Ciberseguridad en España, Q1 2026: amenazas reales, marco normativo pendiente y un sector en plena ebullición

España bajo presión: las cifras que importan

El balance oficial de ciberseguridad publicado por el INCIBE el 9 de febrero de 2026 dejó una foto nítida del año anterior: 122.223 incidentes gestionados en 2025, un 26% más que en 2024. No es un dato aislado. Es la continuación de una tendencia que no muestra señales de remitir.

Detrás de esa cifra hay una radiografía más granular que merece leerse con atención:

• 55.411 incidentes de malware, el tipo más frecuente.
• 392 ataques de ransomware registrados. Pese a su número relativamente reducido concentran el mayor impacto económico por incidente, entre 80.000 y 150.000 euros de media para una empresa mediana española.
• 45.445 casos de fraude online, un 19% más que el año anterior. Cuatro de cada diez incidentes de seguridad corresponden a esta categoría.
• 25.133 casos de phishing, el vector de entrada más utilizado por los atacantes.
• 237.028 sistemas vulnerables detectados y notificados a sus responsables por el INCIBE-CERT de forma proactiva. Más de doscientas treinta mil puertas potencialmente abiertas distribuidas por todo el territorio.
• 3.849 casos de acceso o sustracción no autorizada de datos digitales.
• 4.600 dominios web “.es” potencialmente fraudulentos cerrados en colaboración con Red.es, con el 100% de los casos reportados por INCIBE.

(Fuente: INCIBE, Balance de Ciberseguridad 2025.)

Operadores regulados por NIS2

En el ámbito de los operadores esenciales e importantes, los regulados por la Directiva NIS2, el INCIBE atendió 401 incidentes en 2025. La distribución por sectores dibuja el mapa de exposición. Banca concentró el 34% de los ataques; transporte, el 14%; energía, el 8%; infraestructuras de mercados financieros, el 7%; y aseguradoras y fondos de pensiones, el 6%.

La Línea de Ayuda en Ciberseguridad 017 recibió 142.767 consultas en 2025, un 44,9% más que en 2024. El reparto entre consultas preventivas (49%) y reactivas (51%) revela que todavía más de la mitad de quienes llaman lo hacen cuando el daño ya está produciéndose. Los principales motivos: intentos de phishing, vishing o smishing (28%), compras fraudulentas online (16%) y suplantación de identidad digital (14%). (Fuente: INCIBE.)

Lo que está pasando en 2026: ataques reales, nombres reales

Si 2025 fue un año de récords estadísticos, los primeros meses de 2026 han confirmado que el nivel de amenaza no cede. El informe Security Report 2026 de Check Point Software Technologies documenta que las organizaciones en España registraron de media 1.968 ciberataques semanales a lo largo de 2025. Se trata de un incremento del 70% respecto a 2023. En diciembre de ese mismo año, la cifra se situó en 1.883 ataques semanales ,un 5% más que en diciembre de 2024, con el sector gubernamental, los bienes y servicios de consumo, y las telecomunicaciones como principales objetivos.

A nivel de ransomware, España concentra el 2% de los ataques publicados globalmente. El cuarto trimestre de 2025 cerró con 2.473 víctimas de ransomware publicadas en sitios de filtración, el dato más alto registrado hasta la fecha. Solo en el primer trimestre de 2025 se registraron 2.289 víctimas con datos publicados, un crecimiento del 134% respecto al año anterior, impulsado en parte por la explotación masiva de vulnerabilidades de día cero. La Agencia Española de Protección de Datos (AEPD) recibió cerca de 2.800 notificaciones de brechas de datos personales a lo largo del año. (Fuente: Check Point, Security Report 2026.)

Los incidentes de 2026 que ya están en el mapa

Lo que distingue 2026 de los años anteriores no es solo el volumen: es la visibilidad y el calibre de los objetivos alcanzados. En los primeros meses del año, varios incidentes de primer nivel han confirmado que nadie está fuera del punto de mira.

Endesa, enero de 2026. La compañía eléctrica confirmó una brecha que comprometió datos de contacto, DNI, números IBAN y detalles de contratos de un número significativo de clientes. El origen: un problema en un antiguo proveedor tecnológico que también afectó a otras empresas internacionales. Endesa activó protocolos inmediatamente y notificó a las autoridades, aunque advirtió a su clientela del riesgo de suplantación y campañas de phishing con los datos extraídos. (Fuente: Channel Partner, Principales ciberataques en España en 2026.)

Ministerio de Hacienda, principios de 2026. El Ministerio investigó un potencial ciberataque a sus bases de datos tras una alerta lanzada por la firma Hackmanac, que señalaba a un actor identificado como “HaciendaSec” y reclamaba el acceso a datos personales, bancarios y fiscales de más de 47 millones de ciudadanos. La investigación permanece abierta. (Fuente: Channel Partner.)

Puerto de Vigo, 24 de marzo de 2026. En la madrugada del martes 24 de marzo, los sistemas de monitorización interna del Puerto de Vigo alertaron de una intrusión. Era un ransomware. Los equipos técnicos actuaron de inmediato aislando todos los servidores de cualquier conexión exterior, lo que dejó la web de la Autoridad Portuaria inoperativa durante más de 72 horas. La operativa física del puerto ,que en los dos primeros meses de 2026 había acumulado 715.728 toneladas de mercancías, pudo mantenerse de forma manual, pero los servicios digitales asociados quedaron interrumpidos. La consultora GMV prestó asistencia técnica y se inició un análisis forense para determinar el vector de entrada. El objetivo declarado del ataque era la obtención de un rescate económico. (Fuentes: Galicia Press; FORLOPD; Cadena de Suministro.)

Basic Fit e Inditex, 2026. La cadena de gimnasios low-cost Basic Fit confirmó un acceso no autorizado a su base de datos de clientes que afectó a más de 4,5 millones de usuarios en España, Francia y Alemania. En el caso de Inditex, la compañía reportó una brecha originada por un proveedor externo, subrayando que sus sistemas y operaciones no resultaron afectados directamente. (Fuente: Channel Partner.)

Estos incidentes no son accidentes aislados. Son la expresión concreta de las tendencias que los informes globales llevan meses describiendo: ataques a través de la cadena de suministro, ransomware dirigido a infraestructuras críticas y robo masivo de datos para extorsión diferida.

La IA: el factor que acelera todo

La inteligencia artificial ha entrado de lleno en la ecuación de la ciberseguridad, y lo ha hecho en ambos bandos. Según datos de Check Point para finales de 2025, 1 de cada 27 solicitudes a herramientas de IA generativa en entornos empresariales suponía un alto riesgo de filtración de datos sensibles, y el 91% de las organizaciones que utilizaban herramientas de GenAI experimentaron actividad de solicitudes de alto riesgo.

El 25% de las solicitudes contenían información potencialmente sensible o confidencial.

En el lado ofensivo, la IA está siendo usada para crear campañas de phishing multilingüe y altamente personalizadas, generar código malicioso, desplegar sitios web falsos de forma masiva y producir deepfakes de voz y vídeo para suplantación. Herramientas como FraudGPT o WormGPT han democratizado capacidades que antes requerían atacantes técnicamente sofisticados.

En el lado defensivo, la IA permite detección y respuesta automatizada ante incidentes (XDR, EDR), análisis de comportamiento de usuarios en tiempo real y correlación de alertas a una escala que ningún equipo humano podría abordar manualmente.

El informe de INCIBE destaca que, a nivel global, más de 28 millones de ciberataques en 2025 estuvieron impulsados por inteligencia artificial, con el 87% de las empresas afectadas por incidentes potenciados por esta tecnología. (Fuente: datos compilados por INCIBE.)

El marco normativo: NIS2 pendiente, ENS vigente, y una anomalía europea que dura demasiado

El retraso de España con NIS2

La Directiva NIS2 (Directiva UE 2022/2555) tenía fecha límite de transposición para los Estados miembros el 17 de octubre de 2024. España no llegó. No solo no llegó: a mediados de 2026, la ley definitiva todavía no ha sido publicada en el BOE.

El recorrido legislativo ha sido lento. El Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad el 14 de enero de 2025, a propuesta conjunta de los ministerios del Interior, Defensa y Transformación Digital. El texto pasó a fase de audiencia e información pública entre enero y febrero de 2025. En mayo de 2025, la Comisión Europea envió un dictamen motivado a España por el retraso, lo que podría derivar en una demanda ante el Tribunal de Justicia de la UE con multas coercitivas al Estado. A principios de 2026, el proyecto de ley recibió la calificación de urgente para acelerar su tramitación parlamentaria, pero a fecha de marzo de 2026 aún no había completado el proceso legislativo. (Fuentes: NIS-2-Directive.com, actualización 12 de marzo 2026; INCIBE; Delbion.)

Esta situación genera una doble paradoja. Por un lado, la directiva es vinculante a nivel europeo desde enero de 2023, por lo que la ausencia de transposición no exime de responsabilidad a las organizaciones afectadas. Por otro, la falta de una ley nacional aprobada mantiene a miles de empresas en una incertidumbre jurídica real sobre el alcance exacto de sus obligaciones.

Lo que sí es conocido del texto en tramitación es relevante: se crea un Centro Nacional de Ciberseguridad (CNC), adscrito a la Presidencia del Gobierno, que asumirá la coordinación de la política nacional de ciberseguridad y actuará como punto de contacto único ante la UE y ENISA. Esta figura busca resolver la fragmentación institucional que la Comisión Mixta de Seguridad Nacional identificó en su diagnóstico de febrero de 2026: CCN-CERT, INCIBE, Ciberdefensa y los cuerpos policiales operando sin coordinación centralizada.

El régimen sancionador previsto en NIS2 ,y que la futura ley española incorporará, es de los más severos del panorama regulatorio europeo: hasta 10 millones de euros o el 2% de la facturación global para entidades esenciales; hasta 7 millones o el 1,4% de la facturación para entidades importantes. Además, los órganos de dirección asumen responsabilidad personal directa: podrán ser inhabilitados temporalmente si se demuestra negligencia grave.

Se calcula que NIS2 amplía el número de organizaciones afectadas en la UE de unas 15.000 (con NIS1) a más de 160.000. En España, la estimación es de más de 5.760 entidades directamente obligadas.

El ENS: el marco vigente que no espera

Mientras NIS2 termina de tramitarse, el Esquema Nacional de Seguridad (Real Decreto 311/2022) sigue siendo el marco de referencia obligatorio para las administraciones públicas españolas y sus proveedores tecnológicos. Sus requisitos en materia de control de accesos privilegiados, monitorización continua, trazabilidad de acciones y gestión de credenciales no son nuevos, pero su aplicación práctica sigue siendo desigual, especialmente en ayuntamientos y organismos de menor tamaño.

El CCN-CERT opera actualmente 48 sondas de su Sistema de Alerta Temprana para Sistemas de Control Industrial (SAT-ICS), distribuidas estratégicamente por el territorio español, con cobertura a 38 organismos adheridos pertenecientes tanto al sector público como a empresas de interés estratégico. (Fuente: CCN-CERT.)

El sector que defiende: un mercado de 6.351 millones de euros

La amenaza ha creado su contrapartida. El Estudio sobre la industria de la ciberseguridad en España 2025, elaborado por INCIBE y CONETIC a partir del análisis de más de 500 empresas y presentado en León el 18 de marzo de 2026, ofrece la radiografía más completa disponible del sector defensor español.

Las cifras principales:

• 6.351 millones de euros de facturación en 2024, equivalentes al 4,65% del total del sector TIC español. El mercado ha crecido un 70% desde 2020.
• 164.761 profesionales empleados en ciberseguridad, el 25,55% del empleo total del sector TIC. Entre 2021 y 2025, el empleo creció un 35,14%.
• 3.430 empresas activas, de las cuales el 45% son microempresas y solo el 5% grandes corporaciones. En los últimos cinco años se han creado 403 nuevas compañías, que ya concentran el 12% de la facturación.
• España es el cuarto mercado europeo de ciberseguridad, con el 12% de la facturación continental y el 2,8% de la mundial.
• Proyección de crecimiento anual del 14,25% entre 2026 y 2029, lo que llevaría el sector a cerca de 282.000 empleos al final del periodo.

