- INCIBE tramitó 122.223 incidentes de ciberseguridad, un 26% más que el año anterior
- El CERT de INCIBE identificó 237.028 sistemas vulnerables y 401 casos en operadores esenciales
- El fraude online y el phishing suponen cuatro de cada diez incidentes de seguridad
- La línea 017 atendió 142.767 consultas, con un fuerte aumento de dudas y casos reales
El organismo, dependiente del Ministerio para la Transformación Digital y de la Función Pública, refuerza así su papel como referencia estatal en materia de seguridad en la red, tanto para empresas y operadores esenciales como para la ciudadanía. Los datos evidencian que los ciberdelincuentes se apoyan especialmente en el fraude online, el phishing y el malware, mientras que la línea de ayuda 017 se consolida como la puerta de entrada para pedir apoyo y aclarar dudas.
Más de 122.000 incidentes de ciberseguridad gestionados por INCIBE
A lo largo de 2025, INCIBE, a través de su CERT de referencia nacional, gestionó un total de 122.223 incidentes de ciberseguridad, lo que supone un incremento del 26% respecto a 2024. Esta subida confirma una tendencia al alza en la actividad maliciosa en el entorno digital español, que afecta por igual a usuarios particulares, empresas y organizaciones de sectores estratégicos.
El INCIBE-CERT actúa como equipo de respuesta ante incidentes para la ciudadanía, el tejido empresarial, los proveedores de servicios digitales, las entidades de RedIRIS y los operadores esenciales e importantes del sector privado. Su labor no se limita a reaccionar ante ataques ya consumados: también realiza una tarea preventiva de vigilancia y notificación de vulnerabilidades que puedan poner en riesgo infraestructuras y servicios.
En este contexto, el CERT de INCIBE detectó y notificó 237.028 sistemas vulnerables relevantes, es decir, equipos o servicios con fallos de seguridad que podrían ser aprovechados por grupos criminales para acceder de forma ilícita a redes, comprometer información o provocar interrupciones en la actividad. Esta cifra refleja la magnitud del trabajo silencioso de monitorización que se realiza a diario desde el centro.
La entidad con sede en León insiste en que buena parte de estos problemas se pueden mitigar con medidas básicas de protección, como el uso de software actualizado, contraseñas robustas y autenticación multifactor, así como con una mayor cultura de ciberseguridad dentro de las organizaciones y entre los propios usuarios.
Impacto en operadores esenciales y sectores más afectados
Una parte especialmente sensible de la actividad de INCIBE se centra en los operadores esenciales e importantes alineados con la directiva europea NIS2, considerados críticos para el funcionamiento normal de la sociedad y la economía. En este ámbito, durante 2025 el instituto atendió 401 incidentes que afectaron a compañías y entidades clave.
Los datos muestran que la banca concentró el 34% de estos casos, situándose como el sector con mayor número de incidentes reportados. Le sigue el transporte, con el 14%, un ámbito donde cualquier interrupción puede tener un efecto directo en la movilidad y en las cadenas de suministro. A continuación aparecen el sector energético, con el 8%, las infraestructuras de los mercados financieros, con el 7%, y las aseguradoras y fondos de pensiones, con el 6%.
Estos porcentajes ponen de manifiesto que la ciberseguridad se ha convertido en una pieza estratégica para garantizar la continuidad de servicios básicos como los pagos, el transporte de mercancías, el suministro eléctrico o la gestión de inversiones y ahorros. Cualquier brecha en estos ámbitos tiene un alcance que trasciende a la propia organización afectada y puede provocar un efecto dominó en otros sectores.
INCIBE trabaja en coordinación con otras administraciones y con los propios operadores para mejorar la capacidad de detección temprana, la respuesta coordinada y la resiliencia de estas infraestructuras. El objetivo es reducir el tiempo de reacción ante un incidente y minimizar tanto los daños técnicos como el impacto económico y reputacional.
