Desde hace ya años las grandes potencias han estado desarrollando sus ejércitos digitales. Muy conocido es el ejemplo de la Unidad 8200 que pudimos conocer a fondo hace unos años, pero cada país y potencia cuenta con la suya. En España podríamos fijarnos en los trabajos que hacen el CNI con su división CCN y la unidad de respuesta rápida (CCN-CERT) y en el Ejército hay que poner los ojos en el Mando Conjunto del Ciberespacio (MCCE).
En general, divisiones del Ejercito cada vez más importante y de mayor tamaño que se encargan de actuar en el ámbito digital, protegiendo a empresas, ciudadanos y, sobre todo, a la Administración Pública.
En plena tensión geopolítica, estas últimas semanas hemos asistido a un espectáculo de reuniones, conferencias y comunicados cruzados sobre la importancia del “rearme” europeo con el foco puesto en mejorar la defensa, especialmente, frente a Rusia a nivel terrestre en la zona este del Viejo Continente. Sin embargo, y para sorpresa de muchos, durante estos encuentro el presidente del Gobierno, Pedro Sánchez, ha defendido que se contabilice como inversión en Defensa partidas relacionadas con la ciberseguridad.
Los delitos cibernéticos en España
Si nos fijamos en los datos oficiales compartidos por el Ministerio del Interior, durante el pasado año 2024 se registraron menos ciberataques que en 2023. En concreto se reportaron 465.838 infracciones penales, lo que supone un 1,4% menos; mientras tanto las estafas informáticas cayeron un 3,1%, situándose en los 414.133 delitos. En el lado negativo de la tabla está la subida de otro tipo de ciberdelitos que se ha disparado más de 15%, hasta los 51.705.
En este sentido, las cifras contrastan con el clamor generalizado de que los ciberataques se han disparado, lo que establece dos opciones: por un lado, que intentos de atacar de manera digital se frustran con más éxito y por tanto no llegan a buen puerto; o que se denuncian menos ciberataques, algo que para las empresas supondría un incumplimiento de las normativas europeas, que obligan a informar de las intrusiones cibernéticas.
España fue el país más atacado entre el 5 y el 11 de marzo, registrando el 22,6% con más de 107 ciberataques
Más allá de estos datos, la situación es extremadamente cambiante, especialmente por las novedades a nivel geopolítico, aceleradas tras la llegada de Donald Trump a la Casa Blanca. Según los registros del portal Hackmanac, España fue el país más atacado entre el 5 y el 11 de marzo, registrando el 22,6% con más de 107 ciberataques, especialmente contra entidades públicas entre las que se encuentran la Administración Central, los Ministerios de Interior, Justicia, Ciencia, Industria, Política Territorial, Exteriores, Igualdad, Cultura, más de 40 ayuntamientos y una decena de instituciones públicas como la Cámara de Comercio de Madrid, el INE, el 112.es, Instituto Cervantes, DGT y Metro de Madrid, entre otras, así como compañías como Yoigo, GOL, Navantia, ACS, Seur y Generali, entre otras. 
Así lo confirma Javier González, director técnico de Virtual Cable en una entrevista con Zonamovilidad, quien señala que “hemos observado un claro incremento en la actividad maliciosa dirigida tanto a empresas privadas como a instituciones públicas en España. Desde Virtual Cable, a través de nuestro contacto con clientes y partners, detectamos una mayor preocupación por la seguridad en infraestructuras críticas y sistemas de trabajo remoto, que son objetivos recurrentes de los ciberdelincuentes”.
“Hemos observado un incremento en la actividad ciberataques a nivel global y en el contexto español, se percibe una mayor actividad"
En esta misma línea se ha referido en declaraciones a Zonamovilidad.es el director de Sales Engineering para el Sur de Europa de WatchGuard, Guillermo Fernández, quien advierte que “hemos observado un incremento en la actividad ciberataques a nivel global y en el contexto español, se percibe una mayor actividad, que en parte parece estar vinculada a grupos hacktivistas con motivaciones geopolíticas, probablemente apoyados por estados”.
A pesar de ello, Josep Albors, director de investigación y concienciación de ESET España, explica en una conversación con Zonamovilidad.es, que “debemos matizar que muchos de los ataques registrados son denegaciones de servicios (DDoS) que provienen de grupos pro-rusos con poco o nulo impacto en las webs y servicios afectados”. En este sentido, apunta que estos “ataques de baja intensidad” se han juntado en un corto espacio de tiempo con otros incidentes que han terminado impactando y “revelando información confidencial de todo tipo de empresas y organismos públicos”.
