Ciberseguridad en Europa 2026: amenazas, normativa y brecha de resiliencia

Europa bajo presión continua: el panorama según ENISA

El ENISA Threat Landscape 2025, publicado en octubre de 2025 y basado en el análisis de 4.875 incidentes entre el 1 de julio de 2024 y el 30 de junio de 2025, es el documento de referencia más completo disponible sobre el estado de la ciberseguridad en Europa. Sus conclusiones son claras: el ecosistema de amenazas se ha vuelto más maduro, más convergente y más difícil de clasificar por categorías limpias.

El hallazgo más llamativo en términos estadísticos es que los ataques DDoS representaron el 77% de todos los incidentes registrados en la UE. Sin embargo, ese dato exige contexto: la inmensa mayoría de esos ataques fueron perpetrados por hacktivistas con motivaciones ideológicas, no por grupos criminales organizados. La categoría que realmente importa en términos de impacto económico y operativo es el ransomware, que ENISA identifica como la amenaza cibernética más disruptiva y con mayor daño financiero en Europa, con independencia de su peso relativo en el volumen total.

La distribución de incidentes por sector es reveladora. La administración pública concentra el 38,2% de todos los incidentes registrados, siendo el objetivo más atacado de la UE por amplio margen. El transporte ocupa el segundo lugar con el 7,5%, especialmente los subsectores aéreo, marítimo y logístico. Las infraestructuras digitales y de servicios representan el 4,8%, las finanzas el 4,5%, la energía el 1,7% y la salud el 1,2%.

Incidentes de cibercriminalidad

Excluyendo el hacktivismo político, el ransomware atacó principalmente al sector manufacturero, con el 14,9% de las reclamaciones publicadas. La manufactura europea, enormemente conectada a través de cadenas de suministro transfronterizas, se ha convertido en uno de los objetivos prioritarios para grupos como Akira, Qilin y FOG. Los datos de ENISA sobre variantes desplegadas contra la industria manufacturera muestran a Akira liderando con el 48,7% de los ataques, seguido de Qilin con el 20,5% y FOG con el 10,3%.

En cuanto a los vectores de entrada, el phishing representa el 60% de todos los intentos de intrusión, con más del 80% de las campañas de ingeniería social a nivel global usando ya contenido generado o potenciado por IA a principios de 2025. La explotación de vulnerabilidades ocupa el segundo lugar con el 21,3% de las intrusiones, y la velocidad de armamento de esas vulnerabilidades es alarmante: los atacantes están explotando vulnerabilidades nuevas en cuestión de días desde su divulgación pública. El período analizado por ENISA registró más de 42.595 nuevas vulnerabilidades divulgadas, un 27% más que en el período anterior. (Fuente: ENISA Threat Landscape 2025.)

La dimensión geopolítica: cuando el Estado es el atacante

Una de las conclusiones más importantes del Threat Landscape 2025 de ENISA y de los informes de los servicios de inteligencia europeos es la creciente convergencia entre cibercriminalidad organizada y operaciones dirigidas por Estados. Las líneas que separaban a los hacktivistas, los grupos criminales y los actores estatales se están difuminando de forma deliberada.

Los grupos APT29 (asociado a Rusia) y Sandworm (también vinculado a la inteligencia militar rusa) fueron identificados por ENISA como los más activos en la UE durante el período analizado, con especial foco en administración pública, defensa y telecomunicaciones. El informe CERT-EU de diciembre de 2025 confirmaba que los servicios de inteligencia rusos tienen alta probabilidad de continuar sus operaciones cibernéticas e híbridas contra gobiernos europeos e infraestructuras críticas al menos hasta mediados de 2026. (Fuentes: ENISA Threat Landscape 2025; CERT-EU Cyber Brief 26-01, enero 2026.)

China también figura prominentemente. El Reino Unido sancionó en diciembre de 2025 a dos empresas tecnológicas con sede en China por su papel en actividades maliciosas que comprometieron sistemas de más de 80 entidades gubernamentales, públicas y privadas en todo el mundo. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) calificó a estas empresas como representativas de un ecosistema de actores privados que verosímilmente apoya las operaciones cibernéticas patrocinadas por el Estado chino.

Alemania atribuyó formalmente en diciembre de 2025 varios incidentes cibernéticos a actores vinculados a Rusia. Y el grupo hacktivista Z-PENTEST-ALLIANCE, con presuntas conexiones con el grupo ruso Sandworm, fue identificado como el principal actor atacando infraestructuras críticas de la UE, con especial concentración en sistemas de energía y gestión del agua, y distribuyendo vídeos de operadores manipulando sistemas OT para amplificar el impacto psicológico de sus acciones.

El Foro Económico Mundial

En su Global Cybersecurity Outlook 2026 publicado en enero de 2026, elaborado con la colaboración de Accenture a partir de 804 encuestados en 92 países, incluyendo 316 CISOs y 105 CEOs, recoge que la inestabilidad vinculada a la guerra en Ucrania ha coincidido con un aumento de los ataques híbridos que utilizan drones para atacar aeropuertos europeos y otras infraestructuras críticas, junto con la propagación de desinformación que ha desestabilizado aún más el panorama de seguridad regional. El 64% de las organizaciones ya integra en su estrategia los ataques cibernéticos de motivación geopolítica, como la disrupción de infraestructuras críticas o el espionaje, y el 91% de las grandes empresas ha ajustado su postura de ciberseguridad en consecuencia. (Fuente: WEF, Global Cybersecurity Outlook 2026, enero 2026.)

Los incidentes que definen 2026 en Europa

Los datos estadísticos cobran sentido concreto cuando se examinan los incidentes reales que han marcado el panorama europeo en los primeros meses de 2026.

Aeropuertos europeos, septiembre 2025.

Un ataque de ransomware contra Collins Aerospace, proveedor del software de facturación y embarque MUSE, provocó interrupciones operativas en varios de los principales aeropuertos europeos, entre ellos Heathrow, Bruselas y Berlín. Las colas, retrasos y cancelaciones que se vivieron durante días ilustraron cómo la dependencia de un único proveedor de software puede paralizar nodos críticos de transporte en múltiples países simultáneamente. (Fuente: ENISA Threat Landscape 2025.)

SFR (Francia), diciembre 2025.

El operador de telecomunicaciones francés SFR sufrió un ciberataque que implicó acceso no autorizado a una herramienta de gestión de red de técnicos, con robo de datos de clientes incluyendo nombres, direcciones, teléfonos y correos electrónicos. El incidente se inscribe en una serie de brechas en el sector de telecomunicaciones francés durante el último trimestre de 2025. (Fuente: CERT-EU Cyber Brief 26-01.)

Barts Health NHS (Reino Unido), diciembre 2025.

El Barts Health NHS Trust, uno de los mayores proveedores sanitarios de Inglaterra, reveló que actores del grupo ransomware Clop explotaron una vulnerabilidad de día cero en Oracle E-Business Suite para robar años de facturas con datos personales de pacientes, exdirectivos y proveedores. Los sistemas clínicos no resultaron afectados, pero la organización tuvo que solicitar una orden judicial para restringir la difusión de los datos robados. (Fuente: CERT-EU Cyber Brief 26-01.)

Puerto de Vigo (España), marzo 2026.

En la madrugada del 24 de marzo, un ransomware obligó a desconectar todos los servidores del Puerto de Vigo, el primer puerto de mercancía general de Galicia, de cualquier conexión exterior. Los sistemas permanecieron inaccesibles durante más de 72 horas. La operativa física pudo mantenerse manualmente, pero los servicios digitales quedaron completamente interrumpidos mientras se realizaba el análisis forense para determinar el vector de entrada. (Fuentes: Galicia Press; FORLOPD; Cadena de Suministro.)

Infraestructuras submarinas (Finlandia), diciembre 2025.

Las autoridades finlandesas interceptaron y confiscaron el buque de carga Fitburg en el Golfo de Finlandia, bajo sospecha de haber dañado deliberadamente un cable de telecomunicaciones submarino que une Finlandia con Estonia. El incidente se enmarca en la creciente preocupación por la vulnerabilidad de las infraestructuras submarinas europeas ante sabotajes físicos con componente de inteligencia. (Fuente: CERT-EU Cyber Brief 26-01.)

Estos casos coinciden con un patrón que ENISA documenta de forma sistemática: el transporte marítimo y la logística portuaria son objetivos de creciente interés para actores con motivación tanto criminal como geopolítica. El valor estratégico de los nodos logísticos, combinado con su alta dependencia de plataformas digitales, múltiples actores conectados y presión operativa constante, los convierte en objetivos de alto impacto y, con frecuencia, baja resiliencia.

El perfil del atacante europeo en 2026: industrialización y convergencia

El DIESEC European Cyber Threat 2026 y el ENISA Threat Landscape 2025 convergen en una descripción del atacante que afecta a organizaciones europeas: no es el hacker solitario, ni siquiera el grupo criminal aislado. Es una industria con estructura, especialización y modelos de negocio propios.

Los grupos de Ransomware como Servicio (RaaS) han reducido drásticamente la barrera de entrada para nuevos actores. El período analizado por ENISA documentó 82 variantes distintas de ransomware activas, con una continua fragmentación del ecosistema impulsada en parte por las operaciones policiales que desmantelaron a LockBit (Operación Cronos, febrero 2024). Esa presión no redujo el volumen de ataques: lo dispersó entre más actores y empujó a la aparición acelerada de nuevas variantes.

Los Initial Access Brokers (IABs), intermediarios que venden accesos a redes corporativas en mercados ilegales, siguen siendo un vector crítico. ENISA documenta el uso habitual de credenciales VPN y RDP compradas en marketplaces de la dark web por grupos como SafePay, que aparecieron en septiembre de 2024 y se expandieron rápidamente usando exactamente este método. El info-stealer Lumma fue identificado como la herramienta de robo de credenciales más prevalente desde principios de 2025. (Fuente: ENISA Threat Landscape 2025; ENISA, European Digital SME Alliance analysis.)

En términos de cibercriminalidad, el 81,1% de los incidentes cibercriminales contra organizaciones de la UE involucran ransomware y el 15,2% son brechas de datos, con una estrategia de doble extorsión, cifrar y robar simultáneamente, que ha pasado de ser la excepción a ser el estándar. Los datos robados se filtran sistemáticamente en foros cibercriminales si el rescate no se paga, y esta amenaza de exposición pública está resultando especialmente efectiva en sectores regulados por el RGPD, donde una brecha confirmada conlleva obligaciones de notificación y posibles sanciones.

El papel de la inteligencia artificial: doble filo con asimetría

El Global Cybersecurity Outlook 2026 del WEF identifica la IA como el factor de cambio más significativo en ciberseguridad según el 94% de los encuestados, y el 87% señala las vulnerabilidades relacionadas con la IA como el riesgo de más rápido crecimiento en 2025. Ese consenso refleja algo real: la IA está redefiniendo el campo de juego, pero lo está haciendo de forma asimétrica.

En el lado ofensivo, la IA está siendo utilizada para generar contenido de phishing hiperpersonalizado y multilingüe a escala industrial. ENISA confirma que más del 80% de las campañas de ingeniería social a nivel mundial ya utilizan IA para generar o mejorar su contenido. Herramientas como Xanthorox AI, documentadas por ENISA en el Threat Landscape 2025, están diseñadas específicamente para automatizar el desarrollo de malware y la ingeniería social. Los deepfakes de audio y vídeo están facilitando ataques de Business Email Compromise (BEC) de nueva generación, con llamadas donde una “voz” simula ser un directivo solicitando transferencias urgentes o acceso a sistemas.

La tecnología OT también está siendo vectorizada mediante IA. El nuevo malware ICS denominado VoltRuptor, documentado por ENISA, fue utilizado para comprometer una empresa italiana de automatización de edificios inteligentes en junio de 2025, evidenciando la viabilidad operativa de herramientas especializadas en entornos industriales.

En el lado defensivo, la adopción de IA para seguridad está acelerando, pero con brechas de gobernanza importantes. El porcentaje de organizaciones que evalúan la seguridad de sus herramientas de IA casi se duplicó del 37% en 2025 al 64% en 2026, según el WEF. Sin embargo, los agentes autónomos de IA están siendo desplegados con permisos excesivos, documentos sin clasificar y reglas de acceso obsoletas, creando nuevas superficies de ataque que los atacantes ya están aprendiendo a explotar. (Fuente: WEF, Global Cybersecurity Outlook 2026.)

El marco normativo europeo: construcción activa y fragmentación persistente

NIS2: aprobada, sin transponer plenamente, y ya en revisión

La Directiva NIS2 (Directiva UE 2022/2555) tenía como fecha límite de transposición el 17 de octubre de 2024. El resultado fue un fracaso colectivo: a principios de 2026, solo unos 16 países de los 27 habían transpuesto íntegramente la directiva. La Comisión Europea inició procedimientos de infracción contra 23 Estados miembros, enviando en mayo de 2025 dictámenes motivados a 19 de ellos, entre los que se incluye España, como paso previo a un posible recurso ante el Tribunal de Justicia de la UE.

La respuesta de Bruselas a este panorama fue, paradójicamente, proponer cambios a la directiva antes de que muchos países la hubieran terminado de transponer. El 20 de enero de 2026, la Comisión presentó, como parte de un nuevo paquete de ciberseguridad, modificaciones específicas a NIS2 orientadas a simplificar el cumplimiento. Los cambios principales incluyen normas jurisdiccionales simplificadas para organizaciones que operan en múltiples países de la UE, vías de cumplimiento basadas en certificaciones existentes, e informes de ransomware más detallados. El objetivo declarado es facilitar el cumplimiento para 28.700 empresas, incluidas 6.200 micro y pequeñas empresas. Se espera que las modificaciones se negocien a lo largo de 2026, con un plazo de transposición de 12 meses tras su aprobación. (Fuente: Comisión Europea / digital-strategy.ec.europa.eu, enero 2026.)

Este doble movimiento ,presionar a los países rezagados mientras se propone revisar la directiva, refleja una tensión real en la gobernanza europea de la ciberseguridad: la urgencia de desplegar el marco regulatorio choca con la dificultad de aplicarlo de forma homogénea en 27 ecosistemas legislativos distintos.

El nuevo paquete de ciberseguridad de enero de 2026

Más allá de las modificaciones a NIS2, el paquete de ciberseguridad presentado por la Comisión el 20 de enero de 2026 incluye varias iniciativas que redefinen el panorama regulatorio europeo:

Reglamento de Ciberseguridad revisado. El nuevo reglamento propone un marco horizontal de seguridad para cadenas de suministro TIC, diseñado para abordar los riesgos de dependencias estratégicas de proveedores de terceros países que planteen problemas de ciberseguridad. La Comisión lo presenta como una herramienta para que la UE y los Estados miembros puedan detectar y mitigar conjuntamente riesgos en los 18 sectores críticos. (Fuente: Comisión Europea, 20 enero 2026.)

Refuerzo del rol de ENISA. La agencia asumirá nuevas funciones: alertas tempranas sobre ciberamenazas, apoyo a respuesta ante ataques de ransomware junto con Europol, y gestión de la nueva ventanilla única propuesta para notificación de incidentes a escala europea. (Fuente: Comisión Europea, 20 enero 2026.)