(Fuentes: INCIBE/CONETIC, Estudio sobre la industria de la ciberseguridad en España 2025, presentado el 18 de marzo de 2026)

3.000 millones de euros en 2026

El Observatorio DBK de Informa confirma por su parte que el mercado de productos y servicios de ciberseguridad en España, que facturó 2.500 millones de euros en 2024, superará los 3.000 millones de euros en 2026, con dos tercios del negocio en servicios y el tercio restante en software y hardware. (Fuente: Observatorio Sectorial DBK, Informa.)

En cuanto a inversión pública, el Plan de Defensa 2025 destinó 3.262 millones de euros a tecnología y ciberseguridad, con una partida adicional de 1.157 millones aprobada específicamente para ciberseguridad y ciberdefensa en mayo de 2025.

El 44,2% de las empresas españolas planea aumentar su inversión en ciberseguridad en 2026, según el estudio de Secure&IT publicado en enero de ese año. El dato tiene una lectura positiva, la conciencia del riesgo crece, pero también una inquietante: el 55,8% restante no prevé incrementarla, a pesar de que el coste medio de un ciberataque para una empresa pequeña oscila entre 35.000 y 80.000 euros, y que detener la actividad empresarial por un ataque puede costar entre 4.000 y 7.500 euros por minuto. (Fuentes: Secure&IT, enero 2026; ESED.)

Brechas que persisten: talento, pymes y OT

El déficit de talento tiene nueva forma

España sigue enfrentando un déficit estructural de profesionales especializados en ciberseguridad, pero en 2026 el problema ha evolucionado. Ya no es principalmente una cuestión de número de profesionales: es una cuestión de habilidades críticas. A ello se suma un reto adicional que el director general de INCIBE, Félix Barrio, identificó en la presentación del estudio sectorial de marzo de 2026 como “una de las mayores lacras” del mercado: la desigualdad de género. Solo el 20% del empleo en ciberseguridad corresponde a mujeres, una brecha que el sector no puede permitirse mantener si quiere cubrir la demanda proyectada.

La externalización de servicios hacia modelos MSP y SOC gestionados está siendo la respuesta práctica al problema: muchas organizaciones optan por partners externos para acceder a capacidades avanzadas sin construir equipos internos desde cero. Esta tendencia, que se acelera en 2026 bajo la presión regulatoria de NIS2, tiene implicaciones en la cadena de responsabilidad que la directiva define con precisión.

Las pymes: el eslabón que soporta la mayor presión

El tejido empresarial español está dominado por pymes, y su situación en materia de ciberseguridad en 2026 es preocupante. El 50% de las pymes españolas sufre algún ciberataque cada año. Los análisis globales del DBIR de Verizon confirmaban en 2025 que las pymes son objetivo casi cuatro veces más frecuente que las grandes organizaciones, y que el ransomware estuvo presente en el 88% de las brechas que las afectaron.

El mercado de ciberseguros refleja esta presión: las primas de ciberseguros alcanzaron en España 190 millones de euros en 2024, un 12% más que el año anterior. El ransomware representa el 41,92% del coste total de las reclamaciones, y son precisamente las empresas con facturación inferior a 50 millones de euros las que registran mayor frecuencia de siniestros.

NIS2 amplía su alcance a entidades con más de 50 empleados o 10 millones de euros de facturación en sectores regulados. Esto significa que miles de pymes que antes operaban sin obligaciones formales de ciberseguridad ahora están dentro del ámbito de la directiva, o lo estarán cuando la ley española la transponga definitivamente.

La convergencia TI/OT: una superficie de ataque que crece sin freno

La digitalización de sectores como la energía, la industria o los servicios públicos ha acelerado la convergencia entre tecnologías de la información y tecnologías de operación. Sistemas que antes funcionaban en redes aisladas están ahora conectados, gestionados remotamente y, con frecuencia, protegidos con herramientas diseñadas exclusivamente para entornos TI convencionales.

