El análisis revela que la motivación económica sigue siendo el principal motor de los ataques en España. El ransomware, con o sin doble extorsión, continúa liderando las tipologías de incidente, acompañado por campañas de phishing avanzado, exfiltración de datos para chantaje y compromisos de servicios cloud mal configurados. Octubre concentró el mayor pico de actividad, coincidiendo con la reactivación tras el periodo estival y el inicio del último trimestre del año. En este contexto, Sandra Somastre González, investigadora del equipo de Ciberamenazas de NTT DATA España, señala que “estamos viendo un desplazamiento hacia intrusiones más silenciosas y prolongadas, basadas en el abuso de identidades y accesos legítimos. También una explotación cada vez más rápida de vulnerabilidades críticas tras su publicación y un uso creciente de inteligencia artificial para escalar campañas de ingeniería social”. Estas tendencias anticipan un escenario en el que el tiempo de permanencia del atacante dentro de la red se convierte en un factor crítico de impacto.
A diferencia del patrón global, donde la Administración Pública y la Educación encabezan el volumen de ataques, en España destacan especialmente los servicios profesionales y de consultoría. Firmas de ingeniería, asesoría y gestión documental han sido objetivo recurrente de grupos de ransomware como Qilin o INC Ransomware Group, con campañas centradas en la exfiltración de repositorios internos y filtración de documentación técnica para presionar a las víctimas.
El sector manufacturero mantiene un protagonismo relevante en el país, pese a haber perdido peso a nivel internacional. Varias empresas industriales sufrieron intrusiones en sistemas OT y SCADA durante septiembre y octubre, obligando en algunos casos a detener temporalmente líneas de producción para evitar la propagación del ataque. El impacto directo sobre la continuidad operativa refuerza la exposición de la industria española, especialmente en entornos con integración IT/OT. Según explica Sandra Somastre, la industria está en el punto de mira porque “concentra activos críticos y una baja tolerancia a la interrupción. En entornos industriales, cualquier parón operativo genera impacto directo en producción y cadena de suministro, lo que incrementa la presión en escenarios de extorsión. Además, la convergencia IT/OT amplía la superficie de ataque y complica la detección”.
La Administración Pública, sobre todo en el ámbito local, continúa siendo uno de los sectores más vulnerables. La combinación de infraestructuras heterogéneas, recursos limitados y elevada dependencia digital amplía la superficie de exposición. En diciembre, el Ayuntamiento de Elche sufrió un ataque que obligó a bloquear sistemas municipales e interrumpir servicios internos y de atención ciudadana, activando protocolos de contingencia.
El transporte y la logística mantienen un nivel sostenido de incidentes, aunque muchos no trascienden públicamente por razones de confidencialidad. Las campañas de phishing y los intentos de acceso no autorizado a portales operativos vinculados a cadenas de suministro reflejan el interés de los atacantes por sectores con alto impacto sistémico.
En sanidad, varios ataques de ransomware obligaron a clínicas privadas y centros regionales a retrasar consultas y procedimientos, evidenciando el atractivo de un sector donde la presión para restablecer la actividad puede acelerar decisiones críticas. El turismo, uno de los pilares económicos del país, también registró incidentes relevantes, incluido un ataque de doble extorsión contra un operador nacional que afectó a sistemas de reservas y comunicaciones internas en plena temporada alta.
El comercio electrónico y el retail experimentaron un incremento de incidentes vinculados a accesos no autorizados y compromisos de proveedores externos. En octubre, la empresa textil Mango notificó un acceso no autorizado a datos personales de clientes a través de un proveedor de servicios de marketing, en un caso que ilustra la creciente exposición de la cadena de suministro digital.
Este patrón conecta con una tendencia estructural identificada en el informe: el desplazamiento de los vectores de entrada hacia terceros y entornos cloud. El compromiso de servicios externos y configuraciones débiles en plataformas SaaS se consolida como uno de los principales riesgos para el tejido empresarial español, compuesto mayoritariamente por pymes con capacidades de protección desiguales. En este sentido, Somastre recomienda “priorizar la protección de identidades y privilegios, reducir la exposición de servicios críticos y segmentar correctamente entornos IT y OT. A nivel estratégico, es clave combinar prevención con capacidad real de detección temprana y contención, porque el riesgo ya no es solo el ataque, sino el tiempo de permanencia del atacante dentro de la red”.
El posicionamiento de España como uno de los países más atacados de Europa responde a una combinación de factores: elevada digitalización, peso de sectores estratégicos como turismo, industria y servicios, y una estructura empresarial dominada por pequeñas y medianas empresas con distintos niveles de madurez en ciberseguridad.
El informe concluye que el ecosistema español afronta un escenario de presión sostenida, donde el impacto de los ataques no solo es tecnológico, sino también operativo, económico y reputacional. La convergencia entre amenazas criminales industrializadas y tensiones geopolíticas refuerza la necesidad de avanzar hacia modelos de ciberresiliencia más integrados, con foco en identidad, protección de la cadena de suministro y seguridad en entornos cloud. En un contexto global en el que el cibercrimen ya genera pérdidas estimadas en 10,5 billones de dólares anuales, los 605 incidentes registrados en España en apenas seis meses subrayan que la industria nacional forma parte activa de un escenario de riesgo sistémico que exige respuestas estratégicas y coordinadas.
