Los ciberataques ya no son una amenaza puntual, sino un problema estructural que crece año tras año en España. Así lo reflejan los últimos datos del Instituto Nacional de Ciberseguridad (INCIBE), que a través de su equipo de respuesta a incidentes, INCIBE-CERT, gestionó en 2025 un total de 122.223 incidentes de ciberseguridad, lo que supone un 26% más que en 2024. El incremento confirma una tendencia clara: el volumen y la complejidad de los ataques digitales siguen en ascenso.
El organismo, dependiente del Ministerio para la Transformación Digital y de la Función Pública, y coordinado por la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales (SETID), se ha convertido en un actor clave para la protección de ciudadanos, empresas y sectores estratégicos frente a un cibercrimen cada vez más profesionalizado.
Más detección preventiva frente a amenazas masivas
Uno de los datos más significativos del balance anual es el refuerzo del enfoque proactivo del CERT nacional. Durante 2025, INCIBE-CERT detectó y notificó 237.028 sistemas vulnerables relevantes, que podían ser explotados por ciberdelincuentes para acceder a redes, desplegar malware o provocar incidentes de mayor impacto.
Este trabajo preventivo resulta esencial en un contexto en el que los atacantes utilizan herramientas automatizadas para rastrear Internet en busca de servidores sin actualizar, servicios mal configurados o dispositivos expuestos. La rapidez con la que se identifican y comunican estas vulnerabilidades puede marcar la diferencia entre un fallo corregido a tiempo y un incidente grave.
Infraestructuras críticas, en el punto de mira
El aumento de los incidentes preocupa especialmente en el ámbito de los operadores esenciales e importantes, regulados por la directiva europea NIS2 y fundamentales para el funcionamiento de la sociedad. En este entorno, INCIBE gestionó 401 incidentes a lo largo del año.
El sector bancario concentra el mayor porcentaje de ataques, con un 34%, seguido por el transporte (14%) y la energía (8%). También destacan las infraestructuras de los mercados financieros (7%) y las aseguradoras y fondos de pensiones (6%). Estos sectores no solo manejan información sensible, sino que cualquier interrupción de sus servicios puede tener consecuencias económicas y sociales inmediatas.
Malware y ransomware siguen marcando la agenda
En cuanto a las amenazas más habituales, el malware continúa liderando las estadísticas. En 2025 se registraron 55.411 incidentes relacionados con software malicioso, desde virus hasta troyanos y otras variantes diseñadas para tomar el control de dispositivos o robar información.
Dentro de este grupo, el ransomware mantiene su protagonismo como una de las amenazas más temidas. INCIBE contabilizó 392 ataques de este tipo, en los que los delincuentes cifran sistemas o archivos y exigen un rescate económico para su recuperación. Aunque la cifra pueda parecer menor frente al total de incidentes, el impacto de estos ataques suele ser mucho mayor, especialmente en empresas y administraciones.
Otro dato especialmente revelador es el peso de las botnets asociadas a dispositivos conectados. Según INCIBE-CERT, el 85% de los sistemas infectados controlados de forma remota están relacionados con dispositivos IoT, como televisores inteligentes, decodificadores o reproductores multimedia. La falta de actualizaciones y de medidas de seguridad en este tipo de equipos los convierte en objetivos fáciles para los atacantes.
El fraude online crece y el phishing sigue siendo la principal amenaza
El fraude online representa ya una parte muy relevante de los incidentes gestionados por INCIBE. En 2025 se registraron 45.445 casos, lo que equivale a cuatro de cada diez incidentes y supone un aumento del 19% respecto al año anterior.
El phishing encabeza este apartado con 25.133 casos, consolidándose como la técnica más utilizada para engañar a usuarios y robar datos personales o bancarios. Correos electrónicos, mensajes SMS o comunicaciones que simulan ser de bancos, empresas de mensajería o instituciones públicas siguen siendo el método preferido por los ciberdelincuentes.
En este contexto, la colaboración institucional ha sido clave. INCIBE, junto a Red.es, ha trabajado en el cierre de 4.600 dominios web .es potencialmente fraudulentos, todos ellos identificados y reportados por el propio instituto.
Además, los incidentes que derivaron en robo de información alcanzaron los 3.849 casos, incluyendo accesos no autorizados o sustracción de datos confidenciales, con implicaciones directas en privacidad y protección de datos.
