Lo que 2025 dejó claro sobre ciberseguridad

La ciberseguridad condiciona la continuidad de servicios y operaciones. El Informe de Ciberseguridad 2025 de Excelia dibuja un escenario en el que ransomware, robo de credenciales e ingeniería social asistida por IA ganan peso, mientras la regulación refuerza la obligación de notificar incidentes y empuja a planes de resiliencia más exigentes.

El punto de partida del informe de Excelia es claro: los incidentes ya no se interpretan como fallos técnicos aislados. Su impacto se mide en interrupciones de servicio, exposición de datos, costes de recuperación y presión sobre el cumplimiento normativo. A esto se suma una realidad operativa: la interconexión digital y la externalización amplían el riesgo. La cadena de suministro se convierte así en una puerta de entrada frecuente para ataques con alcance superior.

Dentro de ese marco, el ransomware mantiene un papel central, pero con una evolución que cambia el tipo de daño. El informe sitúa en torno al 35% el peso del ransomware de extorsión de datos entre los incidentes graves. El chantaje se apoya en la amenaza de publicación de información sensible, no solo en el cifrado. Con ello se busca aumentar la presión y sortear defensas específicas, elevando el riesgo de reputación y de respuesta pública.

El engaño se industrializa

El salto más visible aparece en la ingeniería social. Los ataques de phishing y smishing crecen un 1.265% interanual, asociados al uso de modelos de lenguaje capaces de producir mensajes más ajustados a cada víctima. La mejora formal y la personalización reducen señales de alarma y aumentan la tasa de éxito. En paralelo, el informe apunta a una expansión del robo de accesos: las credenciales robadas mediante infostealers suben un 131%, alimentadas por mercados de access-as-a-service que facilitan la venta de cuentas comprometidas. El resultado es que identidad y accesos se consolidan como objetivo prioritario.

La dimensión normativa también marca el periodo. En Europa, la aplicación de la directiva NIS2 incrementa la visibilidad de los incidentes y endurece los requisitos de reporte. El informe refleja un aumento del 43,2% en los incidentes notificados frente a 2024, explicado en gran parte por la obligatoriedad de notificación. El foco, además, se concentra en infraestructuras críticas, con presión sobre energía y telecomunicaciones.

España bajo presión: más consultas y golpes a las administraciones

En España, el documento destaca indicadores y casos. En primer lugar, sitúa al país en el 7.º puesto de Europa entre los más afectados durante el periodo julio de 2024–junio de 2025, según el Microsoft Digital Defense Report citado. En segundo lugar, incorpora un dato de actividad institucional: el servicio de consultas de INCIBE supera las 114.863 consultas atendidas en 2025, cifra que el informe interpreta como reflejo del volumen de incidentes y de la preocupación social.

En el apartado de incidentes, se recoge un episodio de enero de 2025 en el sector público español. Una brecha en un proveedor externo de servicios TI derivó en la exposición de información sensible vinculada a la Guardia Civil y las Fuerzas Armadas. El informe subraya que los sistemas nucleares no fueron comprometidos de forma directa, pero utiliza el caso para señalar fallos en controles a terceros y en la supervisión y auditoría de proveedores críticos.

La escala municipal aparece como zona de mayor fricción. En abril, el Ayuntamiento de Badajoz sufrió un ransomware atribuido a LockBit que paralizó servicios digitales durante varios días. En agosto, el Ayuntamiento de Elche registró un ataque que dejó inoperativos sus sistemas, con suspensión de plazos y traslado de procedimientos a la atención presencial. El informe cita además otros municipios con episodios similares Melilla, Níjar, La Rinconada o La Vila Joiosa, y apunta a un patrón marcado por recursos limitados y dependencia de proveedores.

Casos fuera de España que anticipan el impacto en cadena

Fuera de España, el informe encadena ejemplos que refuerzan la tesis de impacto sistémico. En Portugal, un ransomware afectó a la Agência para a Modernização Administrativa, con interrupciones en servicios de autenticación digital como Autenticação.Gov y Gov.ID. En el sector financiero y de grandes servicios se recogen incidentes asociados a terceros. También destaca un caso en Brasil que afectó a un proveedor con acceso a PIX, con transacciones fraudulentas y desconexión temporal por parte del Banco Central.

La inteligencia artificial atraviesa el diagnóstico como factor de doble uso. En el plano ofensivo, se mencionan herramientas como WormGPT para generar código malicioso, así como el aumento del vishing automatizado y de los deepfakes en fraudes corporativos. En defensa, el informe recoge prácticas como el triaje automático de alertas y el análisis de comportamiento tipo UEBA para detectar anomalías y anticipar intrusiones.

La inversión TIC pública gira hacia continuidad y gestión del riesgo

Este marco encaja con lo que reflejan los datos de contratación pública: la prioridad no es solo incorporar tecnología, sino garantizar operación y resiliencia. En los datos de TendersTool de 2025, el mayor volumen se concentra en partidas que sostienen la actividad diaria, como outsourcing IT y mantenimiento, por delante de compras puntuales. Ese reparto es coherente con un escenario en el que ransomware y robo de credenciales afectan a la continuidad del servicio y obligan a reforzar respuesta, supervisión y recuperación.

La conexión se vuelve más directa en el sector público, donde el informe insiste en la exposición a proveedores y servicios subcontratados y en el efecto de los incidentes sobre trámites y atención al ciudadano. Ese riesgo empuja inversiones en gobierno del riesgo, control de terceros y capacidad de recuperación, más aún con marcos como NIS2elevando las exigencias de notificación y gestión. El cambio de criterio es el dato de fondo: el gasto TIC empieza a leerse como seguro operativo frente a interrupciones y fuga de datos, no como ampliación de catálogo.