¿Política o economía?
Dada el contexto geopolítico puede ser fácil pensar que la reciente subida que hemos visto en los primeros meses del año de 2025 puede estar ligados a la posición a favor de Ucrania que ha mostrado el Gobierno de España, especialmente por las declaraciones del presidente Sánchez, quien ha ligado los movimientos políticos para ampliar la inversión en Defensa a la ciberseguridad del país: “tenemos amenazas que tienen que ver con ataques cibernéticos, por tanto, ataques híbridos y, por tanto, la necesidad de mejorar nuestras capacidades de ciberseguridad”.
En esta misma declaración ante la prensa, realizada tras la reunión extraordinaria del Consejo Europeo del pasado 6 de marzo, Sánchez defiende la necesidad de tener una “aproximación amplia al concepto de seguridad” porque “hoy precisamente hemos recibido o hemos sufrido un ataque a la ciberseguridad en España proveniente, por lo que he visto en los medios de comunicación, de un tercer país, creo que de Rusia. Bueno, pues evidentemente tendremos que reforzar nuestras capacidades de ciberseguridad frente a los ataques híbridos”.
Asimismo, en su informe anual, Acronis advierte que “España está bajo ataque”, aunque matiza que “igual que la mayoría de naciones más desarrolladas”, pero advierte que “el problema es que estamos viendo que se siguen cometiendo los mismos errores”. En este mismo informe, que recoge datos del pasado 2024, señala la geopolítica como uno de los factores claves del aumento de ciberataques a nivel global.
“La geopolítica está entrando en juego para focalizar los ataques, no solo en España sino también golpeando a grandes empresas multinacionales”, ha señalado recientemente Denis Cassinerio, director general de Acronis para el sur de EMEA, en un encuentro con la prensa.
“La inestabilidad geopolítica, con conflictos internacionales y cambios en la política global, han convertido a los ataques cibernéticos en una herramienta estratégica para espionaje, sabotaje y desinformación"
Igualmente se refiere González: “la inestabilidad geopolítica, con conflictos internacionales y cambios en la política global, han convertido a los ataques cibernéticos en una herramienta estratégica para espionaje, sabotaje y desinformación. Esto, unido al desarrollo de la IA, el aumento de los dispositivos conectados y las tecnologías en la nube han multiplicado las vulnerabilidades de las organizaciones”.
En este mismo contexto, desde el equipo CyberProof de UST explican a Zonamovilidad.es que “los ciberataques reflejan la inestabilidad geopolítica que estamos viviendo, y lamentablemente España no es una excepción. Desde la invasión de Ucrania, el ciberespacio se ha convertido en un escenario de confrontación donde conviven aspectos como el espionaje, desinformación y ataques constantes contra infraestructuras críticas”.
Durante estos meses “hemos visto un incremento en la actividad de grupos vinculados a intereses geográficos”, con ataques que buscan obtener información estratégica o “simplemente” probar la resiliencia de “nuestras defensas estatales”.
La llegada de Trump “podría cambiar algunas dinámicas globales, pero lo que es seguro es que los ciberataques no van a disminuir”
El equipo de CyberProof de UST se refieren también a la llegada de una nueva administración en EE.UU., apuntando a que esto “podrían cambiar algunas dinámicas globales, pero lo que es seguro es que los ciberataques no van a disminuir”. Esto refuerza la necesidad de mantener una vigilancia constante de las ciberamenazas y entender cómo evolucionan en tiempo real”.
Pese a ello, apuntan desde el gigante estadounidense que “no se trata de un repunte puntual o supeditado a un contexto específico, sino de un patrón sostenido en el tiempo. Hemos observado un aumento significativo en intentos de intrusión, especialmente dirigidos hacia administraciones públicas y empresas de diferentes sectores estratégicos”. Sin embargo, aseguran que “lo realmente preocupante no se centra solo en la cantidad, sino en la rapidez con la que los ciberatacantes prueban nuevas tácticas y explotan vulnerabilidades en cuanto se hacen públicas”.
