España acumula un historial de ciberataques que debería quitar el sueño a más de uno. Desde el hackeo al SEPE en 2021 hasta los ataques a grandes empresas como Telefónica o el Hospital Clínic de Barcelona, los incidentes de ciberseguridad en España dibujan un patrón preocupante: ni las instituciones públicas ni las corporaciones estaban preparadas. Esta cronología repasa los ciberataques en España más graves de la última década, qué falló en cada caso y qué lecciones dejaron. Spoiler: bastantes organizaciones tropezaron con la misma piedra. Dos veces.
2017-2018: WannaCry y el despertar de la ciberseguridad española
El 12 de mayo de 2017, el ransomware WannaCry paralizó medio mundo. En España, Telefónica fue una de las primeras grandes empresas en caer. El malware explotaba la vulnerabilidad EternalBlue (CVE-2017-0144) en sistemas Windows sin parchear, cifró archivos en cientos de equipos de la sede central en Madrid y obligó a los empleados a apagar ordenadores de forma masiva.
Lo irónico: Microsoft había publicado el parche MS17-010 dos meses antes. La infección se propagó porque muchas máquinas internas no lo tenían aplicado. Telefónica resolvió el incidente relativamente rápido, pero el impacto reputacional fue enorme. Una empresa de telecomunicaciones, con miles de ingenieros, pillada con los sistemas desactualizados.
Un año después, en 2018, el Ministerio de Defensa sufrió una intrusión que pasó inadvertida durante semanas. Atacantes accedieron a la red interna (INET) a través de un servidor externo comprometido. El CNI detectó la brecha, pero el tiempo de permanencia del atacante —lo que en ciberseguridad se llama dwell time— dejó en evidencia la monitorización de la red.
2020-2021: el SEPE, Adeslas y el efecto dominó del ransomware
La pandemia aceleró la digitalización, pero también multiplicó la superficie de ataque. Y los ciberdelincuentes lo aprovecharon.
En septiembre de 2020, Adeslas (ahora Segurcaixa Adeslas) recibió un ataque de ransomware que dejó sus sistemas inutilizados durante semanas. Los asegurados no podían pedir citas, los profesionales sanitarios trabajaban con papel y bolígrafo. El atacante usó el ransomware Zeppelin, una variante que llegó probablemente a través de un correo de phishing bien diseñado. La empresa tardó más de un mes en restaurar servicios con normalidad.
Pero el incidente que marcó un antes y un después fue el hackeo al SEPE en marzo de 2021. El Servicio Público de Empleo Estatal, responsable de las prestaciones por desempleo de millones de personas, quedó paralizado por el ransomware Ryuk. Más de 700 oficinas quedaron sin sistema. Las gestiones de prestaciones y subsidios se bloquearon durante semanas, justo cuando España atravesaba una crisis de empleo histórica.
El ciberataque al SEPE expuso problemas estructurales: sistemas legacy sin actualizar, escasa segmentación de red y planes de contingencia insuficientes. Ryuk entró —según las investigaciones— a través de credenciales comprometidas, posiblemente facilitadas por el troyano Emotet o TrickBot. La recuperación completa tardó semanas y el coste se midió en millones de euros y en confianza pública perdida.
Ese mismo año, el Ministerio de Trabajo sufrió otro ataque de ransomware apenas tres meses después del SEPE. Mismo vector, misma familia de malware. Si la primera vez es un susto, la segunda es un patrón.
2021-2023: hospitales, universidades y el Clínic de Barcelona
Los hackeos en España no se limitaron al sector público centralizado. A finales de 2021, la Universidad Autónoma de Barcelona (UAB) sufrió un ataque de ransomware PYSA que tumbó el campus virtual, el correo y los sistemas de gestión. Estudiantes y profesores volvieron temporalmente al papel. La universidad rechazó pagar el rescate —decisión correcta— pero la recuperación llevó meses.
El caso más grave llegó en marzo de 2023: el Hospital Clínic de Barcelona recibió un ataque del grupo RansomHouse. Se cancelaron 150 cirugías no urgentes, 3.000 consultas externas y se derivaron urgencias a otros centros. Los atacantes exfiltraron 4,5 TB de datos, incluyendo historiales clínicos de pacientes. Este ciberataque a una empresa española del sector sanitario demostró que los ataques a infraestructura crítica como hospitales no son hipotéticos: son reales y tienen consecuencias directas sobre la salud de las personas.
RansomHouse publicó parte de los datos robados al no recibir pago. El INCIBE (Instituto Nacional de Ciberseguridad) y los Mossos d'Esquadra investigaron el caso, pero la información filtrada ya era irrecuperable. Un recordatorio brutal de que en ciberseguridad, la prevención no es opcional.
| Año | Objetivo | Malware / Grupo | Impacto |
|---|---|---|---|
| 2017 | Telefónica | WannaCry | Cientos de equipos cifrados, parada operativa |
| 2018 | Ministerio de Defensa | APT (sin atribuir) | Intrusión prolongada en red INET |
| 2020 | Adeslas | Zeppelin | Semanas sin sistema, atención en papel |
| 2021 | SEPE | Ryuk | 700+ oficinas paralizadas, prestaciones bloqueadas |
| 2021 | Ministerio de Trabajo | Ryuk (variante) | Sistemas internos cifrados |
| 2021 | UAB | PYSA | Campus virtual caído meses |
| 2023 | Hospital Clínic BCN | RansomHouse | 150 cirugías canceladas, 4,5 TB filtrados |
Qué tienen en común todos estos incidentes
Si analizas la cronología de incidentes de ciberseguridad en España, los patrones se repiten:
- Phishing como puerta de entrada: la mayoría de ataques de ransomware empezaron con un correo malicioso o credenciales robadas. No hizo falta exploits sofisticados de día cero. Bastó con que un empleado hiciera clic donde no debía.
