Redacción Digital Inside España
El panorama de la seguridad lógica ha experimentado una transformación radical durante el último año, consolidando tendencias que ya se vislumbraban y materializando riesgos que hasta hace poco parecían teóricos. El análisis de los incidentes registrados a lo largo de 2025 revela que la superficie de ataque de las organizaciones se ha extendido definitivamente más allá de sus propios muros, abarcando todo su ecosistema digital. La automatización ofensiva y la interconexión de sistemas han provocado que los incidentes ya no sean meros compromisos técnicos aislados, sino eventos con capacidad para afectar directamente a la continuidad del negocio y a la estabilidad de infraestructuras críticas.
La situación en España ha servido de termómetro para esta tendencia global. El año comenzó con un incidente significativo en el sector público en enero de 2025, cuando una brecha de seguridad en un proveedor externo de servicios TI derivó en la exposición de información sensible vinculada a la Guardia Civil y las Fuerzas Armadas. Si bien los sistemas nucleares no se vieron comprometidos, el suceso puso de manifiesto las carencias en los mecanismos de supervisión y auditoría exigidos a terceros.
Esta presión sobre las administraciones continuó en el ámbito local. En abril, el Ayuntamiento de Badajoz sufrió un ataque de ransomware atribuido al grupo LockBit que paralizó sus servicios digitales durante días, obligando a activar planes de contingencia manuales. Posteriormente, en agosto; el consistorio de Elche y otros municipios como Melilla o La Rinconada enfrentaron situaciones similares. Evidenciando la especial vulnerabilidad de las entidades locales por su menor dotación de recursos especializados y su alta dependencia de proveedores externos.
El problema de la dependencia de terceros no se ha limitado al sector público. El sector financiero y de servicios, tradicionalmente más maduro en ciberdefensa, ha visto cómo organizaciones de primer nivel sufrían accesos no autorizados originados en servicios subcontratados. Entidades como ING y Banco Santander comunicaron incidencias de este tipo en noviembre, confirmando que incluso las organizaciones con elevados niveles de madurez pueden verse comprometidas si los controles de sus colaboradores no están alineados con sus propios estándares. En el ámbito industrial, la interrupción de la producción en Jaguar Land Rover debido a un ataque a sus sistemas de Tecnología Operativa (OT) subrayó los costes millonarios que supone la convergencia entre las redes IT y OT sin la debida segmentación.
La IA como vector de ataque y defensa
Uno de los aspectos más disruptivos del pasado ejercicio ha sido el uso dual de la Inteligencia Artificial. Los ciberdelincuentes han adoptado estas herramientas para automatizar y sofisticar sus campañas a una velocidad sin precedentes. Las estadísticas muestran un aumento interanual del 1.265% en los ataques de phishing y smishing, impulsado por el uso de Modelos de Lenguaje (LLMs) capaces de generar mensajes de ingeniería social sin errores gramaticales y altamente personalizados. Así mismo, el robo de credenciales mediante infostealers creció un 131%, alimentando el mercado de acceso como servicio en la Dark Web.
La sofisticación ha alcanzado cotas preocupantes con el fraude corporativo mediante deepfakes en tiempo real. Se ha documentado el caso de una multinacional donde un empleado realizó transferencias de fondos tras una videollamada generada por IA que replicaba la imagen y voz de su director financiero. Demostrando que los procedimientos clásicos de autorización basados en la confianza visual y jerárquica han quedado obsoletos.
Frente a esta ofensiva, las organizaciones han comenzado a implementar algoritmos inteligentes para la defensa, utilizando análisis predictivo basado en el comportamiento de usuarios y entidades (UEBA) para detectar anomalías antes de que se conviertan en intrusiones confirmadas.
El impacto geográfico de estas amenazas ha sido desigual, destacando el caso de Latinoamérica, que se consolidó como la región con mayor crecimiento porcentual de ciberataques, registrando un aumento del 108% semanal. Países como Brasil, México y Colombia concentraron la gran mayoría de estos incidentes, impulsados por la densidad de servicios financieros digitales y la presencia de troyanos bancarios móviles. En Europa, la entrada en vigor de directivas como la NIS2 ha incrementado la visibilidad de los incidentes, con un aumento del 43,2% en los reportes, forzando a una notificación más rigurosa.
De cara al presente año 2026, los analistas proyectan cambios drásticos en las prioridades de inversión. Ante la amenaza de que los datos capturados puedan ser descifrados en el futuro por ordenadores cuánticos, las empresas están iniciando una migración urgente de sus protocolos de cifrado tradicionales hacia soluciones de criptografía post-cuántica (PQC).
Así mismo, se observa un cambio de paradigma en la gestión de vulnerabilidades. En lugar de la aplicación indiscriminada de parches, se impone la Gestión de Exposición a Amenazas (CTEM), que prioriza únicamente aquellos fallos realmente explotables en el contexto específico de cada empresa. Finalmente, con la desaparición del perímetro de red tradicional, la identidad digital unificada y biométrica se establece como la nueva barrera de seguridad, evolucionando el modelo Zero Trust hacia una verificación continua y contextual de cada acceso.
