ZIUR, el Centro de Ciberseguridad Industrial de Gipuzkoa perteneciente a la Diputación Foral de Gipuzkoa, alerta de un nuevo incremento de la actividad vinculada al ransomware durante el primer trimestre de 2026. Según el último informe de Ciberinteligencia elaborado por el centro, entre enero y marzo se registraron 2.516 incidentes a nivel global, frente a los 1.951 contabilizados en el trimestre anterior, lo que supone un aumento cercano al 29%. 

El informe confirma además la consolidación de Qilin como el actor más activo del trimestre, tanto a nivel internacional como en el Estado. Junto a grupos como 0apt, TheGentlemen, Akira o Cl0p, concentra buena parte de la actividad detectada. En total, estos cinco grupos acumulan el 42% de las atribuciones registradas durante el periodo analizado. 

En España se registraron 38 incidentes de ransomware, una cifra ligeramente superior a la del trimestre anterior. El sector tecnológico pasó a ocupar la primera posición entre los ámbitos más afectados en el Estado, seguido del manufacturero y el turístico. A nivel global, los sectores manufacturero, tecnológico, sanitario, servicios al consumidor y construcción continúan siendo los principales objetivos de este tipo de ataques. 

“El ransomware mantiene una evolución sostenida y cada vez más adaptada a entornos tecnológicos complejos e industriales”, explica María Penilla, directora de ZIUR. “La combinación de cadenas de suministro interconectadas, servicios expuestos y una creciente sofisticación operativa obliga a reforzar las capacidades preventivas y de monitorización”.

El informe también advierte de que determinadas vulnerabilidades continúan siendo especialmente relevantes para los grupos de ransomware, ya que permiten facilitar accesos iniciales o ampliar el control sobre sistemas comprometidos. Entre ellas destacan fallos críticos detectados durante el trimestre en soluciones de Cisco, Fortinet e Ivanti. 

Repunte del hacktivismo y presión sobre objetivos públicos

La actividad hacktivista también registró un incremento significativo durante el primer trimestre de 2026, con 5.649 ataques de denegación de servicio (DDoS) detectados a nivel global, un 57% más que en el trimestre anterior. Dinamarca, Alemania y Rumanía fueron los países más afectados, mientras que España volvió a situarse entre los diez territorios con mayor afectación. 

ZIUR destaca especialmente el aumento de la presión sobre objetivos institucionales y gubernamentales. Durante febrero se identificó una campaña coordinada de ataques contra portales gubernamentales españoles reivindicada por grupos prorrusos como NoName057(16) y Server Killers. 

“El hacktivismo sigue caracterizándose por ataques relativamente poco sofisticados, pero con una elevada capacidad de generar interrupciones y visibilidad”, señala Penilla. “La creciente exposición de servicios críticos y organismos públicos convierte este tipo de campañas en un riesgo operativo y reputacional relevante”.

El análisis de ZIUR apunta además a que los sectores gubernamental, transporte y municipios concentraron buena parte de los ataques observados durante el trimestre, aunque también se detectó actividad relevante sobre ámbitos vinculados a energía, logística y finanzas. 

Aumento de las filtraciones y de las vulnerabilidades críticas

El informe recoge igualmente un incremento notable de las filtraciones de datos detectadas en foros de la deep web y canales de Telegram. Durante el primer trimestre de 2026 se identificaron 117 supuestas filtraciones relacionadas con España, frente a las 34 registradas en el trimestre anterior. 

La mayor afectación se concentra en la categoría de ciudadanos, seguida del ámbito gubernamental y del sector tecnológico. Entre los casos más relevantes del trimestre figura una supuesta filtración asociada a un organismo público español que habría expuesto datos personales sensibles, incluyendo identificaciones, teléfonos, direcciones o información bancaria. 

Paralelamente, el volumen global de vulnerabilidades publicadas alcanzó las 15.569 durante el trimestre, un 50% más que en el periodo anterior. En entornos industriales (ICS), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) notificó 400 vulnerabilidades, un 90% más respecto al trimestre previo. 

ZIUR concluye que el actual contexto obliga a reforzar la protección de los entornos industriales expuestos a internet, mejorar la segmentación entre redes corporativas y operativas y priorizar la corrección de vulnerabilidades críticas. “La resiliencia industrial pasa hoy por combinar tecnología, procesos y capacidad de anticipación ante amenazas cada vez más dinámicas”, concluye Penilla.