La ciberseguridad en España atraviesa un momento importante en cuanto a brechas de datos. Así lo reflejan los datos del Informe de Actividad del Primer Semestre de 2025 de la Agencia Española de Protección de Datos (AEPD), que confirman que ninguna organización, pública o privada, puede bajar la guardia. Entre diciembre de 2024 y mayo de 2025 se registraron 1.211 notificaciones de brechas de datos personales, con un alcance que supera los 54 millones de personas potencialmente afectadas.

Es un dato que sacude cualquier previsión optimista: en apenas seis meses, se produjeron de media más de seis incidentes al día. Desde ataques de ransomware hasta errores humanos, el origen de estas brechas es variado, pero la conclusión es la misma: la exposición al riesgo es constante.

El impacto de estas brechas no es solo técnico. En cinco casos, la AEPD obligó a las organizaciones responsables a comunicar el incidente a los ciudadanos cuyos datos se vieron comprometidos. Para cualquier empresa, este paso supone reconocer públicamente el fallo y afrontar las consecuencias reputacionales.

Inteligencia artificial y biometría: las nuevas fronteras del riesgo

El informe destaca otro fenómeno creciente: el auge de la inteligencia artificial en entornos públicos y privados. Cada vez más entidades preguntan a la AEPD si pueden usar sistemas de IA para entrenar modelos predictivos, gestionar recursos humanos o incluso supervisar el rendimiento de los empleados.

En paralelo, se disparan las dudas sobre biometría. El reconocimiento facial, la huella dactilar y los sistemas de identificación por voz se han convertido en focos permanentes de controversia y de riesgo legal. Muchas de las 45.000 consultas recibidas por la AEPD en este periodo se refieren precisamente al uso de estos sistemas en entornos laborales o educativos.

La preocupación se refleja también en los datos de tráfico digital: la página web de la AEPD acumuló 160.000 visitas solo en el apartado del Reglamento General de Protección de Datos, y más de 42.000 en la sección sobre videovigilancia.

El cibercrimen, siempre al acecho

Aunque no todos los incidentes son resultado de ataques externos, el ransomware sigue siendo el enemigo más temido. Durante el semestre, la Agencia realizó tests de intrusión interna simulando un ataque de este tipo, con el objetivo de identificar vulnerabilidades antes de que los delincuentes las exploten.

Además, se completó una auditoría interna de cumplimiento del Esquema Nacional de Seguridad (ENS) y se puso en marcha un plan de acción para reforzar la protección de los sistemas críticos. Entre las medidas más relevantes destacan:

  • Despliegue de un sistema SIEM que centraliza alertas en tiempo real.

  • Refuerzo del acceso remoto seguro con el servicio PRO.4.

  • Pentesting de las nuevas versiones de los portales web.

La migración de servidores a la nube estatal (NubeSARA) también se completó en estos meses, una maniobra clave para reforzar la resiliencia tecnológica.

Transferencias internacionales y más controles

El informe refleja el carácter global de los retos. Entre diciembre y mayo se autorizaron 6 nuevas transferencias internacionales de datos y se tramitaron 22 procedimientos relacionados con Normas Corporativas Vinculantes (BCR). Este punto es crucial: cada vez más empresas operan en entornos multinacionales que exigen controles exhaustivos.

Por otra parte, la AEPD avanza en la tramitación de códigos de conducta sectoriales. En octubre de 2024 se aprobó uno específico para las grandes telecos españolas, un documento que regula cómo tratar los datos en conflictos de protección de datos en el sector de las telecomunicaciones.

Para responder a esta presión, la Agencia ha reforzado la formación en ciberseguridad. En el primer semestre del año se lanzaron dos ediciones del curso de concienciación y varias sesiones sobre protección de datos e inteligencia artificial. Aun así, la tasa de incidentes demuestra que la cultura de la ciberseguridad sigue siendo una asignatura pendiente.

La Agencia también prepara la creación de un laboratorio de inteligencia artificial, un paso estratégico para supervisar el impacto real de estos sistemas en los derechos de los ciudadanos.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre