El informe Tendencias y ciberamenazas del equipo de Cyber Threat Intelligence (CTI) de NTT DATA cifra en 605 incidentes significativos los registrados entre julio y diciembre de 2025 en España, un volumen que sitúa al país entre los escenarios europeos más expuestos. Esta cadencia, que equivalente a esos tres ataques graves al día, se explica, en gran medida, por una motivación económica clara y por la combinación de un alto nivel de digitalización con un tejido empresarial dominado por pymes con niveles de protección desiguales.
La lectura de fondo es aún más inquietante: los atacantes están reduciendo el ruido y priorizando intrusiones discretas basadas en abuso de identidades legítimas, servicios cloud y herramientas habituales de las organizaciones. El objetivo ya no es solo entrar, sino permanecer el mayor tiempo posible, moverse lateralmente y maximizar el impacto económico y reputacional cuando llegue el momento.
La industria y el sector público, en el centro del tablero
En España, el patrón sectorial presenta rasgos propios. La investigación destaca el protagonismo de la industria manufacturera, junto con alimentación y logística, como blancos prioritarios, en parte por el efecto inmediato sobre la continuidad operativa. El informe detalla intrusiones contra entornos OT y SCADA, con episodios en los que empresas se vieron obligadas a detener temporalmente líneas de producción para contener la propagación del ataque.
El sector público, por su parte, continúa acumulando presión por una razón estructural: la heterogeneidad tecnológica, la coexistencia de múltiples niveles administrativos y la dependencia de servicios digitales amplían la superficie de exposición y dificultan una respuesta homogénea. A ello se suma el impacto social: el informe señala que la sanidad (incluidas clínicas privadas y centros regionales) sigue figurando entre los ámbitos más castigados, con efectos directos en pacientes por retrasos en consultas y procedimientos cuando se producen interrupciones.
La advertencia, en palabras de una investigadora del equipo, es explícita: el imperativo de blindar la resiliencia ya no es opcional cuando la disrupción puede ser operativa, económica y social.
Un impacto económico que rompe récords
El cibercrimen, además, ha cruzado un umbral simbólico. NTT DATA sitúa en 2025 el impacto anual en el entorno de 10,5 billones de dólares (aprox. 8,5 billones de euros según el tipo de cambio que maneja la nota), lo que refuerza su condición de riesgo sistémico.
En el plano micro (el que golpea a cada organización) el ransomware sigue siendo el incidente de referencia por su capacidad de paralizar operaciones y forzar decisiones críticas en pocas horas. El informe estima un coste total medio por incidente de ransomware de 5,08 millones de dólares, al incorporar interrupción y recuperación, más allá del rescate en sí. El mensaje es claro: aunque muchas compañías opten por no pagar, la factura se traslada a tiempos de parada, restauración técnica, impacto legal y daño reputacional.
La IA ya no es una promesa: es un acelerador táctico
El cuarto vector que define el nuevo escenario es la integración plena de la inteligencia artificial en la ejecución de ataques. El informe subraya que la IA actúa como multiplicador operativo: acelera el reconocimiento, mejora la generación de phishing convincente, facilita la adaptación lingüística y cultural y abarata el coste de campañas que antes exigían más tiempo y especialización.
Importa un matiz: la IA no sustituye al operador humano, pero reduce barreras de entrada y amplía el número de actores capaces de desplegar ataques sofisticados. Ese descenso del coste cognitivo y operativo, unido a técnicas de persistencia y al abuso de servicios legítimos, apunta a un 2026 con más campañas de larga duración, más explotación de relaciones de confianza y más presión sobre identidades y entornos cloud.
Una carrera entre regulación, defensa y capacidad de adaptación criminal
El informe también refleja un refuerzo del marco legal y un aumento de operaciones policiales internacionales, pero con una brecha persistente entre cumplimiento normativo y resiliencia operativa real. En ese contexto, NTT DATA ofrece recursos multimedia (audio y vídeo) con comentarios de José Manuel Moreno Guerra, director de Ciberseguridad en la compañía, orientados a facilitar la publicación y el análisis periodístico del fenómeno.
La conclusión es difícil de suavizar: España afronta un escenario en el que el cibercrimen combina volumen, profesionalización y herramientas de automatización. Y, mientras el ataque se industrializa, la defensa ya no puede limitarse a reaccionar: exige anticipación, cohesión y una visión preventiva sostenida.
