España se posiciona en el quinto lugar de Europa en cuanto a frecuencia de ciberataques a clientes durante el primer semestre de 2025, situándose en el decimocuarto puesto a nivel mundial, según el último informe de Microsoft. Durante este período, aproximadamente el 5,4% de los clientes afectados por actividades maliciosas en Europa se encontraban en el país. Este panorama refleja una tendencia marcada en el ámbito tecnológico y del cloud computing, donde la motivación económica domina a través de extorsiones y ransomware, la identidad se convierte en el nuevo perímetro de seguridad y la inteligencia artificial (IA) acelera tanto los ataques como las defensas.
El análisis de esta situación es crucial para las empresas que adoptan un enfoque cloud-first, ya sean grandes o pequeñas, delineando una hoja de ruta práctica y priorizada para los años 2025–2026.
El aumento de presión en ciberseguridad se debe principalmente al valor del dato. Los atacantes buscan robar y monetizar información valiosa como PII, credenciales y propiedad intelectual. La extorsión y el ransomware representan más de la mitad de los casos con motivación identificada. Los interrupciones en sistemas son solo el principio; el verdadero impacto llega con filtraciones y multas.
La identidad continua siendo la principal puerta de entrada para los atacantes, con más del 97% de los ataques centrados en contraseñas y credenciales robadas. Los servicios críticos, como sanidad, administraciones locales, educación o transporte, son objetivos prioritarios debido a su impacto social inmediato y su tecnología heredada.
Por otro lado, los estados-nación expanden su actividad con campañas de espionaje e influencia, utilizando infraestructura criminal para ocultar sus huellas. La IA, por su parte, se convierte en un multiplicador de amenazas, automatizando ataques de phishing y refinando la ingeniería social, mientras que en defensa permite detectar patrones en grandes volúmenes de datos.
Para una organización cloud-first, la implementación de medidas como la autenticación multifactor (MFA) resistente al phishing, la gestión de exposiciones y una estrategia de Zero Trust real son fundamentales. Además, se debe priorizar la detección y respuesta unificada y la resiliencia multirregión con pruebas regulares. Proteger el correo y la web también es esencial, ya que siguen siendo vías de entrada comunes.
Las prioridades varían según el tamaño de la empresa. Para las pymes con equipos reducidos, se recomienda implementar MFA, seguridad en el correo y copias de seguridad inmutables, además de asociarse con proveedores de ciberseguridad. Las empresas medianas y grandes deben enfocarse en estrategias identity-first y data-first, mejorando la detección y respuesta, y asegurando la resiliencia.
El éxito en la ciberseguridad no se mide únicamente por la cantidad de herramientas, sino por métricas como el tiempo de respuesta (TTR), el tiempo de permanencia de amenazas, la rapidez de los parches, la implementación de MFA y la verificación de restauraciones.
En resumen, estar preparado marcará la diferencia entre un susto y una crisis, y la clave estará en lo que se diseña, automatiza y ensaya antes de que llegue el próximo lunes a las 9:00.
