· Jonathan Izquierdo · Ciberseguridad  ·

9 min de lectura

España sufre 3 ciberataques graves al día: industria en el punto de mira

NTT Data revela 605 ciberataques de alto impacto en España en 6 meses. La industria supera a la banca como objetivo principal. Qué hacer si tu empresa es la siguiente.

NTT Data revela 605 ciberataques de alto impacto en España en 6 meses. La industria supera a la banca como objetivo principal. Qué hacer si tu empresa es la siguiente.

605 ciberataques de alto impacto en seis meses. Tres al día. Y el sector más atacado ya no es la banca: es la industria. El informe Global Threat Intelligence de NTT Data correspondiente al segundo semestre de 2025, publicado en febrero de 2026, retrata una España convertida en objetivo prioritario del cibercrimen organizado.

No es un escenario teórico. En paralelo, INCIBE cerró 2025 con 122.223 ciberincidentes gestionados —un 26 % más que en 2024— y 237.028 sistemas vulnerables detectados. La tendencia es clara: más ataques, más sofisticados y dirigidos a sectores que antes se consideraban fuera del radar.

Como perito informático forense, este informe confirma lo que veo en mi práctica profesional: las empresas industriales y las PYMEs están siendo golpeadas con una intensidad que no esperaban, y la mayoría no tiene un plan de respuesta ni sabe cómo preservar la evidencia digital cuando el ataque llega.

TL;DR - Resumen ejecutivo

En 60 segundos:

  • 605 ciberataques de alto impacto en España en H2 2025 (3 al día)
  • Industria y manufactura sustituyen a la banca como objetivo nº1
  • 122.223 incidentes gestionados por INCIBE en 2025 (+26 % interanual)
  • Ransomware sigue como vector principal: coste medio superior a 4 millones €
  • IA generativa reduce la barrera técnica para lanzar ataques sofisticados
  • PYMEs industriales especialmente vulnerables: paradas de producción fuerzan el pago
  • Qué hacer: plan de respuesta, preservación de evidencia, contacto con perito forense

Consulta gratuita de respuesta a incidentes →

Qué revela el informe NTT Data: España como objetivo crítico

El informe Global Threat Intelligence Report de NTT Data analiza las amenazas del segundo semestre de 2025 a escala global y dedica un apartado específico a España. Los datos son contundentes:

IndicadorDatoContexto
Ataques de alto impacto605 en H2 2025Capacidad de paralizar operaciones o comprometer datos sensibles
Frecuencia3+ al díaMedia diaria sostenida durante 6 meses
Sector más atacadoIndustria y manufacturaDesplaza a la banca por primera vez
Coste medio por brecha+4 millones €Incluyendo tiempo de inactividad y recuperación
Impacto global cibercrimen10 billones USD/añoPrimera vez que supera esta cifra
Inversión global en ciberseguridad213.000 millones USD+14 % interanual

Sandra Somastre González, investigadora de amenazas de NTT Data, lo resume así: “España se posiciona como un objetivo crítico que requiere acelerar hacia un marco de ciberseguridad más robusto, cohesionado y preventivo”.

La industria como nuevo objetivo principal

El dato más relevante del informe es el cambio de paradigma: la industria y el sector manufacturero han superado al sector financiero como objetivo principal de los ciberatacantes.

Por qué atacan fábricas y no solo bancos

La lógica económica es directa: una fábrica parada pierde dinero por minuto. Esa presión hace que las empresas industriales sean más propensas a pagar rescates de ransomware que una entidad bancaria con equipos de seguridad dedicados.

Los atacantes lo saben y explotan tres factores:

  1. Sistemas OT conectados a internet: maquinaria industrial con conexión a la red pero sin actualizaciones de seguridad
  2. Convergencia IT/OT: cuando la red corporativa y la red industrial comparten infraestructura, un phishing al departamento de contabilidad puede llegar al sistema de control de producción
  3. Escasez de perfiles de ciberseguridad industrial: muchas PYMEs manufactureras no tienen ni un responsable IT dedicado, mucho menos un equipo de seguridad
Sectores más atacados en España (H2 2025)
  1. Industria y manufactura — automatización industrial, cadena de producción
  2. Administración pública — datos de ciudadanos, servicios esenciales
  3. Sanidad — clínicas privadas, centros regionales
  4. Alimentación y logística — cadena de suministro, distribución
  5. Banca — fraude online, phishing bancario (34 % de incidentes INCIBE)

