La identidad digital de una persona se filtra, de media, en al menos tres brechas de datos

Un nuevo informe de Microsoft, elaborado a partir del análisis de más de 100 billones de señales de seguridad diarias en todo el mundo y la investigación de ciberincidentes entre julio de 2024 y junio de 2025, asegura que España es el 14 país más atacado del mundo, que los datos personales de cada usuario se filtran, de media, en al menos tres incidentes de seguridad y que la Inteligencia Artificial está dibujando un nuevo escenario en materia de seguridad digital, tanto para la defensa como para el ataque.

De hecho, uno de los ejes principales del informe es el doble filo de la inteligencia artificial. Según Amy Hogan, Corporate Vice President, Deputy General Counsel, Customer Security & Trust de la compañía , “la IA es, a la vez, una necesidad defensiva y una nueva diana para los atacantes”. El informe confirma que las capacidades de la IA ya han transformado tanto la escala como la rapidez con la que operan los ciberdelincuentes: la automatización de ataques, el uso de deepfakes, la generación de malware adaptativo o la manipulación avanzada de credenciales son prácticas habituales en 2025.

No obstante, España, como el resto de Europa, no se limita a ser un terreno de juego pasivo. “Estamos en un punto de inflexión en el que las organizaciones deben escalar la ciberseguridad al nivel de las salas de juntas, porque hoy la velocidad y escala de las amenazas no se parecen a nada anterior”, advierte Hogan. La implantación de la IA en sistemas defensivos es crucial, pero la propia IA se convierte en objetivo de ataques mediante técnicas como prompt injection y envenenamiento de datos, generando nuevos riesgos de fuga de información, manipulación de sistemas y daño reputacional.

En paralelo, la cadena de suministro digital es cada vez más un eje de vulnerabilidad clave. “La resiliencia de la cadena de suministro es tan crítica como la propia IA; fallar en los principios básicos de ciberseguridad puede poner en jaque la soberanía digital y los servicios esenciales de un país”, enfatiza la directiva de Microsoft a preguntas de esta redacción. Cada vez es más frecuente que los atacantes exploten debilidades no solo en la organización principal, sino en proveedores, socios tecnológicos y terceros, extendiendo el radio de impacto a toda la economía conectada.

El impacto de este tipo de ataques se ha podido observar recientemente en varios aeropuertos europeos, tras ser atacado el proveedor del sistema de facturación, En otros casos, como el reciente un https://blogs.microsoft.com/on-the-issues/2025/02/27/disrupting-cybercrime-abusing-gen-ai/, contenido en minutos, evitó lo que podría haber generado un colapso comercial internacional. El informe recalca cómo incluso una sola compañía, si es crítica, puede ser el desencadenante de un efecto dominó a escala mundial, y urge a mapear y monitorizar activos en la nube y dependencias externas como parte esencial de la protección nacional.

Rusia y los grandes actores estatales

El informe también aborda cómo la presión geopolítica marca la ciberguerra moderna y constata que Rusia mantiene su posición como uno de los principales focos de ataque a nivel internacional. “Rusia no solo dirige sus ataques a Ucrania; ataca de manera continua infraestructuras en Estados Unidos, empresas tecnológicas y países de la OTAN, incluida España”, detalla Amy Hogan.

Según el informe, los ataques rusos a miembros de la Alianza Atlántica crecieron un 25% en el último año, en un contexto donde Ucrania sigue siendo el país europeo más atacado, pero con una notable expansión de objetivos en el oeste de Europa.

España figura entre los países europeos más frecuentemente objetivo de ataques patrocinados por estados, situándose tras Ucrania, Reino Unido, Alemania y Francia. El sector gubernamental sigue siendo el más golpeado por la ciberactividad, seguido de la tecnología y las instituciones académicas. Hogan resalta el papel de las universidades tanto como punto de interés (por su valor en investigación y propiedad intelectual) como por ser una vía de acceso a otras entidades estratégicas.

Según los resultados de este informe, la diversificación de herramientas y vectores de intrusión (desde el phishing hasta la ingeniería social avanzada y el abuso de cuentas legítimas) hace que “hoy los atacantes ya no fuerzan las puertas; se mimetizan con los usuarios para entrar por rutas legítimas”. Los infostealers han adquirido protagonismo como primera etapa en ataques complejos, y los brokers de acceso venden credenciales sustraídas facilitando intrusiones que pueden culminar en ransomware o extorsión masiva.

El usuario, en el centro

El impacto de la ciberseguridad sobre los usuarios (tanto empleados como ciudadanos) es otro de los focos destacados en las conclusiones.

El informe asegura que los ataques contra credenciales han aumentado un 32% en 2025, con especial incidencia en sectores como la investigación y los servicios públicos. El 97% de los ataques a identidades se realizan mediante técnicas de password spray o fuerza bruta. Además, el 85% de los usuarios afectados por ataques de password spray había sufrido filtraciones previas de credenciales. Tanto que con una misma identidad aparece de media en tres archivos distintos de bases de datos explotadas públicamente.

La consecuencia directa de esta inseguridad digital es que buena parte de incidentes relevantes empiezan no por vulnerabilidades técnicas profundas o exploits sofisticados, sino por errores humanos o hábitos inseguros (como la reutilización de contraseñas, baja rotación de claves o la falta de autenticación multifactor). “La mejor defensa, tanto para empresas como para particulares, sigue siendo la autenticación multifactor”, insiste Hogan, recordando que incluso cuando los atacantes cuentan con las credenciales correctas, esta medida puede impedir el acceso en el 99% de los casos.

España, en el contexto de filtraciones masivas, ocupa un lugar destacado también como víctima de herramientas de robo de credenciales, como Lumma Stealer, uno de los infostealers más prevalentes a nivel mundial este año, y que ha impactado severamente en el ámbito local. Las campañas de malware y robo de identidad muestran la facilidad con la que los datos robados acaban en mercados clandestinos, listos para ser usados en ataques de mayor envergadura o vendidos a terceros, incluidas redes de ransomware.

Retos de futuro y resiliencia colaborativa

Más allá del ataque puntual, el informe refleja una normalización de los incidentes de exfiltración de datos: en el 80% de las intervenciones forenses realizadas, los atacantes accedieron o prepararon para robar datos sensibles. Además, y pese a ese impacto de los ataques que provienen de estados, lo cierto es que la extorsión financiera sigue siendo el principal motor de la mayoría de las acciones criminales en el ciberespacio.

El informe, sin embargo, no entra a valorar el impacto económico directo por la dificultad de cuantificarlo, pero subraya que “la diferencia entre un incidente grave y una mera anécdota depende de la resiliencia: si se cumplen las medidas recomendadas, el daño real puede ser mínimo, aunque el número de ataques se mantenga alto”, sentencia Hogan.

Según defiende, la clave reside en entender la ciberseguridad como una responsabilidad estratégica (tanto en la administración como en la empresa y el entorno personal) e impulsar la colaboración entre sectores e internacionalmente. Como recuerda Amy Hogan, “los ciberdelincuentes colaboran entre sí y cruzan fronteras; nosotros debemos hacer lo mismo para defender nuestros sistemas, ciudadanos y soberanía digital”.