SOLICITAR INFORMACIÓN

[ Noticias ]

El Panorama de Ciberamenazas en Castilla y León.

Serie semanal sobre ciberseguridad para empresas de Castilla y León, por ATALIX SOC.

Empezamos por lo más importante: entender el terreno. Antes de hablar de soluciones, controles o inversiones en seguridad, hay que tener una imagen honesta de lo que ocurre hoy en el entorno digital de las empresas españolas y, en particular, de las de nuestra región. Los datos no son alarmistas — son descriptivos. Y lo que describen exige atención.

El entorno de seguridad digital de España se deterioró considerablemente en 2025. El país registró más de 122.000 ciberincidentes en un solo año, un 26% más que el período anterior, con INCIBE gestionando más de 55.000 eventos de malware y 25.000 casos de phishing durante ese tiempo. La infraestructura nacional de detección de ciberseguridad registró más de 263 millones de alertas solo en 2024.

Para las empresas de Castilla y León, una región cuya economía se sustenta en la fabricación de automóviles, la producción agroalimentaria y la logística, estas estadísticas describen un entorno de amenazas activo, en aceleración, y estructuralmente desajustado respecto a las defensas que la mayoría de las empresas regionales tienen actualmente en vigor.

Las Cuatro Amenazas que Definen el Riesgo

  1. El ransomware es el más significativo. España ocupa el tercer lugar en la Unión Europea en reclamaciones por ransomware y brechas de datos, por detrás de Alemania e Italia, y representa el 9,8% de los incidentes a nivel europeo. Los grupos más activos que atacan organizaciones españolas incluyen RansomHub, Akira y Qilin, siendo RansomHub responsable, confirmado o presunto, de más de 500 incidentes en 2024 y de ataques contra más de 200 organizaciones críticas. La mecánica está bien establecida: los atacantes obtienen acceso inicial, se desplazan lateralmente por la red, exfiltran datos y luego cifran los sistemas, un modelo de doble extorsión que genera simultáneamente parálisis operativa y exposición reputacional. Los datos de ENISA muestran que el 68,6% de las intrusiones resultan en una brecha de datos, y que el intervalo entre el acceso inicial y el cifrado puede medirse en horas. Para un proveedor de automoción de Nivel 2 que trabaja con Renault o Michelin sin capacidad de operaciones de seguridad las 24 horas, o para una cooperativa agroalimentaria de temporada que gestiona la logística de la cosecha en su momento de máxima actividad, un incidente de este tipo no es un contratiempo; es un evento existencial.
  1. El phishing y el robo de credenciales sustentan casi todo lo demás. CCN-CERT confirma que el 70% de los ataques contra empresas españolas comienzan con phishing, una cifra coherente con el dato europeo de ENISA del 60%. Lo que ha cambiado de manera drástica es el carácter de esas campañas: a principios de 2025, la ingeniería social impulsada por inteligencia artificial representaba más del 80% de toda la actividad de phishing (ENISA ETL 2025), generando mensajes personalizados y contextualmente plausibles a escala industrial. Las empresas más expuestas en Castilla y León son precisamente las que históricamente no han tenido ni el tamaño ni los recursos para construir funciones de seguridad dedicadas: bodegas familiares, cooperativas agroalimentarias, distribuidores locales — ese 96% de la economía regional que opera con Microsoft 365, equipos ajustados y márgenes que dejan poco margen para la sobrecarga de TI. No es una crítica; es la realidad de gestionar una pyme viable. Pero significa que un único conjunto de credenciales robadas es suficiente para habilitar la toma de control de cuentas, el fraude en pagos a proveedores o el acceso completo a la red. INCIBE registró 3.849 incidentes de robo de datos en España en 2025.
  1. Los ataques a la cadena de suministro representan un riesgo estructuralmente diferente y especialmente grave. CCN-CERT documenta un aumento del 1.900% en esta categoría de ataque desde 2018. El mecanismo es sencillo y devastador: comprometer un proveedor de TI compartido, un proveedor de ERP o un proveedor de servicios gestionados, y heredar acceso simultáneo a todos los clientes intermedios, sin que ninguno de ellos tenga una vulnerabilidad propia. Actores vinculados a estados, como Sandworm de Rusia y Volt Typhoon y UNC5221 de China, son practicantes documentados de este enfoque a nivel estratégico, con UNC5221 confirmado como responsable de comprometer proveedores de telecomunicaciones, fabricantes y empresas aeroespaciales de la UE durante 2024 y 2025. Para Castilla y León, la exposición es concreta. El clúster de automoción en torno a Valladolid integra a más de 40 proveedores de Nivel 2 y Nivel 3 a través de plataformas logísticas y de ERP compartidas. Un único proveedor comprometido otorga a los adversarios acceso simultáneo a todo el clúster.
  1. El hacktivismo y los ataques de denegación de servicio distribuido también han aumentado. España fue el tercer país más atacado del mundo por DDoS en 2024, con NoName057(16), un colectivo hacktivista proruso, responsable del 68% de los ataques contra la administración pública española. Las campañas se coordinan a través de Telegram, se anuncian con 24 a 48 horas de antelación y se sincronizan con eventos geopolíticos. ENISA sitúa los ataques DDoS en el 76,7% de todos los tipos de incidentes en la UE, con NoName057(16) responsable del 71,1% de los ataques al sector bancario.