IA generativa: ya no hace falta ser hacker para atacar

Uno de los hallazgos más preocupantes del informe es la democratización del cibercrimen gracias a la inteligencia artificial:

  • Phishing perfecto: la IA genera correos sin los errores ortográficos o de formato que antes delataban los intentos de phishing
  • Malware adaptativo: código malicioso que muta en tiempo real para evadir sistemas de detección (EDR)
  • Ataques de persistencia silenciosa: los atacantes permanecen dentro de la red durante semanas o meses antes de activar el ataque

Como señala el informe: “Ya no es necesario ser un experto en programación para lanzar una ofensiva”. Las plataformas de Ransomware-as-a-Service y las herramientas de IA han reducido la barrera de entrada hasta el punto de que grupos criminales sin conocimientos técnicos pueden comprar ataques listos para ejecutar.

El coste real de un ciberataque para una PYME española

Los grandes titulares hablan de los 10 billones de dólares de impacto global. Pero para una PYME española de 50 empleados, las cifras relevantes son estas:

ConceptoCoste estimadoFuente
Rescate ransomware (mediana)50.000 - 200.000 €Sophos State of Ransomware 2025
Parada de producción5.000 - 50.000 €/díaVariable según sector
Recuperación técnica20.000 - 100.000 €Respuesta incidentes + forense
Sanción RGPD (si hay datos personales)Hasta 20 M € o 4 % facturaciónRGPD Art. 83
Daño reputacionalIncalculablePérdida de clientes y contratos
Informe pericial (si hay litigio)1.500 - 5.000 €Precios peritaje informático
Dato INCIBE 2025

Solo el 57 % de las empresas que pagan un rescate de ransomware consiguen recuperar sus datos. El resto pierde el dinero Y la información. Fuente: Ransomware PYMEs España 2026.

Qué debe hacer tu empresa ahora mismo

Si gestionas una empresa industrial, logística o de cualquier sector que maneja datos sensibles, estas son las acciones que recomiendo como perito forense:

Cuando una empresa española sufre un ciberataque, no es solo un problema técnico —tiene obligaciones legales:

  • Notificación AEPD en 72 horas: si hay datos personales afectados, el RGPD exige notificación a la Agencia Española de Protección de Datos en un máximo de 72 horas desde que se tiene conocimiento de la brecha
  • Comunicación a los afectados: si el riesgo es alto, hay que informar también a las personas cuyos datos se han visto comprometidos
  • Denuncia ante FCSE: si el ataque constituye delito (acceso no autorizado, art. 197 CP; daños informáticos, art. 264 CP), la denuncia ante Policía Nacional o Guardia Civil es el primer paso para la investigación
  • Informe pericial: para la denuncia, el seguro y los procedimientos judiciales, un informe pericial informático documenta el alcance técnico del incidente con validez legal

España en contexto europeo: un objetivo prioritario

España no es un caso aislado, pero sí destaca en el panorama europeo por varios factores:

  • Tejido empresarial: el 99,8 % de las empresas españolas son PYMEs, con menor inversión en ciberseguridad que las grandes corporaciones
  • Digitalización acelerada post-COVID: muchas empresas digitalizaron procesos sin la capa de seguridad adecuada
  • NIS2 sin transponer: la Directiva NIS2 de la UE debería haberse transpuesto a legislación española en octubre de 2024, pero España aún no lo ha hecho, dejando un vacío regulatorio
  • Comisión de Seguridad Nacional: en febrero de 2026, 22 expertos alertaron de brechas estructurales y fragmentación institucional en la respuesta a ciberincidentes

¿Tu empresa ha sufrido un ciberataque?

Preservar la evidencia digital en las primeras horas es crítico para la investigación forense, la denuncia y la reclamación al seguro. Ofrezco respuesta en menos de 24 horas con metodología ISO 27037.