Malware, ransomware y botnets: las amenazas técnicas más habituales
Entre los sucesos registrados el año pasado, el malware se mantiene como uno de los principales protagonistas. En 2025 se contabilizaron 55.411 incidentes vinculados a programas maliciosos, categoría en la que se engloban virus, troyanos y otros tipos de software diseñado para comprometer o dañar dispositivos y sistemas sin el consentimiento del usuario.
Dentro de este grupo, llaman la atención los 392 ataques de ransomware detectados. En estos casos, los atacantes cifran o bloquean información y sistemas completos y exigen el pago de un rescate, generalmente en criptomonedas, a cambio de recuperar el acceso. Este tipo de ataque puede paralizar durante días la actividad de una empresa, una administración o incluso un pequeño negocio si no cuenta con copias de seguridad adecuadas y protocolos de respuesta claros.
Otra de las realidades que más preocupa es la proliferación de los equipos integrados en redes botnet, es decir, sistemas infectados que los ciberdelincuentes controlan de forma remota para lanzar ataques coordinados, enviar spam o realizar fraudes a gran escala. Según los datos del INCIBE-CERT, el 85% de estos dispositivos comprometidos están relacionados con el Internet de las Cosas (IoT), como televisores inteligentes, decodificadores o reproductores multimedia conectados.
La presencia masiva de dispositivos IoT con configuraciones por defecto, sin actualizaciones de seguridad y con contraseñas débiles facilita que se conviertan en la puerta de entrada para ataques más grandes o se usen como «peones» en campañas automatizadas. Este fenómeno subraya la importancia de tratar también estos aparatos como equipos informáticos que requieren una mínima protección y configuración segura.
Fraude online y phishing: cuatro de cada diez incidentes
Más allá de los aspectos puramente técnicos, el fraude online se consolida como el gran quebradero de cabeza para usuarios y empresas. En 2025, este tipo de incidentes representó cuatro de cada diez casos de ciberseguridad gestionados por INCIBE, con un total de 45.445 sucesos relacionados con engaños y estafas en la red.
Dentro de este apartado, el phishing se mantiene a la cabeza con 25.133 incidentes. Se trata de correos electrónicos o mensajes que suplantan la identidad de bancos, comercios electrónicos, empresas de mensajería o servicios muy conocidos para conseguir datos personales, credenciales de acceso o información bancaria. Aunque las técnicas van evolucionando, la base sigue siendo la misma: aprovechar la confianza del usuario para que haga clic en un enlace malicioso o facilite información confidencial.
El auge de estas estafas ha ido acompañado de un incremento en el uso de llamadas fraudulentas (vishing) y mensajes SMS o de mensajería instantánea (smishing), que replican la estética y el tono de comunicaciones legítimas. Muchas víctimas solo descubren el engaño una vez han realizado un pago, instalado un software malicioso o entregado sus datos de acceso a cuentas sensibles.
Como parte de la respuesta a este problema, INCIBE ha colaborado con Red.es para cerrar 4.600 dominios .es potencialmente fraudulentos, todos ellos identificados y reportados por el propio instituto. Esta labor de limpieza del espacio digital nacional pretende dificultar la operativa de los estafadores y reducir el número de víctimas, aunque desde el organismo recuerdan que la prevención y la desconfianza razonable siguen siendo esenciales.
En paralelo, durante 2025 se registraron 3.849 incidentes con robo de información, vinculados a accesos o sustracciones no autorizadas de datos digitales y confidenciales. Estos casos afectan tanto a particulares como a empresas y pueden derivar en filtraciones de datos personales, exposición de información corporativa sensible o chantajes basados en la amenaza de publicar contenidos sustraídos.