Para Castilla y León, los puntos de exposición son concretos: la región genera aproximadamente el 12% de la producción energética nacional de España a través de infraestructuras eólicas y solares, y su cadena de suministro agroalimentaria, valorada en más de 10.000 millones de euros, depende de una logística de precisión temporal que no puede absorber interrupciones de varias horas durante las ventanas de despacho de la cosecha sin consecuencias directas sobre los ingresos.

La Dimensión Regulatoria

Lo que convierte un incidente técnico en una emergencia corporativa es el reloj regulatorio. Tanto la Directiva NIS2 como el RGPD imponen un plazo de notificación de brechas de 72 horas desde el momento en que una organización tiene conocimiento del incidente. INCIBE registró casi 4.000 incidentes de robo de datos en España en 2025; la realidad estadística es que las empresas regionales de tamaño medio ya no pueden asumir que atravesarán el entorno de amenazas actual sin un evento notificable. Una organización sin un plan de respuesta a incidentes documentado y probado no está en una posición cómoda — y los reguladores prestan cada vez más atención. Las sanciones del RGPD pueden alcanzar el 4% de la facturación global anual.

Por qué las empresas regionales están expuestas

El desafío fundamental para Castilla y León no es que sus empresas hayan hecho algo mal. Es que el panorama de amenazas ha evolucionado más rápido de lo que cualquier ciclo de inversión razonable podría haber anticipado. El tejido empresarial regional — pymes en sectores con márgenes ajustados, concentración estacional de ingresos y funciones de TI dimensionadas para la operativa normal — se enfrenta ahora a adversarios que se han profesionalizado, industrializado y, en muchos casos, han weaponizado la inteligencia artificial. La brecha no es un fallo de intención. Es una consecuencia de la velocidad.

El volumen y la velocidad aumentan sin pausa. El phishing se ha convertido en el vector de entrada universal, y la IA lo ha hecho efectivo contra organizaciones que antes confiaban en la evidente inverosimilitud de los mensajes fraudulentos producidos en masa. Cada empleado con una cuenta de correo electrónico es una superficie de ataque. Cada relación con un proveedor compartido es un posible punto de entrada lateral. Y cada incidente no resuelto conlleva ahora una consecuencia regulatoria que agrava el daño operativo.

La conclusión es incómoda: para las empresas de tamaño mediano de Castilla y León, la pregunta ya no es si se enfrentarán a un ciberincidente grave, sino si estarán en condiciones de contenerlo cuando llegue.

FUENTES: