Entre octubre y diciembre de 2025 se registraron en España más de 22 millones de incidentes de ciberseguridad en ordenadores de usuarios, sumando amenazas online y ataques locales. Si bajamos el dato a tierra, en un trimestre de 92 días esto equivale a unos 239.457 incidentes diarios, como si cada jornada aparecieran cientos de miles de intentos de colarse por distintas rendijas.
El reparto explica por dónde entran. Por un lado, 9.236.615 detecciones llegaron a través de la navegación web (páginas comprometidas, descargas engañosas o redirecciones). Por otro, 12.793.448 fueron incidentes locales, asociados a dispositivos externos como memorias USB o discos conectados físicamente al equipo. El resultado es una imagen muy reconocible: seguimos moviéndonos entre dos hábitos normales —abrir el navegador y enchufar “cosas”— que, cuando hay un atacante al otro lado, se convierten en autopistas de riesgo.
Navegar, descargar… y caer sin darte cuenta
Que la web sea un vector principal no sorprende, pero sí el “cómo”. Una parte de los ataques no depende de que el usuario decida descargar algo. Hay técnicas que aprovechan vulnerabilidades del navegador o del contenido cargado para iniciar una infección con solo visitar un sitio comprometido. Es la lógica del drive-by download: no hace falta pulsar “descargar” ni abrir un adjunto; a veces basta con pasar por la puerta equivocada.
La metáfora más útil es la de caminar por un pasillo con baldosas sueltas. No tienes que querer caerte: si pisas justo la que está rota, el tropiezo ocurre. En digital, esa baldosa suele ser una combinación de navegador desactualizado, extensiones con permisos excesivos, publicidad maliciosa o una web aparentemente legítima que ha sido comprometida. Lo inquietante es lo cotidiano del escenario: una búsqueda rápida, una web para leer una noticia, un enlace compartido por alguien de confianza.
Este patrón encaja con una tendencia general: el volumen de intentos y campañas se mantiene alto y, en ciertos periodos, crece. No siempre se traduce en infecciones masivas, pero sí en presión constante: cuanto más se prueba, más probable es que alguien pise la baldosa suelta.
USB y dispositivos externos: la llave prestada que no siempre vuelve
El otro gran bloque del trimestre llega desde el mundo “físico”: los incidentes locales. Aquí la comparación más clara es la de prestar las llaves de casa. Un USB que pasa de un ordenador a otro puede transportar algo que no se ve, y el gesto suele ser automático: conectar, abrir, copiar archivos, expulsar. Cuando esa rutina se repite en casa, en la oficina o en un entorno educativo, el riesgo se mueve como un resfriado: sin intención, pero con eficacia.
Este vector es especialmente delicado cuando se mezclan equipos personales y profesionales, o cuando hay dispositivos “de batalla” que han pasado por demasiadas manos. También influye el tipo de uso: copias rápidas, intercambio de documentos, presentaciones, impresiones, traslado de fotos, todo lo que en la práctica invita a “enchufar y listo”. El problema es que los atacantes llevan años aprovechando ese impulso.
Cuando el malware no deja huellas: el auge del malware sin archivos
Uno de los puntos más preocupantes del panorama reciente es el crecimiento del malware sin archivos o fileless. En lugar de instalarse como un programa típico que deja un archivo claro en el disco, estas amenazas operan en la memoria del sistema o se apoyan en herramientas legítimas del propio ordenador. Es una forma de moverse “sin pisar el suelo mojado”, dejando menos huellas para los métodos tradicionales que buscan firmas conocidas en archivos.
Por eso gana peso la detección basada en análisis de comportamiento. Si no hay un archivo evidente que señalar, lo que delata al ataque es la conducta: procesos que actúan raro, conexiones inusuales, cadenas de ejecución extrañas, intentos de elevar privilegios o de persistir sin motivo legítimo.
Pensado en clave cotidiana: es como intentar identificar a un carterista en el metro. No lleva un objeto “prohibido” visible, se camufla entre la gente y aprovecha despistes. Detectarlo no depende de ver un arma, sino de observar patrones.
Ingeniería social: el ataque que entra por la confianza
Junto a lo técnico, el factor humano sigue siendo una pieza central. La ingeniería social se apoya en la confianza, la prisa y el cansancio. En la práctica adopta formas muy conocidas: falsas facturas, currículums “urgentes”, avisos de paquetería, supuestas alertas del banco, mensajes que empujan a instalar un “visor” o una “actualización necesaria”. El objetivo es que el usuario haga el último paso: descargar, abrir o introducir credenciales.
Conviene decirlo sin juicio: caer no es “ser ingenuo”, es estar expuesto en el momento exacto. Los atacantes diseñan mensajes para parecer plausibles y llegar cuando la cabeza está en otra cosa. Es el equivalente digital a alguien que te aborda con un uniforme convincente y un tono de urgencia: el cerebro busca terminar rápido y seguir con el día.
Qué significan los porcentajes y los rankings del trimestre
En el trimestre analizado, alrededor de un 14,7% de los usuarios se vio afectado por ciberataques online, situando a España en el puesto 71 en un ranking global relacionado con amenazas vinculadas a la navegación. En ataques locales, el porcentaje fue 14,8%, con España en el puesto 112.
Estos porcentajes suelen malinterpretarse. No significan “que el 14,7% de la población fue hackeada”, sino que, dentro del conjunto de usuarios medidos por esa metodología, ese porcentaje encontró amenazas bloqueadas o detectadas en el periodo. Aun así, que ambas cifras sean tan parecidas refuerza una idea práctica: la presión llega tanto por la web como por el entorno local, y conviene tratar ambas puertas como entradas reales.
Por qué la defensa se está moviendo hacia la Inteligencia Artificial
La combinación de ataques silenciosos y campañas masivas explica por qué se insiste en tecnologías de Inteligencia Artificial y detección en tiempo real. Cuando un atacante cambia de táctica con rapidez y evita dejar rastros, la pregunta deja de ser “¿se parece a algo conocido?” y pasa a ser “¿se comporta como algo peligroso?”. En ese enfoque, la protección se parece menos a un candado único y más a un portero atento: observa quién entra, por dónde, a qué hora, qué intenta hacer y si su comportamiento encaja con lo normal.
La IA aplicada a ciberseguridad no es magia, pero sí un refuerzo útil cuando el volumen es enorme y los engaños se refinan. En lugar de confiar solo en listas estáticas de amenazas, se incorporan modelos capaces de detectar anomalías y correlacionar señales, algo especialmente valioso frente al fileless y las campañas de ingeniería social que mutan en cada envío.
Hábitos realistas que reducen exposición sin vivir con miedo
Con números tan altos, lo importante es adoptar medidas que quepan en la vida real. En navegación, reduce riesgo mantener navegador y extensiones al día, desconfiar de descargas “demasiado oportunas” y evitar instalaciones desde fuentes dudosas. En el frente local, ayuda tratar cualquier USB como si fuera una bolsa prestada: antes de abrirla, revisa; separa dispositivos de uso personal y profesional cuando sea posible; evita que el sistema ejecute automáticamente contenidos al conectar un dispositivo.
En paralelo, el mejor antídoto contra la ingeniería social es una pausa breve. Respirar antes de abrir un archivo inesperado, verificar remitentes con calma, confirmar por otro canal cuando un mensaje pide urgencia o datos sensibles. No se trata de vivir con miedo, sino de aplicar el mismo reflejo que usamos al cruzar una calle: mirar a ambos lados.