El informe de Excelia parte de una idea central: los incidentes ya no se entienden como fallos técnicos aislados. Su efecto se mide en interrupciones de servicio, exposición de datos, impacto operativo y presión regulatoria. La superficie de ataque, además, se amplía por la interconexión digital y por la dependencia de proveedores, lo que convierte la cadena de suministro en una vía frecuente para lograr un daño mayor con menos esfuerzo directo.
En ese contexto, el informe sitúa el ransomware como una de las amenazas más persistentes, pero con un cambio relevante. Aproximadamente el 35% de los incidentes graves se vinculan al ransomware de extorsión de datos, donde el chantaje se centra en la amenaza de publicación más que en el cifrado de sistemas. Este giro busca aumentar la presión sin activar defensas específicas contra el cifrado y eleva el riesgo reputacional para la organización atacada.
Índice de temas
Ingeniería social a escala
El salto cuantitativo más llamativo aparece en la ingeniería social. Los ataques de phishing y smishing registran un crecimiento interanual del 1.265%, asociado al uso de modelos de lenguaje capaces de redactar mensajes con mayor personalización y menos señales evidentes de fraude. Al mismo tiempo, el robo de credenciales mediante infostealers crece un 131%, impulsado por mercados de access-as-a-service que comercializan accesos y cuentas comprometidas. La consecuencia es directa: la identidad y los accesos se convierten en un objetivo prioritario.
El informe también describe un aumento de la visibilidad de los incidentes en Europa por la aplicación de la directiva NIS2. En términos regionales, se registra un incremento del 43,2% en los incidentes reportados respecto a 2024, atribuido en gran parte a la obligatoriedad de notificación. El foco se concentra en infraestructuras críticas, con especial presión sobre energía y telecomunicaciones.
Más presión, más consultas y ataques a administraciones
En España, el documento subraya varios indicadores y casos. Por un lado, señala que España ocupa el 7.º lugar en Europa entre los países más afectados en el periodo julio de 2024–junio de 2025, según el Microsoft Digital Defense Report. Por otro, destaca que el servicio de consultas de INCIBE supera las 114.863 consultas atendidas en 2025, dato que el informe interpreta como termómetro de volumen y preocupación social.
En el apartado de incidentes, el texto recoge un episodio relevante del sector público español en enero de 2025: una brecha en un proveedor externo de servicios TI derivó en la exposición de información sensible vinculada a la Guardia Civil y las Fuerzas Armadas, sin que se comprometieran de forma directa los sistemas nucleares. El informe lo utiliza para señalar fallos en controles exigidos a terceros y en la supervisión de proveedores críticos.
El ámbito municipal aparece como zona de alta fricción. El Ayuntamiento de Badajoz sufrió en abril un ataque de ransomware atribuido a LockBit que paralizó servicios digitales durante días. En agosto, el Ayuntamiento de Elche registró un ataque que dejó inoperativos los sistemas, con suspensión de plazos administrativos y traslado de trámites a atención presencial. Se citan además otros municipios con episodios similares, como Melilla, Níjar, La Rinconada o La Vila Joiosa, lo que apunta a un patrón de vulnerabilidad asociado a recursos limitados y dependencia de proveedores.
Incidentes que muestran un riesgo sistémico
Fuera de España, el informe conecta esta evolución con casos que refuerzan la tesis de impacto sistémico. En Portugal, un ransomware afectó a la Agência para a Modernização Administrativa, con interrupciones en servicios de autenticación digital como Autenticação.Gov y Gov.ID. En el sector financiero y de grandes servicios se citan incidentes vinculados a terceros, y un caso de infraestructura de pagos en Brasil donde un proveedor con acceso a PIX fue comprometido, con transacciones fraudulentas y desconexión temporal por parte del Banco Central.
La inteligencia artificial atraviesa el informe como factor doble. En ofensiva, se mencionan herramientas como WormGPT para generar malware y el auge del vishing automatizado y los deepfakes en fraudes corporativos. En defensiva, se describen enfoques como el triaje automático de alertas y el análisis de comportamiento tipo UEBA para anticipar intrusiones. De cara a 2026, el informe apunta a prioridades como la criptografía post-cuántica, la gestión de exposición a amenazas (CTEM), la consolidación de herramientas, la identidad como nuevo perímetro, la evolución de zero trust y el cumplimiento normativo integrado.
La inversión TIC pública se desplaza hacia continuidad y control del riesgo
El retrato que dibuja el informe encaja con una tendencia visible en la contratación pública: no basta con incorporar tecnología, ahora pesa más asegurar su funcionamiento y su resiliencia. Si se cruzan estas conclusiones con los datos de TendersTool para 2025, el volumen se concentra en partidas que sostienen la operación diaria, como outsourcing IT y mantenimiento, por delante de compras puntuales. Ese patrón es coherente con un escenario en el que el ransomware y el robo de credenciales golpean la continuidad del servicio y obligan a reforzar procesos, respuesta y supervisión.
La conexión es directa en el sector público: el informe insiste en que la superficie de ataque se extiende a proveedores y servicios subcontratados, y que los incidentes ya impactan en plazos, trámites y atención al ciudadano. Esa exposición convierte en prioritarias las inversiones que mejoran gobierno del riesgo, control de terceros y capacidad de recuperación, especialmente con marcos como NIS2 elevando las exigencias de notificación y gestión. El ángulo de valor está en el cambio de criterio: el gasto TIC se entiende cada vez más como seguro operativo frente a interrupciones y pérdida de datos, no como ampliación de catálogo tecnológico.
