El dato, recogido en el último informe del Departamento de Cyber Threat Intelligence de NTT DATA, sitúa al país entre los más atacados del continente en un contexto de alta digitalización y madurez defensiva desigual.
El análisis revela que la motivación económica sigue siendo el principal motor de los ataques en España. El ransomware, con o sin doble extorsión, continúa liderando las tipologías de incidente, acompañado por campañas de phishing avanzado, exfiltración de datos para chantaje y compromisos de servicios cloud mal configurados. Octubre concentró el mayor pico de actividad, coincidiendo con la reactivación tras el periodo estival y el inicio del último trimestre del año.
Industria, servicios profesionales y administración local, en el punto de mira
A diferencia del patrón global, donde la Administración Pública y la Educación encabezan el volumen de ataques, en España destacan especialmente los servicios profesionales y de consultoría. Firmas de ingeniería, asesoría y gestión documental han sido objetivo recurrente de grupos de ransomware como Qilin o INC Ransomware Group, con campañas centradas en la exfiltración de repositorios internos y filtración de documentación técnica para presionar a las víctimas.
El sector manufacturero mantiene un protagonismo relevante en el país, pese a haber perdido peso a nivel internacional. Varias empresas industriales sufrieron intrusiones en sistemas OT y SCADA durante septiembre y octubre, obligando en algunos casos a detener temporalmente líneas de producción para evitar la propagación del ataque. El impacto directo sobre la continuidad operativa refuerza la exposición de la industria española, especialmente en entornos con integración IT/OT.
La Administración Pública, sobre todo en el ámbito local, continúa siendo uno de los sectores más vulnerables. La combinación de infraestructuras heterogéneas, recursos limitados y elevada dependencia digital amplía la superficie de exposición. En diciembre, el Ayuntamiento de Elche sufrió un ataque que obligó a bloquear sistemas municipales e interrumpir servicios internos y de atención ciudadana, activando protocolos de contingencia.
El transporte y la logística mantienen un nivel sostenido de incidentes, aunque muchos no trascienden públicamente por razones de confidencialidad. Las campañas de phishing y los intentos de acceso no autorizado a portales operativos vinculados a cadenas de suministro reflejan el interés de los atacantes por sectores con alto impacto sistémico.
En sanidad, varios ataques de ransomware obligaron a clínicas privadas y centros regionales a retrasar consultas y procedimientos, evidenciando el atractivo de un sector donde la presión para restablecer la actividad puede acelerar decisiones críticas. El turismo, uno de los pilares económicos del país, también registró incidentes relevantes, incluido un ataque de doble extorsión contra un operador nacional que afectó a sistemas de reservas y comunicaciones internas en plena temporada alta.
Retail y cadena de suministro, bajo presión
El comercio electrónico y el retail experimentaron un incremento de incidentes vinculados a accesos no autorizados y compromisos de proveedores externos. En octubre, la empresa textil Mango notificó un acceso no autorizado a datos personales de clientes a través de un proveedor de servicios de marketing, en un caso que ilustra la creciente exposición de la cadena de suministro digital.
Este patrón conecta con una tendencia estructural identificada en el informe: el desplazamiento de los vectores de entrada hacia terceros y entornos cloud. El compromiso de servicios externos y configuraciones débiles en plataformas SaaS se consolida como uno de los principales riesgos para el tejido empresarial español, compuesto mayoritariamente por pymes con capacidades de protección desiguales.
Un país altamente digitalizado y atractivo para el cibercrimen
El posicionamiento de España como uno de los países más atacados de Europa responde a una combinación de factores: elevada digitalización, peso de sectores estratégicos como turismo, industria y servicios, y una estructura empresarial dominada por pequeñas y medianas empresas con distintos niveles de madurez en ciberseguridad.
El informe concluye que el ecosistema español afronta un escenario de presión sostenida, donde el impacto de los ataques no solo es tecnológico, sino también operativo, económico y reputacional. La convergencia entre amenazas criminales industrializadas y tensiones geopolíticas refuerza la necesidad de avanzar hacia modelos de ciberresiliencia más integrados, con foco en identidad, protección de la cadena de suministro y seguridad en entornos cloud.
En un contexto global en el que el cibercrimen ya genera pérdidas estimadas en 10,5 billones de dólares anuales, los 605 incidentes registrados en España en apenas seis meses subrayan que la industria nacional forma parte activa de un escenario de riesgo sistémico que exige respuestas estratégicas y coordinadas.
