España ocupa el quinto lugar entre los países europeos más afectados por ciberataques en la primera mitad de 2025, según el informe anual Microsoft Digital Defense. En un contexto global de aumento de la actividad maliciosa, el estudio alerta de que la mayoría de los ataques ya no intentan vulnerar sistemas complejos, sino que simplemente entran por la puerta principal: el 97 % de los incidentes investigados comienzan con el uso indebido de credenciales obtenidas por filtraciones o técnicas automatizadas.
El informe, que analiza las tendencias entre julio de 2024 y junio de 2025, destaca que los atacantes han perfeccionado su enfoque: ahora “ya no fuerzan la entrada, simplemente inician sesión”. Este giro en la estrategia se basa en la explotación de datos personales filtrados —usuario y contraseña— y en el uso de programas maliciosos tipo infostealer, como Lumma Stealer, que roban información de forma silenciosa para revenderla en el mercado negro digital.
Según los datos de Microsoft, España concentró el 5,4 % de los clientes afectados por ciberataques en Europa durante el primer semestre de 2025. A nivel global, el país ocupa la decimocuarta posición, por detrás de potencias como Estados Unidos, que lidera la lista con un 23,7 % de los incidentes registrados.
El ransomware y los servicios públicos: el punto débil del sistema
Uno de los focos más críticos del informe es el aumento de los ataques de tipo ransomware, que afectan de forma directa a hospitales, ayuntamientos, universidades y empresas de servicios esenciales. Estos ataques encriptan sistemas completos y exigen un rescate económico a cambio de desbloquear la información o evitar su publicación.
Microsoft advierte de que estos objetivos son especialmente vulnerables por dos razones: operan con infraestructuras obsoletas y tienen presupuestos muy limitados para implementar planes de contingencia o reforzar la seguridad digital. Los daños, además, no son solo económicos o reputacionales, sino que pueden tener consecuencias “reales e inmediatas para la ciudadanía”.
La inteligencia artificial como arma de doble filo
El informe pone especial atención al papel de la inteligencia artificial generativa en esta nueva etapa del cibercrimen. Mientras que los responsables de ciberseguridad la utilizan para anticipar amenazas, interceptar intentos de phishing o cubrir brechas de detección, los cibercriminales también la aprovechan para hacer sus ataques más rápidos, masivos y sofisticados.
Herramientas de IA son capaces de generar correos de phishing indetectables, emular conversaciones legítimas y automatizar ataques personalizados. Esta carrera tecnológica entre defensores y atacantes plantea nuevos retos para empresas, administraciones públicas y usuarios.
En este entorno, Microsoft insiste en la necesidad de adoptar sistemas de autenticación multifactor (MFA), capaces de bloquear hasta el 99 % de los accesos no autorizados, incluso cuando el atacante dispone de las credenciales correctas. La compañía insiste en que esta medida básica sigue siendo la barrera más eficaz para frenar ataques comunes.
Espionaje, economía y la sombra de los Estados
Aunque la mayoría de los ataques tienen un fin económico, el informe también alerta sobre el incremento de la actividad por parte de actores patrocinados por Estados, con especial protagonismo de China, Rusia, Irán y Corea del Norte. Estos grupos se centran en espionaje, sabotaje y vigilancia de sectores estratégicos como las telecomunicaciones, la investigación científica o el mundo académico.
Cada vez es más frecuente que estos Estados recurran a redes delictivas privadas, lo que “dificulta enormemente la atribución” de los ataques, según señala Microsoft. Esta colaboración indirecta entre gobiernos y ciberdelincuencia profesional añade complejidad a la respuesta internacional frente a incidentes digitales.
Un entorno de alto riesgo con impacto directo en la comunicación
Los datos del informe subrayan un punto crítico: el robo de datos está detrás del 80 % de los incidentes registrados, y el 52 % de ellos se vincula directamente con la extorsión económica. Este panorama obliga a las organizaciones a repensar su seguridad no como una cuestión técnica, sino como una pieza clave en la continuidad de su comunicación, reputación y operativa diaria.
La exposición pública ante una brecha de datos puede afectar la confianza de clientes, inversores y empleados, con impactos duraderos en la imagen de marca y la percepción social. En este contexto, la ciberseguridad ya no es un asunto de especialistas, sino un eje transversal que afecta a toda la estrategia corporativa, desde el marketing hasta la gestión de crisis.
