Login Probar gratis
Estadísticas de phishing en España 2026: datos, tendencias y sectores más atacados

Estadísticas de phishing en España 2026: datos, tendencias y sectores más atacados

por MataSpam Phishing y Estafas

Las estadísticas de phishing en España durante 2026 confirman lo que muchos sospechábamos: el fraude por correo electrónico no solo no frena, sino que se sofistica trimestre a trimestre. Los datos de phishing en España recopilados por INCIBE, el CCN-CERT y Europol dibujan un panorama donde las cifras de fraude online baten récords sin pausa.

Las tendencias de phishing en 2026 apuntan a campañas hiperesegmentadas, generadas con IA, que ya no se distinguen a simple vista del correo legítimo. Y los sectores atacados por phishing se han diversificado más allá de la banca: sanidad, logística, administración pública y hasta pymes de menos de diez empleados están en el punto de mira. Aquí van los números, sin edulcorar.

Panorama general: cuántos ataques de phishing se registran en España

INCIBE gestionó más de 83.000 incidentes de ciberseguridad en 2024, y la tendencia al alza se ha mantenido en 2025 y lo que llevamos de 2026. El phishing y sus variantes (smishing, vishing, quishing) representan, según estimaciones del propio organismo, en torno al 35-40% de todos los incidentes reportados por ciudadanos y empresas.

El CCN-CERT, que cubre administraciones públicas, reportó un incremento sostenido de campañas dirigidas contra organismos estatales y autonómicos. España se sitúa de forma recurrente entre los diez países europeos con mayor volumen de fraude online, según los informes anuales de Europol (IOCTA).

Un dato que pasa desapercibido: la mayoría de incidentes no se denuncian. Las cifras oficiales son la punta del iceberg. Muchas pymes absorben el golpe en silencio, ya sea por desconocimiento del proceso de denuncia o por vergüenza.

La Agencia Española de Protección de Datos (AEPD) recibe cada año miles de notificaciones de brechas vinculadas a credenciales robadas mediante phishing, lo que sugiere que el volumen real multiplica las estadísticas públicas.

Sectores más atacados: quién está en el punto de mira

La banca sigue liderando el ranking de suplantaciones, pero la distribución ha cambiado. Estos son los sectores con mayor incidencia según los datos agregados de INCIBE y el Observatorio Nacional de Tecnología y Sociedad (ONTSI):

SectorTipo de ataque predominanteObjetivo principal
Banca y fintechPhishing por email y smishingCredenciales de acceso, códigos OTP
Logística y paqueteríaSmishing (SMS falsos de Correos, SEUR, DHL)Datos de tarjeta, instalación de malware
Administración públicaSpear phishing, suplantación AEAT/Seg. SocialDatos fiscales, credenciales Cl@ve
SanidadPhishing dirigido a personal sanitarioHistoriales clínicos, acceso a sistemas
Pymes y autónomosBEC (Business Email Compromise)Transferencias bancarias, facturas falsas
EducaciónPhishing masivo a cuentas universitariasCredenciales institucionales

El BEC (compromiso del correo empresarial) merece mención aparte. No es phishing masivo: es cirugía. El atacante estudia la empresa, identifica al responsable financiero y envía un email que parece del CEO pidiendo una transferencia urgente.

Según el FBI (IC3 Report), el BEC genera más pérdidas económicas que cualquier otra modalidad de fraude online. En España, la Policía Nacional y la Guardia Civil han desmantelado varias redes especializadas en BEC durante 2025 y 2026.

Si tu empresa maneja datos sensibles o procesa pagos, conviene tener un plan de continuidad de negocio ante ciberataques que contemple específicamente el escenario de phishing exitoso.