Plan de acción para la ciberseguridad hospitalaria. La Comisión ha publicado un plan específico de resiliencia para hospitales y proveedores sanitarios, reconociendo la particular exposición del sector. Los datos de ENISA confirman la urgencia: las brechas en el sector sanitario europeo registran el coste medio más elevado de cualquier industria, y los sistemas hospitalarios siguen operando con infraestructuras TI con décadas de antigüedad. El dato más extremo del pasado reciente sigue siendo el ataque al Health Service Executive (HSE) irlandés en 2021, cuya recuperación total costó más de 600 millones de euros y tardó cinco meses.

DORA: en vigor, con desafíos de implementación

El Reglamento de Resiliencia Operativa Digital (DORA), aplicable desde enero de 2025 al sector financiero europeo, está imponiendo una carga de cumplimiento significativa sobre entidades que operan en múltiples jurisdicciones. La combinación de NIS2, DORA, RGPD y regulaciones sectoriales nacionales está creando una complejidad de cumplimiento que las grandes entidades pueden gestionar pero que representa un desafío real para las firmas medianas del sector.

La brecha de resiliencia: una Europa desigual ante el riesgo

Uno de los hallazgos más preocupantes del Global Cybersecurity Outlook 2026 del WEF es la existencia de una brecha creciente entre organizaciones ciberresilientes y las que no lo son. Esa brecha no es solo tecnológica: es estructural y está relacionada con el tamaño, el sector y la geografía.

Menos del 45% de los CEOs del sector privado confían en la capacidad de su país para responder a incidentes cibernéticos mayores que afecten a infraestructuras críticas. Este nivel de desconfianza en la capacidad colectiva de respuesta nacional es significativo. (Fuente: WEF, Global Cybersecurity Outlook 2026.)

El 23% del sector privado y el 11% del sector público calificaron su propia resiliencia cibernética como insuficiente. Y mientras el 91% de las grandes empresas han ajustado su postura ante amenazas geopolíticas, solo el 59% de las pymes están haciendo lo mismo. (Fuente: WEF, Global Cybersecurity Outlook 2026.)

El 73% de los encuestados del WEF afirman que ellos o alguien de su red han sido personalmente afectados por fraude cibernético en el último año. El fraude habilitado por tecnología ha alcanzado, en palabras del informe, proporciones epidémicas. (Fuente: WEF, Global Cybersecurity Outlook 2026.)

En el ámbito específico europeo, la desigualdad geopolítica tiene también una dimensión de seguridad digital. Los países que apoyan la cadena de suministro de Ucrania, Polonia, Chequia, Rumanía, son objeto de escrutinio particular por parte de actores de amenaza. Y los países con transposición de NIS2 incompleta, la mayoría, aún en 2026, operan con marcos de supervisión menos desarrollados, lo que crea disparidades en la capacidad de detección, respuesta y coordinación transfronteriza.

Las amenazas OT: cuando el ciberespacio afecta al mundo físico

El ENISA Threat Landscape 2025 marca un hito conceptual importante: por primera vez, las amenazas a tecnología operativa (OT) representan el 18,2% de todas las categorías de amenaza identificadas, lo que señala un cambio sistémico hacia el targeting de infraestructuras industriales y sistemas de control.

El grupo hacktivista Z-PENTEST-ALLIANCE ha concentrado sus ataques en interfaces de gestión OT accesibles desde internet en los sectores de energía y gestión del agua. Italia emergió como el Estado miembro más frecuentemente atacado en OT, seguido de Chequia, Francia y España. Los ataques no buscan solo interrupciones: buscan visibilidad, presencia y capacidad de escalada futura.

El nuevo malware ICS VoltRuptor representa la vanguardia de esta amenaza: diseñado específicamente para comprometer entornos OT y documentado por ENISA en incidentes reales de 2025. La fusión de sistemas IT/OT que está impulsando la industria 4.0 en Europa amplía esta superficie de ataque de forma permanente. (Fuente: ENISA Threat Landscape 2025.)

La respuesta europea: coordinación creciente, brechas persistentes

CERT-EU y la red de CSIRTs

La respuesta coordinada a incidentes a escala europea descansa sobre la red de CSIRTs nacionales y el CERT-EU, que cubre las instituciones europeas. La publicación regular de Cyber Briefs por parte de CERT-EU, documentos de inteligencia de amenazas que sintetizan los incidentes más relevantes del período, es una de las herramientas más valiosas para el intercambio de información entre organismos públicos europeos. El Cyber Solidarity Act, aprobado como parte del marco regulatorio de la UE, refuerza los mecanismos de respuesta colectiva ante incidentes transfronterizos y la coordinación del intercambio de inteligencia de amenazas.

La Academia de Competencias en Ciberseguridad de la UE

La escasez de talento especializado es reconocida por ENISA como uno de los déficits estructurales más graves de la ciberseguridad europea. La primera recomendación del informe sobre el estado de la ciberseguridad en la UE, publicado por ENISA en diciembre de 2024, fue precisamente la creación de una Academia de Competencias en Ciberseguridad de la UE con un enfoque común de formación, certificación y desarrollo de talento a escala continental.

La soberanía tecnológica como imperativo estratégico

El paquete de ciberseguridad de enero de 2026 incluye un componente explícito de soberanía tecnológica: el nuevo Reglamento de Ciberseguridad propone un marco para identificar, evaluar y mitigar los riesgos derivados de proveedores de terceros países con dependencias críticas en las cadenas de suministro TIC de los 18 sectores críticos europeos. Henna Virkkunen, vicepresidenta ejecutiva de la Comisión Europea para soberanía tecnológica, seguridad y democracia, fue explícita en la presentación del paquete: a medida que la IA impulsa cada vez más las operaciones ofensivas en el ciberespacio, la resiliencia de las infraestructuras críticas y la conectividad de Europa deben reforzarse. (Fuente: WEF, Global Cybersecurity Outlook 2026, citando a Henna Virkkunen.)

Conclusión: Europa ante una madurez forzada

A mediados de 2026, la ciberseguridad europea se encuentra en un punto de inflexión que combina urgencia normativa, presión de amenaza sin precedentes y una brecha de capacidades que divide al continente entre organizaciones y países bien preparados y aquellos que aún operan en un estadio de defensa básica.

Las grandes tendencias que definen el momento son claras. La geopolítica ha convertido la ciberseguridad en una dimensión de la seguridad nacional que ningún Estado puede gestionar de forma aislada. La IA está acelerando tanto los ataques como las defensas, pero con una asimetría temporal: los atacantes adoptan herramientas nuevas más rápido que los defensores construyen controles para ellas. El ransomware se ha industrializado hasta el punto de que las barreras de entrada para nuevos actores son mínimas. Y la convergencia IT/OT ha extendido la superficie de ataque a infraestructuras físicas que antes estaban aisladas.

La respuesta regulatoria de la UE, NIS2, DORA, el Cyber Resilience Act, el nuevo paquete de enero de 2026, es sistemática y ambiciosa. Pero su efectividad depende de la velocidad de implementación en 27 sistemas legislativos distintos, de la capacidad de supervisión de autoridades nacionales con recursos muy desiguales y, en última instancia, de la decisión de las organizaciones privadas de transformar cumplimiento formal en seguridad real.

El WEF lo resume con precisión en su informe de 2026: la ciberseguridad no es algo que una organización pueda hacer sola. Requiere inteligencia compartida, gobernanza coordinada y una apuesta colectiva por la resiliencia. Europa tiene el marco. La pregunta es si tiene la velocidad.