Marc Sureda
Desde 2004, el país acumula un historial de exposición de información personal que lo sitúa segundo en el sur de Europa por volumen de brechas. En este periodo, se han comprometido 249,1 millones de cuentas de usuarios y se han filtrado 67,9 millones de correos electrónicos únicos. Con 147 millones de contraseñas expuestas, el 59% de los usuarios españoles afectados está en riesgo de toma de cuenta, una situación que puede desembocar en fraudes como suplantación de identidad o extorsión. De media, cada ciudadano ha sufrido el impacto de una brecha cinco veces. La filtración histórica incluye datos especialmente sensibles: más de 34 millones de fechas de nacimiento, cerca de 5 millones de nacionalidades, 362.123 números únicos de documentos de identidad y más de 184.351 números de la Seguridad Social, elementos estáticos que facilitan la suplantación si quedan al alcance de terceros.
A escala global, 2025 mostró una trayectoria descendente de incidentes. En el segundo trimestre se vulneraron 899 cuentas por minuto, cifra que bajó a 699 en el tercer trimestre, lo que implica una caída del 22,3%. España, sin embargo, registró una evolución opuesta: las brechas crecieron un 15% intertrimestral, de 3,9 a 4,5 cuentas comprometidas por minuto, pasando de 502.000 a 578.600 cuentas vulneradas.
En el balance del tercer trimestre de 2025, España se situó como el 13º país con más cuentas filtradas, con 578.600 registros expuestos. El estudio cuantifica 90,6 millones de cuentas vulneradas en el mundo entre julio y septiembre. Europa fue la región más afectada, por delante de Norteamérica y Asia. Una de cada 2,3 cuentas comprometidas tuvo origen europeo y, dentro de ellas, el 40% procedió de Francia. Norteamérica representó el 17% de los casos (15,7 millones) y Asia el 15,6% (14,1 millones); el resto de regiones aportaron en torno al 5% del total anual y casi un 19% del origen permanece sin identificar. Por países y en orden descendente, el trimestre estuvo encabezado por Francia (15,5 millones), seguida de Alemania (10,5 millones), Estados Unidos (10,5 millones), India (10,2 millones), Canadá (4,8 millones), Montenegro (3,1 millones), Rusia (2,9 millones), Reino Unido (2,5 millones), Países Bajos (1,2 millones) e Indonesia (943.700).
La generalización de herramientas de IA ha rebajado la barrera para explotar datos filtrados, según Surfshark, al permitir analizar grandes volúmenes de información y convertir datos aparentemente menores (nombres, direcciones o preferencias) en ataques personalizados a gran escala. Este contexto incrementa la exposición cuando en una misma filtración coinciden credenciales y datos personales que no se pueden cambiar, como los números oficiales de identificación.
El informe considera brecha de datos cualquier exposición de información confidencial a terceros no autorizados. A efectos de recuento, cada dirección de correo filtrada usada para registrarse en servicios en línea se contabiliza como una cuenta, que puede aparecer acompañada de información adicional como contraseña, número de teléfono, dirección IP o código postal. La muestra procede de 29.000 bases de datos de acceso público agregadas por dirección de correo, posteriormente anonimizadas para el análisis estadístico. Los países con menos de un millón de habitantes no se incluyen en la comparación.