Tendencias de phishing en 2026: qué ha cambiado

El phishing de 2026 no se parece al de hace tres años. Estas son las tendencias que marcan la diferencia:

  • IA generativa para redacción de emails: Los correos de phishing ya no tienen faltas de ortografía ni traducciones torpes. Los atacantes usan modelos de lenguaje para generar textos impecables en castellano, catalán, euskera o gallego. La barrera idiomática como señal de alerta ha desaparecido.
  • Quishing (phishing por QR): Códigos QR maliciosos en emails, carteles físicos e incluso multas falsas de aparcamiento. El usuario escanea y aterriza en una web de phishing. INCIBE ha emitido varias alertas específicas sobre esta modalidad.
  • Deepfake de voz (vishing avanzado): Llamadas donde la voz del supuesto director financiero es un clon generado por IA. Varios casos documentados en Europa, algunos con pérdidas de seis cifras.
  • Phishing-as-a-Service (PhaaS): Kits de phishing listos para usar, con panel de control, plantillas de bancos españoles y soporte técnico incluido. Se venden en foros de Telegram por menos de 100€. Europol ha identificado varias plataformas PhaaS que ofrecen plantillas específicas de CaixaBank, BBVA, Santander y Hacienda.
  • Ataques a la cadena de suministro por email: Comprometen a un proveedor legítimo y usan su cuenta de correo real para atacar a sus clientes. El remitente es auténtico, lo que hace la detección extremadamente difícil.

Estas tendencias de phishing en 2026 tienen algo en común: explotan la confianza. Ya no basta con "no abrir emails sospechosos" porque el email parece completamente legítimo. Las defensas técnicas (DMARC, SPF, DKIM, filtros con IA) son imprescindibles, pero no suficientes sin formación continua del equipo.

Si te interesa cómo la IA se está usando también en el lado ofensivo, el artículo sobre ataques adversariales a inteligencia artificial aporta contexto técnico sobre cómo se manipulan estos modelos.

Impacto económico: cuánto cuesta el phishing a empresas y ciudadanos

Cuantificar el impacto total del phishing en España requiere cruzar datos de varias fuentes, y ninguna ofrece una cifra completa. Lo que sabemos:

  • El Banco de España reportó un aumento significativo de reclamaciones por fraude en pagos electrónicos, con el phishing como vector principal. La directiva PSD2 obliga a los bancos a reembolsar en muchos casos, pero el proceso puede alargarse meses.
  • Las cifras de fraude online que maneja la Fiscalía de Criminalidad Informática reflejan un incremento anual sostenido de las diligencias previas por estafa informática (artículo 249 del Código Penal).
  • El coste medio de una brecha de datos en España ronda los 3,5 millones de euros según el informe Cost of a Data Breach de IBM (datos 2024-2025), y el phishing es el vector de entrada más frecuente a nivel global.
  • Para una pyme, un ataque BEC exitoso puede suponer pérdidas de entre 5.000 y 50.000 euros en una sola transferencia. Para un autónomo, puede ser la diferencia entre cerrar o no el trimestre.

Más allá del dinero: el daño reputacional. Cuando un atacante compromete tu cuenta de correo y envía phishing a tus clientes desde tu dirección real, la confianza construida durante años se evapora en un email. Si gestionas la presencia online de tu negocio y quieres blindar aspectos como la visibilidad en buscadores, ten en cuenta que un dominio marcado como emisor de spam pierde posicionamiento de forma fulminante.

Cómo se mide y quién mide: fuentes oficiales de datos de phishing en España

Antes de citar números, conviene saber de dónde salen. Las principales fuentes de datos de phishing en España son:

  1. INCIBE (Instituto Nacional de Ciberseguridad): Publica informes anuales y gestiona el CERT ciudadano. Su línea 017 atiende consultas de ciberseguridad. Fuente más completa para ciudadanos y pymes.
  2. CCN-CERT (Centro Criptológico Nacional): Cubre administraciones públicas y empresas estratégicas. Sus informes de amenazas (serie CCN-CERT IA) son referencia técnica.
  3. AEPD: Registra notificaciones de brechas de seguridad bajo el RGPD. Muchas brechas notificadas tienen origen en phishing.
  4. Europol / ENISA: Informes europeos (IOCTA, Threat Landscape) con datos comparativos entre países.
  5. APWG (Anti-Phishing Working Group): Organización internacional que publica informes trimestrales con estadísticas globales de phishing.