- Sistemas sin parchear: WannaCry explotó una vulnerabilidad con parche disponible. Ryuk aprovechó infraestructura legacy. El mantenimiento básico hubiera evitado o limitado el daño.
- Segmentación de red deficiente: cuando el malware entraba, se propagaba lateralmente sin resistencia. Si tu red interna es plana, un solo equipo comprometido puede tumbar toda la organización.
- Planes de respuesta insuficientes: las organizaciones tardaban semanas en recuperarse. Sin backups aislados y probados, sin runbooks de incidentes, sin simulacros previos.
- Factor humano: ninguna solución técnica compensa la falta de formación. Los equipos que no hacen simulacros de phishing están jugando a la ruleta rusa con el correo corporativo.
El INCIBE gestionó más de 83.000 incidentes de ciberseguridad en 2023, según su balance anual. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) sitúa el ransomware como la amenaza principal para organizaciones europeas. España no es una excepción; es un ejemplo de libro.
Lecciones que deberían estar ya aplicadas
La Directiva NIS2 de la UE, que los estados miembros deben transponer, endurece las obligaciones de ciberseguridad para entidades esenciales e importantes. En España, el Esquema Nacional de Seguridad (ENS) ya establece un marco para el sector público. Pero una normativa solo sirve si se cumple, y muchos de estos ataques ocurrieron en organizaciones que sobre el papel ya deberían cumplirla.
Las medidas que habrían reducido el impacto de la mayoría de estos hackeos en España no son ciencia ficción:
- Autenticación multifactor (MFA) en todos los accesos remotos y cuentas privilegiadas. Ryuk no hubiera entrado al SEPE con MFA habilitado en las credenciales comprometidas.
- Backups 3-2-1 con copias offline: tres copias, dos soportes, una fuera de la red. Si el backup está conectado al mismo dominio, el ransomware lo cifra también.
- Parcheo con SLA estrictos: vulnerabilidades críticas en menos de 48 horas, altas en menos de una semana. Herramientas como Qualys o Nessus automatizan el descubrimiento.
- Segmentación y Zero Trust: cada servicio en su segmento, con acceso mínimo necesario. Si un equipo cae, que no arrastre al resto.
- Simulacros reales: no vale un documento en un cajón. Ejercicios de tabletop, pruebas de restauración de backups, campañas de phishing simuladas. Si quieres que tu casa inteligente tampoco sea un vector, echa un vistazo a cómo proteger dispositivos IoT y domótica.
Preguntas frecuentes
¿Cuál ha sido el ciberataque más grave en España?
Por impacto social, el ataque de ransomware Ryuk al SEPE en 2021. Afectó a millones de ciudadanos que dependían de prestaciones por desempleo y paralizó más de 700 oficinas durante semanas. Por datos filtrados, el ataque al Hospital Clínic de Barcelona en 2023 —con 4,5 TB de información clínica exfiltrada— es el más preocupante.
¿Cómo entran los ciberdelincuentes en empresas españolas?
El vector más frecuente es el phishing por correo electrónico, seguido de credenciales robadas vendidas en foros de la dark web y vulnerabilidades sin parchear en servicios expuestos a internet (VPN, RDP, Exchange). Puedes verificar si tus credenciales han sido comprometidas en Have I Been Pwned.
¿Qué organismos gestionan los ciberataques en España?
El INCIBE coordina incidentes para ciudadanos y empresas privadas. El CCN-CERT (Centro Criptológico Nacional) protege al sector público. El CNPIC gestiona la protección de infraestructuras críticas. Para denuncias, la Brigada Central de Investigación Tecnológica de la Policía Nacional y el Grupo de Delitos Telemáticos de la Guardia Civil.
¿España está preparada para ciberataques a gran escala?
Mejor que hace cinco años, pero con margen de mejora. La inversión en ciberseguridad ha crecido y el ENS se ha actualizado, pero muchas pymes y administraciones locales siguen con recursos limitados. La transposición de la Directiva NIS2 debería elevar el nivel base, siempre que venga acompañada de presupuesto real.
El siguiente paso
Abre ahora mismo la consola de administración de tu organización y comprueba que la autenticación multifactor está activada en todas las cuentas con privilegios de administrador. Si no lo está, actívala antes de cerrar esta pestaña. Es la medida individual que más ataques habría frenado de los que acabas de leer. Y si algún día recibes el correo sospechoso que inicia la cadena, ten claro qué hacer en los primeros minutos: la velocidad de respuesta marca la diferencia entre un susto y un desastre.
