En 2025 muchos ciberataques han logrado acceder a los datos personales de los clientes y usuarios de importantes compañías españolas, aunque en realidad se trate de un fenómeno global.
Hablamos de la aerolínea más importante del país, de dos de los principales bancos nacionales con dimensión internacional y de la división española de un tercero, pero también de una de las operadoras de referencia en servicios de telefonía, internet y contenidos audiovisuales; de la plataforma digital de los grandes almacenes más conocidos y de otra importante cadena de tiendas de moda, de una aseguradora de amplia implantación…
Un listado al que cabría añadir los ataques a ayuntamientos, diputaciones y organismos públicos, destacando en este sentido el ataque de ransomware al consistorio de Badajoz. Pero tampoco se han librado asociaciones de autónomos, colegios profesionales, instituciones educativas y un amplio etcétera.
Además, en 2025 también se han visto comprometidas 16.000 millones de contraseñas de usuarios deGoogle, Facebook, Apple o Telegram, entre otros, por lo que se trataría de un fenómeno transversal, del que se puede sacar como importante conclusión: la importancia de plantear la ciberseguridad a lo largo de toda la cadena de suministro de proveedores, pues en muchas ocasiones los atacantes han explotado la vulnerabilidad del eslabón más débil para conseguir sus objetivos.
La ausencia de alarma social
Pese a su gravedad, estos ataques han tenido un eco muy limitado en los medios de comunicación, y tampoco han provocado alarma social, en una era en la que esta se expande fácilmente por las redes sociales sin necesidad de cobertura periodística.
Contrasta con el lógico impacto que provocan episodios concretos como las llamadas suplantando el número de teléfono real de oficinas bancarias (Vishing), en las que supuestamente desde el propio banco se recomendaba transferir el dinero a una nueva cuenta «segura», dado que las del cliente habían sido comprometidas por un ciberataque, empleándose aquí precisamente como técnica de ingeniería social el miedo a la ciberdelincuencia.
Pero más allá del comprensible alarmismo que generan estos episodios extremos, percibidos como una amenaza inmediata al poder suponer la pérdida de los ahorros de toda una vida, lo cierto es que no existe una percepción equivalente del riesgo asociado a la filtración de datos personales cuando este tipo de filtraciones son, en ocasiones, el punto de partida de estafas como la descrita, al bastar para articularla obtener un listado de clientes de una entidad bancaria con información parcial como el número de teléfono, DNI y la dirección; sin necesidad de acceder a datos más críticos como números de cuenta o contraseñas.
Por más que no todos los incidentes de exfiltración de información personal revistan la misma gravedad, una simple base de datos limitada a correos y nombres ya daría pie a ataques de phishing para recabar aquellos más sensibles: teléfonos, direcciones, número de DNI, e incluso IBAN de cuentas bancarias. Y no hablemos cuando son estos los comprometidos directamente, pues aumenta el riesgo de suplantaciones y fraudes graves como hacer compras o incluso solicitar préstamos a nombre de la víctima en financieras online. Además, cuantos más datos tengan los ciberdelincuentes de una persona más vulnerable será a ataques de ingeniería social diseñados a medida.
Aunque el escenario se agrava más todavía si se han vulnerado credenciales de acceso, tanto porque directamente abren la puerta a las tomas de control de cuentas, con lo que eso puede suponer, como porque de manera indirecta pueden dar lugar a prácticas de credential stuffing, esto es ir probando contraseñas por si han sido reutilizadas en múltiples servicios.
Conviene valorar, además, que el impacto de estas brechas no se limita al momento puntual del incidente: los datos filtrados tienen una vida útil larga, pueden revenderse en la Dark Web, cruzarse con otras bases de datos y reaparecer meses después en nuevas campañas, cuando la percepción de riesgo por parte del usuario alertado en su momento ya se ha diluido.
El año 2025 ha sido especialmente problemático en ciberseguridad, con abundancia de incidentes de exfiltración de información, robo de credenciales e intrusiones en las cadenas de suministro de proveedores, con ataques que han impactado en organismos públicos, infraestructuras críticas, servicios financieros y SaaS.
Importancia de la concienciación
Ante este panorama no vamos a decir que debe cundir el alarmismo, pero sí ha de trasladarse lo preocupante que es la situación en aras de la concienciación general, no solo de gobiernos y organizaciones sino también de la sociedad en su conjunto, cuya percepción del riesgo sigue resultando bastante limitada.
Del mismo modo que ya existe una mayor sensibilidad ante las estafas bancarias o las llamadas fraudulentas de distinta índole, resulta necesaria una concienciación similar en lo que respecta a las exposiciones de datos personales, porque pueden suponer la antesala de ataques encadenados y los peores fraudes.
En último término, se trata de fomentar hábitos digitales más seguros, ante la persistencia de prácticas descorazonadoras como utilizar una misma contraseña para múltiples servicios existiendo herramientas que permiten gestionarlas de manera segura sin renunciar a la comodidad y la rapidez.
Pero también, cabe exigir las máximas garantías a proveedores digitales, por mucho que estos estén sujetos ya a legislación de protección de datos. Y sobre todo, es necesario asumir una cultura de rendición de cuentas cuando se producen incidentes graves de esta naturaleza, aplicable tanto a estas compañías como a los organismos públicos encargados de supervisarlos. Hay que concienciar sobre la importancia de asumir una cultura de prevención en ciberseguridad, un ámbito que nos afecta a todos, en la medida en que, como individuos, empresas o administraciones, tenemos una dimensión digital tan inexorable como vulnerable.