España se ha vuelto a colar en la lista de los diez países más atacados de Europa por el ‘hacktivismo’, según el ‘Informe de Ciberinteligencia Industrial’ correspondiente al tercer trimestre del año que acaba de publicar ZIUR. Este año la entrada y salida de España de esta lista ha sido constante. Si en el primer trimestre ZIUR alertaba de un “aumento drástico” en la cantidad de ataques registrados hacia entidades del Estado, en el segundo señalaba que España ya no se encontraba entre los países europeos más atacados por esta tipología de actores hostiles. Y, de nuevo, en los meses de julio, agosto y septiembre, el país ha regresado a los primeros puestos. 

Durante este periodo, el ‘hacktivismo’ ha aumentado en Europa y se han contabilizado 4.941 ataques de denegación de servicios exitosos dirigidos a diferentes países, 2.423 más que en el trimestre anterior. En esta ocasión, el país más afectado ha sido Alemania, seguido de Ucrania, Italia, Lituania, República Checa, Francia, Bélgica, Finlandia, Noruega y, en décimo lugar, España. 

En concreto, el Estado ha sufrido una operación llevada a cabo por múltiples grupos ‘hacktivistas’ apodada como #OpMortadelos. Este movimiento forma parte de una campaña mayor denominada #OpSpain y se puso en marcha después de que la Europol publicara una orden de búsqueda y captura contra Enrique Arias Gil —que presuntamente usaba el alias ‘Desinformador Ruso’— por supuestamente facilitar información a un grupo prorruso para lanzar ciberataques contra España. 

Disminuyen las filtraciones y el ransomware

El informe de ZIUR, Centro de Ciberseguridad Industrial de Gipuzkoa perteneciente a la Diputación Foral, destaca también la detección de un total de 41 supuestas filtraciones de datos referentes a organizaciones e instituciones españolas en foros clandestinos y canales de Telegram, 14 menos que en trimestre anterior.  

En lo que respecta al ransomware, durante el segundo trimestre de 2025 se han registrado 1.702 incidentes, un 3,86 % menos que en el periodo anterior. Los cinco grupos más activos han concentrado casi el 43 % de los casos y los sectores más afectados han sido el manufacturero, el tecnológico, el sanitario, el banquero y el de la construcción. Qilin, Akira, Incransom, Play y Safepay se han convertido en los actores más hostiles, ya que entre los cinco reúnen un total de 727 filtraciones, un 42,71% sobre el total.

Por el contrario, lo que sí ha experimentado un ligero incremento es la publicación de vulnerabilidades, alcanzando un total de 12.648 publicadas. En lo que respecta a las específicas de sistemas ICS (Sistemas de Control Industrial), CISA ha notificado un total de 902, más del doble que las publicadas durante el segundo trimestre de 2025. Las vulnerabilidades continúan afectando principalmente a fabricantes de software. 

El ‘Informe de Ciberinteligencia Industrial’ de ZIUR aporta también una serie de recomendaciones a las empresas de Gipuzkoa. Entre ellas, la implementación de políticas de contraseñas robustas, el uso de gestores de contraseñas, la adopción de la autenticación multifactor y la realización de auditorías periódicas, entre otras. ZIUR advierte también de los peligros de los correos de phishing “como vector de entrada común” de los atacantes en las organizaciones y señala que “para mitigar este riesgo se deben desarrollar programas de formación”.