- INCIBE gestionó 122.223 incidentes de ciberseguridad y detectó más de 237.000 sistemas vulnerables.
- La banca, el transporte y la energía concentraron la mayoría de incidentes en operadores esenciales.
- El malware y el fraude online, con el phishing a la cabeza, fueron los incidentes más habituales.
- La Línea 017 atendió más de 142.000 consultas, casi un 45% más que el año anterior.
El Instituto Nacional de Ciberseguridad ha vuelto a situarse en el centro de la escena digital tras un ejercicio especialmente intenso. Durante el último año gestionó más de 122.000 incidentes de ciberseguridad y atendió un fuerte incremento de consultas a través de su línea de ayuda, lo que confirma que los ataques informáticos siguen al alza y que la ciudadanía y las organizaciones son cada vez más conscientes del problema.
Lejos de ser un fenómeno aislado, este aumento refleja una mayor presión de los ciberdelincuentes sobre empresas, servicios esenciales y usuarios particulares en España. La actividad del CERT de INCIBE, junto con el papel del teléfono 017, ofrece una radiografía clara: más ciberataques, amenazas más sofisticadas y un volumen creciente de personas que buscan apoyo especializado cuando se topan con un problema en la red.
Más de 122.000 incidentes de ciberseguridad gestionados
Según los datos hechos públicos por el organismo dependiente del Ministerio para la Transformación Digital y de la Función Pública, INCIBE, a través de su equipo de respuesta a incidentes INCIBE-CERT, gestionó en el último ejercicio un total de 122.223 incidentes de ciberseguridad. Esta cifra supone un incremento del 26% respecto al año anterior, lo que evidencia que la actividad maliciosa en el ciberespacio continúa creciendo a buen ritmo.
El CERT de INCIBE-CERT es el equipo de referencia para la gestión de incidentes que afectan a la ciudadanía, a empresas, a proveedores de servicios digitales, a entidades de RedIRIS y a operadores considerados esenciales o importantes del sector privado. Desde este ámbito, el instituto no solo responde a ataques cuando ya se han producido, sino que desarrolla una labor proactiva destinada a detectar posibles brechas antes de que se conviertan en un problema mayor.
Dentro de esas actuaciones preventivas, INCIBE-CERT identificó y notificó 237.028 sistemas vulnerables relevantes, es decir, equipos o servicios que presentaban fallos de seguridad susceptibles de ser aprovechados por un atacante para acceder a redes, comprometer información o provocar interrupciones en la actividad. Esta tarea de vigilancia temprana se ha convertido en uno de los pilares de la estrategia nacional de ciberseguridad.
Junto con la respuesta operativa, el instituto también colabora con otros organismos públicos y privados para compartir información sobre amenazas, indicadores de compromiso y buenas prácticas. Todo ello permite que organizaciones de muy distinto tamaño puedan mejorar sus defensas sin necesidad de contar con grandes equipos internos especializados.
Impacto en operadores esenciales y sectores más afectados
Una parte especialmente sensible de la actividad de INCIBE es la que se desarrolla sobre los llamados operadores esenciales e importantes, alineados con la directiva europea NIS2. Se trata de entidades cuya continuidad resulta crítica para el funcionamiento de la sociedad, como empresas de energía, banca, transporte o infraestructuras de mercado.
En este segmento, INCIBE atendió 401 incidentes de ciberseguridad a lo largo del ejercicio. No se trata solo de cifras, sino de eventos que, de no haberse gestionado adecuadamente, podrían haber tenido consecuencias relevantes sobre servicios básicos, operaciones financieras o cadenas logísticas, con impactos directos en la ciudadanía y en la economía.
En cuanto a los sectores más castigados, la banca encabezó la lista al concentrar el 34% de los incidentes registrados en operadores esenciales. Por detrás se situaron el transporte, con un 14%; el sector de la energía, con un 8%; las infraestructuras de los mercados financieros, con un 7%; y el ámbito de aseguradoras y fondos de pensiones, con un 6%. Esta distribución refleja que los ciberdelincuentes dirigen gran parte de sus esfuerzos hacia sectores donde circula información especialmente sensible o donde un parón operativo puede generar pérdidas millonarias.
La exposición de estos operadores cruciales obliga a invertir de forma continuada en refuerzo de medidas de protección, actualización de sistemas, formación interna y simulacros de respuesta ante incidentes. En este contexto, las alertas, guías y acompañamiento técnico de INCIBE-CERT juegan un papel clave para mejorar la preparación frente a posibles ataques.
Malware, ransomware y botnets: las amenazas más recurrentes
Dentro del conjunto de incidentes gestionados por INCIBE, los que más se repitieron fueron aquellos vinculados al malware. A lo largo del año se registraron 55.411 casos relacionados con , desde virus clásicos hasta programas diseñados para espiar, robar información o tomar el control de los dispositivos sin que el usuario sea consciente.
Entre estos incidentes, una parte especialmente delicada fueron los ataques de ransomware. Se contabilizaron 392 episodios en los que los atacantes cifran o bloquean sistemas y archivos, dejando a la organización afectada sin acceso a su propia información y exigiendo un pago, normalmente en criptomonedas, a cambio de devolver el control o evitar la publicación de los datos robados.
Otro frente relevante lo han constituido las botnets, redes de equipos comprometidos que son controlados de forma remota por los ciberdelincuentes. INCIBE-CERT detectó numerosos sistemas infectados integrados en este tipo de infraestructuras criminales y constató que el 85% de esos dispositivos comprometidos eran equipos inteligentes (IoT), como televisores conectados, decodificadores, reproductores multimedia y otros aparatos domésticos o profesionales con acceso a Internet.
La elevada proporción de dispositivos IoT en estas redes de equipos zombi pone de manifiesto que muchos de estos productos siguen desplegándose con configuraciones por defecto, contraseñas débiles o sin actualizaciones de seguridad. Esto los convierte en una puerta de entrada más sencilla para atacantes que buscan volumen y anonimato para lanzar campañas masivas de spam, ataques de denegación de servicio o nuevos intentos de intrusión.
Fraude online, phishing y cierre de dominios fraudulentos
Junto al malware, el otro gran bloque de incidentes que ha marcado el año ha sido el fraude online. Según los datos del instituto, esta categoría representó cuatro de cada diez incidentes de seguridad, con un total de 45.445 casos, lo que supone un incremento cercano al 19% respecto al ejercicio anterior. Se trata de engaños que buscan, sobre todo, hacerse con datos personales, bancarios o credenciales de acceso a servicios.
Dentro de este tipo de delitos, el phishing continúa siendo la técnica estrella. A lo largo del año se contabilizaron 25.133 incidentes de phishing, muchos de ellos a través de correos electrónicos o mensajes que suplantan la identidad de bancos, administraciones públicas o grandes empresas para inducir al usuario a pulsar en enlaces maliciosos o entregar datos de acceso.
La respuesta frente a estas campañas de engaño no se limita al acompañamiento de víctimas. INCIBE ha trabajado en colaboración con Red.es para combatir las infraestructuras utilizadas por los estafadores. Fruto de esta cooperación, se procedió al cierre de 4.600 dominios web .es considerados potencialmente fraudulentos, todos ellos reportados por el propio instituto como vectores de posibles fraudes a usuarios en España.
Más allá de los fraudes directos, otra de las consecuencias que se repiten en los incidentes gestionados es el acceso no autorizado a información. A lo largo del año se registraron 3.849 casos de robo o sustracción de datos digitales y confidenciales, un fenómeno que no solo afecta a empresas y administraciones, sino también a usuarios particulares cuyos datos pueden acabar vendidos o reutilizados en nuevas estafas.
La Línea 017 dispara sus consultas y gana protagonismo
En paralelo a la labor puramente técnica del CERT, INCIBE ha consolidado su papel como punto de referencia para la ciudadanía a través de la Línea de Ayuda en Ciberseguridad 017. El servicio gratuito y confidencial “Tu Ayuda en Ciberseguridad” atendió durante el último año 142.767 consultas, lo que supone un aumento del 44,9% respecto al ejercicio anterior.
El canal 017 se presta por múltiples vías: teléfono, WhatsApp, Telegram, formulario web e incluso atención presencial en determinados casos. Esta variedad facilita que cualquier persona, independientemente de su nivel de conocimientos técnicos, pueda plantear dudas o pedir apoyo cuando se enfrenta a un problema digital.
Del total de consultas gestionadas, el 49% tuvieron carácter preventivo, es decir, se realizaron para aclarar dudas o verificar sospechas antes de que se produjera un incidente de seguridad. El 51% restante fueron reactivas, centradas en ayudar a quienes ya habían sido víctimas de un ataque o fraude y necesitaban orientación para mitigar los daños, recopilar evidencias o plantear una posible denuncia.
Entre los principales motivos de contacto con el 017 destacan los relacionados con phishing, vishing y smishing, que concentran alrededor de un 28% de las consultas. Muchos usuarios llaman tras recibir correos o llamadas sospechosas en las que se les pide información personal, se les insta a instalar aplicaciones o se les conduce a webs que imitan las de bancos y empresas legítimas.
Otro bloque importante de atención está vinculado a las compras fraudulentas en Internet, que representan cerca de un 16% de las llamadas. Le siguen los casos de suplantación de identidad digital, con alrededor de un 14% de las consultas, cuando alguien detecta que terceros están utilizando sus datos o imágenes para abrir cuentas, contratar servicios o engañar a otros usuarios.
El servicio también recibe peticiones de ayuda por parte de menores y de su entorno. Aproximadamente un 5% de las consultas de menores estuvieron relacionadas con ciberacoso, conflictos en redes sociales o difusión no consentida de contenidos. Además, a través de la hotline de INCIBE se registraron 3.302 reportes de contenidos inadecuados vinculados con abuso sexual infantil, lo que permite activar los protocolos correspondientes y colaborar con las autoridades para intentar retirar ese material cuanto antes.
El conjunto de datos publicados por INCIBE muestra una realidad compleja y en constante evolución: mientras los ciberdelincuentes diversifican sus tácticas y amplían sus objetivos, España refuerza sus capacidades de detección, respuesta y acompañamiento a víctimas y organizaciones. El aumento de incidentes y consultas no solo habla de un mayor número de ataques, sino también de una sociedad cada vez más dispuesta a pedir ayuda especializada y a tomar en serio la ciberseguridad como un elemento imprescindible de su día a día digital.