Consejo práctico: si recibes un phishing, repórtalo a INCIBE (incidencias@incibe-cert.es o a través de su web). Cada reporte alimenta las estadísticas y permite alertar antes a otros usuarios. También puedes verificar URLs sospechosas en VirusTotal y comprobar si tus credenciales han sido filtradas en Have I Been Pwned.

Y no te olvides de las estafas que circulan por WhatsApp: el smishing y el phishing por mensajería instantánea crecen al mismo ritmo que el email.

Preguntas frecuentes

¿Cuántos ataques de phishing se producen al día en España?

No existe una cifra diaria oficial exacta. INCIBE gestionó más de 83.000 incidentes de ciberseguridad en 2024, de los cuales el phishing representa aproximadamente un tercio. Eso supone en torno a 70-80 incidentes de phishing reportados al día, pero el volumen real (incluyendo los no denunciados) se estima muy superior.

¿Qué banco español es el más suplantado en campañas de phishing?

CaixaBank, BBVA y Santander aparecen recurrentemente en los avisos de INCIBE y en los kits de Phishing-as-a-Service. La suplantación suele coincidir con periodos de campaña fiscal o cambios en las plataformas de banca online que generan confusión entre usuarios.

¿Dónde puedo denunciar un phishing en España?

Tres vías principales: INCIBE (línea 017, gratuita y confidencial), la Policía Nacional (formulario online en su web o presencialmente) y la Guardia Civil (Grupo de Delitos Telemáticos). Si afecta a datos personales, también puedes notificar a la AEPD.

¿El phishing generado con IA es detectable por los filtros de correo?

Los filtros avanzados (que también usan IA) detectan muchas campañas por patrones técnicos: cabeceras sospechosas, dominios recién registrados, enlaces acortados. Pero el contenido generado por IA es gramaticalmente perfecto, lo que elimina uno de los indicadores clásicos. La combinación de filtros técnicos + formación del usuario sigue siendo la defensa más efectiva.

¿Las pymes españolas están obligadas a reportar ataques de phishing?

Si el phishing provoca una brecha de datos personales, sí. El RGPD (y la LOPDGDD española) obliga a notificar a la AEPD en un plazo máximo de 72 horas. Si además afecta a servicios esenciales, puede aplicar la Directiva NIS2. El incumplimiento conlleva sanciones que pueden superar los 10 millones de euros.

El siguiente paso

Revisa ahora mismo la configuración DMARC de tu dominio. Entra en MXToolbox (mxtoolbox.com), escribe tu dominio y comprueba si tienes una política DMARC publicada con p=reject o al menos p=quarantine. Si aparece p=none o directamente no hay registro DMARC, tu dominio puede ser suplantado para enviar phishing a tus clientes sin que te enteres. Configurar DMARC correctamente junto con SPF y DKIM tarda menos de una hora y cierra una de las puertas más explotadas por los atacantes. Si no sabes por dónde empezar, tu proveedor de hosting o de WordPress profesional debería poder ayudarte con la configuración DNS.

estadísticas phishing datos phishing españa cifras fraude online tendencias phishing 2026 sectores atacados phishing
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Angler phishing: cuentas falsas de soporte en redes sociales que te estafan
Phishing y Estafas

Angler phishing: cuentas falsas de soporte en redes sociales que te estafan

AiTM Phishing: el ataque de proxy inverso que roba sesiones en tiempo real
Phishing y Estafas

AiTM Phishing: el ataque de proxy inverso que roba sesiones en tiempo real

Phishing a través de Google Drive y Docs: archivos compartidos como trampa
Phishing y Estafas

Phishing a través de Google Drive y Docs: archivos compartidos como trampa

← Volver al blog