Así, los Estados más activos actualmente en el escenario de la ciberguerra son Rusia, China, Corea del Norte e Irán, pero Eusebio Nieva, director técnico de Check Point para España y Portugal, asegura en una entrevista con Zonamovilidad.es que “los atacantes suelen ser grupos bien organizados. La idea romántica del lobo solitario es una cosa rara de encontrar. Ahora son grupos bien financiados, pero aunque es raro que tengan financiación pública sí hay muchos que tienen afinidad política”.
"La mayoría de esta instrucciones “tienen una finalidad económica por lo que los datos registrados durante las últimas semanas son más fruto de la casualidad que de un plan organizado contra nuestro país”
A pesar de todo ello, varios expertos contrastan con esta visión apuntando que pese a la subida en el número de ciberataques, la mayoría de esta instrucciones “tienen una finalidad económica por lo que los datos registrados durante las últimas semanas son más fruto de la casualidad que de un plan organizado contra nuestro país”, señala Albors.
El mismo mensaje nos lo repite Nieva en su entrevista, asegurando que “hay que fijarse en el tipo de ciberataque” y mirar si “es una tendencia circunstancial o es algo que se mantiene en el tiempo. Puntualmente puede haber una subida, pero no lo juzgaría como una tendencia. Es una señal de que somos uno de los países que están en el punto de mira porque España es uno de los países más desarrollados”.
Los principales tipos de ataques: DDoS, ransomware, robo de información…
En esta línea hay que poner el foco en qué tipo de ataques se están recibiendo para definir si la finalidad es política o estamos simplemente a una conjunción de movimientos políticos en el ámbito digital con la tendencia alcista con finalidad económica.
"No solo han aumentado en número, sino que han evolucionado en complejidad"
“Actualmente, los ataques más predominantes son el ransomware, el phishing y los ataques de denegación de servicio distribuido (DDoS). Sin embargo, no solo han aumentado en número, sino que han evolucionado en complejidad”, apunta el director técnico de Virtual Cable.
Lo confirman desde WatchGuard. Fernández destaca que en el panorama actual de ciberamenazas “estamos observando un predominio de ataques de denegación de servicio (DDoS), ataques a sitios web y alteración de contenidos (defacement). Estos ataques -continúa el director de Sales Engineering para el sur de EMEA de WatchGuard-, aunque no requieren un alto nivel de sofisticación técnica, tienen un impacto significativo a corto plazo, ya que pueden interrumpir servicios esenciales, dañar la reputación de instituciones y ser utilizados como herramientas de desinformación o propaganda”.
¿Y qué hay detrás de estos ciberataques? Fernández apunta a que “el aumento de este tipo de ataques responde, en gran medida, a motivaciones geopolíticas y hacktivismo, con grupos organizados o actores individuales tratando de influir en la opinión pública y generar inestabilidad. En muchos casos, estos ataques están dirigidos a organismos gubernamentales, medios de comunicación y empresas estratégicas”.
Que se produzcan este tipo de ataques es “lo normal y no se sale de lo previsible"
En este sentido, el director técnico de ESET para España y Portugal defiende que el hecho de que se produzcan este tipo de ataques es “lo normal y no se sale de lo previsible, si nos atenemos a los patrones observados durante los últimos años”. “Tan solo aquellos ataques que se atribuyen grupos con intenciones geopolíticas entrarían dentro de los que podemos atribuir como consecuencia de la situación mundial actual”, explica Albors.
Con todo ello, España se encuentra en un punto clave dentro del tablero de la ciberseguridad global. Con la grave situación del número de ciberataques registrados, el debate sobre su finalidad —política o económica— sigue abierto, condicionado tanto por el panorama geopolítico como por las estrategias de los atacantes. Mientras que los incidentes vinculados a grupos con afinidad política han puesto el foco en la defensa digital y las infraestructuras críticas como un pilar de la seguridad nacional, la mayoría de los ataques continúan respondiendo a intereses económicos, utilizando ransomware, phishing y ataques DDoS como principales herramientas.
En paralelo, la respuesta institucional refuerza la idea de que la ciberseguridad empieza a convertirse en un elemento estratégico en el marco de la defensa, con España apostando por ampliar sus capacidades en este ámbito. Las inversiones, las normativas y la evolución de los organismos especializados definirán los próximos pasos en un escenario donde la frontera entre el cibercrimen y la ciberguerra se vuelve cada vez más difusa.
Si (
No(