La línea 017: más de 142.000 consultas y fuerte subida de actividad
La otra gran pata de la actividad de INCIBE es la atención directa a la ciudadanía y a las organizaciones a través del servicio «Tu Ayuda en Ciberseguridad». En 2025, la línea 017 y sus canales asociados atendieron un total de 142.767 consultas, lo que supone un aumento del 44,9% respecto al año anterior. El incremento refleja tanto el mayor número de incidentes como una creciente conciencia social sobre la necesidad de pedir asesoramiento especializado.
Este servicio es gratuito, confidencial y accesible por varias vías: teléfono 017, WhatsApp, Telegram, formulario web y atención presencial. La diversidad de canales facilita que cualquier persona pueda contactar de la forma que le resulte más cómoda, ya sea para resolver una duda rápida o para recibir acompañamiento tras haber sufrido un ataque.
En torno al 49% de las consultas tuvieron un carácter preventivo, es decir, se realizaron antes de que se produjera un incidente grave, para aclarar sospechas, verificar la legitimidad de correos o mensajes, o pedir consejos de protección. El 51% restante fue de naturaleza reactiva, en las que las personas ya habían sido víctimas de un fraude, una intrusión o algún tipo de abuso digital y buscaban ayuda para contener el daño y saber cómo proceder.
Entre los motivos más frecuentes de contacto destacan las consultas relacionadas con phishing, vishing y smishing, que representan el 28% del total. Muchas personas llaman tras recibir mensajes dudosos que simulan ser de su banco, de un servicio público o de una tienda online, o después de haber facilitado datos por error. El 16% de las consultas se vincula con compras fraudulentas en Internet, ya sea por recibir productos que no se corresponden con lo anunciado, no recibir nada tras el pago o descubrir que la tienda era ficticia.
Además, un 14% de los contactos al 017 tiene que ver con la suplantación de identidad digital, un problema cada vez más habitual en redes sociales, servicios de mensajería y plataformas en línea. Desde perfiles falsos que se hacen pasar por la víctima hasta el uso indebido de datos personales, estos casos requieren una combinación de apoyo técnico y asesoramiento legal para minimizar las consecuencias.
Menores, ciberacoso y contenidos ilícitos en la red
Una parte relevante de la actividad de INCIBE se orienta también a la protección de menores de edad en el entorno digital. Según los datos de 2025, alrededor del 5% de las consultas realizadas por menores o sus entornos cercanos se refirieron a situaciones de ciberacoso, que incluyen insultos reiterados, difusión de rumores, humillaciones públicas o presiones a través de redes sociales y aplicaciones de mensajería.
La línea de ayuda ofrece en estos casos orientación específica tanto a los propios menores como a sus familias y centros educativos, para abordar el problema desde varias perspectivas: apoyo emocional, recomendaciones técnicas sobre configuración de privacidad y bloqueo, y pautas para documentar los hechos y, si es necesario, elevarlos a las autoridades competentes.
INCIBE también gestiona una hotline para reportar contenidos ilícitos o inadecuados relacionados con abuso sexual infantil. En 2025 se registraron 3.302 reportes de este tipo de materiales, que son analizados y, en coordinación con otros organismos y fuerzas de seguridad, se procede a su retirada y a la investigación de los responsables cuando procede.
Este trabajo se enmarca en los esfuerzos nacionales y europeos por reforzar la seguridad de los menores en Internet y combatir la difusión de contenidos que vulneran gravemente sus derechos. La colaboración entre plataformas, entidades públicas y organizaciones especializadas resulta clave para actuar con rapidez y eficacia.
Con todo este balance sobre la mesa, los datos de 2025 reflejan un entorno digital cada vez más expuesto a amenazas, pero también una respuesta institucional y social más madura: INCIBE incrementa la detección de vulnerabilidades, las empresas y operadores esenciales refuerzan su preparación y la ciudadanía recurre con mayor frecuencia a la línea 017 para prevenir y gestionar incidentes. La combinación de tecnología, coordinación y cultura de ciberseguridad se perfila, una vez más, como la mejor defensa frente a un escenario de riesgos que no deja de evolucionar.