El incidente del Puerto de Vigo en marzo de 2026 es un ejemplo preciso de cómo un nodo logístico crítico, el puerto lideró el tráfico de mercancía general de los puertos gallegos en febrero de ese año, con 416.873 toneladas en un solo mes, puede ser atacado en su capa digital con consecuencias que se extienden a la operativa física y a la cadena de suministro. Según un análisis de Cipher, división de ciberseguridad del Grupo Prosegur, los ciberataques a cadenas de suministro se duplicaron en 2025, con un coste medio de 4,33 millones de euros por incidente y un coste global anual estimado de 53.200 millones de dólares. (Fuente: Cipher/Prosegur, recogido por Cadena de Suministro.)

Qué cambia en la respuesta de las organizaciones

De la reacción a la anticipación (aunque con lentitud)

El modelo reactivo, contener, recuperar, analizar, sigue siendo dominante en la mayoría de las organizaciones españolas, pero la presión normativa y el coste creciente de los incidentes están acelerando un cambio de paradigma. Las organizaciones que integran herramientas de detección automatizada y respuesta temprana logran reducir el ciclo de vida de los incidentes de forma sustancial. Según datos de IBM para 2025, el ciclo de vida medio de una brecha descendió a 241 días, el nivel más bajo en nueve años, aunque las brechas que superan los 200 días siguen generando impactos económicos y operativos muy superiores. (Fuente: IBM, Cost of a Data Breach Report 2025.)

Zero Trust como dirección de viaje

La tendencia más consolidada en la respuesta defensiva de las organizaciones españolas en 2026 es la migración hacia arquitecturas de confianza cero (Zero Trust). Las VPN y herramientas de acceso remoto siguen siendo vectores críticos por el robo de credenciales y la ausencia de autenticación multifactor, lo que está empujando a un número creciente de organizaciones hacia modelos ZTNA (Zero Trust Network Access) que eliminan la exposición directa de servicios a internet.

La ciberseguridad se consolida, según todos los indicadores, como la segunda prioridad tecnológica de las empresas españolas en 2026, solo por detrás de la inteligencia artificial, con un 17% de las menciones en los planes de inversión TI, según el estudio de LiceoTIC elaborado a partir de 230 respuestas de empresas.

El panorama en perspectiva: lo que queda por resolver

A mediados de 2026, la ciberseguridad en España presenta un doble estado: el sector que defiende es robusto, dinámico y está creciendo a un ritmo sin precedentes; la realidad de las amenazas es igualmente robusta, dinámica y creciente. Entre ambos, hay brechas que no se cierran solo con tecnología.

La fragmentación institucional, diagnosticada públicamente por la Comisión Mixta de Seguridad Nacional en febrero de 2026, es uno de los problemas más urgentes. Sin un Centro Nacional de Ciberseguridad operativo y sin la ley de transposición de NIS2 publicada, la coordinación entre CCN-CERT, INCIBE, Ciberdefensa y los cuerpos policiales sigue siendo más difícil de lo que debería.

La brecha de madurez entre grandes corporaciones y pymes es el segundo problema estructural. Las cifras del sector muestran una industria de ciberseguridad fuerte y proyectada internacionalmente, pero sus servicios no llegan con la misma intensidad a las miles de empresas medianas que forman la cadena de suministro de los operadores críticos.

Y la velocidad de adaptación normativa es el tercer desafío. En un entorno donde los atacantes evolucionan en semanas y las leyes tardan años, la brecha temporal entre la amenaza real y el marco que la regula es, en sí misma, un riesgo.

Lo que no está en duda es que la ciberseguridad ha dejado de ser una cuestión técnica para convertirse en una variable estratégica de primer orden: para los gobiernos, que legislan y coordinan; para las empresas, que invierten y sufren los ataques; y para la economía española en su conjunto, que depende cada vez más de infraestructuras digitales que alguien tiene que proteger.