Más información

Referencias y fuentes

  1. NTT Data (2026). “Global Threat Intelligence Report - H2 2025”. Febrero 2026. https://es.nttdata.com/newsfolder/espana-ciberataques-industria-en-riesgo-2025
  2. INCIBE (2026). “Balance de ciberseguridad 2025”. 122.223 incidentes gestionados. https://www.incibe.es/incibe/sala-de-prensa/incibe-gestiono-mas-97000-incidentes-ciberseguridad-2025
  3. Press Digital (2026). “España sufre tres ciberataques graves al día, con la industria en el punto de mira”. 16 Feb. https://www.pressdigital.es/articulo/economia/2026-02-16/5773589
  4. Roams (2026). “Tres ciberataques al día: el dato que confirma que España está en el punto de mira”. https://roams.es/actualidad/alarmas-seguridad/tres-ciberataques-dia-dato-espana-punto-mira-delincuentes-digitales/
  5. El Diario de Madrid (2026). “España registra 605 ciberataques significativos en el segundo semestre de 2025”. https://www.eldiariodemadrid.es/articulo/ciberseguridad/espana-605-ciberataques-significativos-segundo-semestre-2025/20260216133349121344.html
  6. Computerworld (2026). “Los ciberataques a empresas y ciudadanos se disparan un 26 % en 2025”. https://www.computerworld.es/article/4129328/los-ciberataques-a-empresas-y-ciudadanos-se-disparan-un-26-en-2025.html
  7. Sophos (2025). State of Ransomware 2025. Encuesta a 5.000 empresas en 14 países.
  8. Reglamento (UE) 2016/679 (RGPD). Art. 33 y 34 - Notificación de brechas de seguridad.
  9. Ley Orgánica 10/1995, Código Penal. Arts. 197, 264, 264 bis - Delitos informáticos.
  10. Directiva (UE) 2022/2555 (NIS2). Transposición pendiente en España.
  11. IT User (2026). “Los ciberataques a la cadena de suministro se duplican en 2025”. https://www.ituser.es/seguridad/2026/02/los-ciberataques-a-la-cadena-de-suministro-se-duplican-en-2025
  12. Channel Partner (2026). “Los incidentes de ciberseguridad suben un 26 % en 2025”. https://www.channelpartner.es/seguridad/los-incidentes-de-ciberseguridad-se-disparan-un-26-en-el-ultimo-ano-en-espana/

Preguntas relacionadas

¿Cuántos ciberataques sufre España al día?

Según el informe NTT Data de febrero de 2026, España registró una media de 3 ciberataques graves al día durante el segundo semestre de 2025 (605 en total). Si se incluyen incidentes de menor gravedad, INCIBE gestionó 122.223 en todo 2025, lo que supone unos 335 al día.

¿Qué sectores son más atacados en España?

La industria y el sector manufacturero han desplazado a la banca como objetivo principal. Le siguen la administración pública, la sanidad, la alimentación y logística, y el sector financiero. El cambio se debe a que las paradas de producción industrial generan pérdidas inmediatas que incrementan la probabilidad de pago de rescates.

¿Cuánto cuesta un ciberataque a una PYME?

El coste medio de una brecha de datos supera los 4 millones de euros según NTT Data. Para una PYME española, los costes directos (rescate + recuperación + parada) oscilan entre 50.000 y 350.000 €, sin contar sanciones RGPD ni daño reputacional.

¿Qué debo hacer si mi empresa sufre un ciberataque?

Lo primero: no reinicies equipos ni borres logs. Aísla los sistemas afectados de la red, contacta con INCIBE (017) y con un perito informático forense para preservar la evidencia. Tienes 72 horas para notificar a la AEPD si hay datos personales comprometidos.

¿Es obligatorio denunciar un ciberataque en España?

Si implica datos personales, el RGPD obliga a notificar a la AEPD en 72 horas. Si constituye delito (acceso no autorizado, daños informáticos), la denuncia ante FCSE es recomendable para iniciar la investigación. Con la futura transposición de NIS2, las obligaciones de reporte se ampliarán a más sectores.

¿Necesito un perito informático tras un ciberataque?

Sí, si quieres preservar la validez legal de la evidencia para denuncias, reclamaciones al seguro o procedimientos judiciales. El informe pericial informático documenta el alcance técnico del incidente con metodología forense (ISO 27037) y tiene validez ante tribunales españoles.

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Ciberseguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp