Retail, comercio y finanzas
En el sector retail y comercio electrónico, cuatro de cada diez ataques son atribuidos a ciberdelincuentes de sombrero negro. Predominan el ransomware (17%), el malware (22%) y el phishing dirigido a empleados y clientes.
Entre los casos más notorios, el informe cita el ataque a Orange España en abril de 2025, que provocó una caída de tres horas tras el secuestro de una cuenta RIPE, y el incidente en Aigües de Mataró, donde la infraestructura IT fue comprometida, aunque sin impacto sobre el suministro de agua.
La banca y los servicios financieros siguen siendo un objetivo prioritario. Un 25% de los ataques están vinculados a grupos de ransomware y un 97% de las campañas de phishing se atribuyen al colectivo Scattered Spider.
Entre los incidentes más destacados figuran la campaña de smishing contra clientes de ING en septiembre de 2024 y el ataque combinado de DDoS y smishing contra CaixaBank en marzo del mismo año.
Un entorno geopolítico y técnico cada vez más complejo
El estudio también conecta el aumento de incidentes con el contexto geopolítico internacional, desde la guerra entre Rusia y Ucrania hasta el conflicto en Oriente Medio. El grupo prorruso NoName057(16), por ejemplo, atacó a un contratista de defensa español en 2025.
A nivel global, eventos como la brecha de MOVEit o el apagón causado por CrowdStrike en julio de 2024 tuvieron un impacto directo en organizaciones españolas, incluyendo banca, aerolíneas y hospitales.
España mejora, pero aún por detrás de Europa
La madurez media de seguridad en España se sitúa en 7,5 sobre 10, frente al 8,1 de media europea. Persisten brechas críticas en áreas como el cifrado web, DNS, filtrado de red y seguridad de aplicaciones.
El informe recomienda reforzar los controles técnicos —desde EDR y NGAV hasta políticas de cifrado y gestión de parches—, así como promover una cultura de ciberresiliencia basada en formación continua y simulaciones de ataque.
