ActualidadEl tiempo estimado de lectura es de 4 minutos

Casi el 40% de los ciberataques globales en 2025 se dirigen a gobiernos y entidades públicas

Arantxa Herranz
Comparte la noticia

El Microsoft Digital Defense Report 2025 pone de relieve que gobiernos y entidades públicas se han convertido en uno de los blancos más codiciados por los actores de amenaza a nivel global.

El Microsoft Digital Defense Report pone de manifiesto que las entidades públicas siguen siendo objetivo prioritario de los ataques

Las cifras son contundentes: los organismos gubernamentales y los servicios públicos concentran el 17% de los ciberataques detectados en los últimos meses, situándose junto con el sector tecnológico como los más afectados por la actividad maliciosa a escala mundial. Este dato adquiere aún más relevancia si se tiene en cuenta que buena parte de estas entidades operan con infraestructuras críticas y sistemas heredados, muchas veces con recursos técnicos limitados y equipos de respuesta pequeños, lo que los convierte en objetivos de alto valor tanto para ciberdelincuentes como para actores estatales.

La motivación más frecuente no es el espionaje, sino el beneficio económico. Más de la mitad de los ataques con motivo identificado tuvieron fines financieros, como extorsión o ransomware, mientras apenas un 4% respondieron a intereses puramente de espionaje. Mientras, los ataques auspiciados por Estados nacionales siguen siendo los de mayor alcance estratégico, y el estudio identifica un aumento tangible en la actividad de actores vinculados con Rusia, China, Irán y Corea del Norte.

En el caso de Rusia, el informe subraya un cambio relevante: aunque Ucrania sigue siendo su foco principal (representa el 25% de todas las operaciones rusas detectadas), Moscú ha ampliado su radio de acción hacia países miembros de la OTAN, incluyendo objetivos gubernamentales en Europa occidental. En conjunto, el 25% de sus ciberataques se dirigen contra instituciones públicas, desde ministerios y organismos de defensa hasta entidades municipales más pequeñas, utilizadas como puntos de entrada hacia redes mayores.

Para quienes gestionan la tecnología en administraciones españolas, esto tiene implicaciones claras: los organismos de tamaño medio o local son principios de vulnerabilidad que pueden ser explotados en operaciones más amplias. La estrategia rusa combina técnica y oportunidad: menos operaciones sofisticadas y más uso del ecosistema criminal, recurriendo a herramientas, servidores y malware comercial para disimular su autoría y saturar la capacidad de detección de redes nacionales.

China, por su part, mantiene su posición como el actor con mayor escala operativa, concentrando sus esfuerzos en espionaje a gran escala contra ministerios, gobiernos locales y aliados estratégicos de potencias occidentales. Sus operaciones, que suponen cerca del 10% de las campañas dirigidas al ámbito público, buscan la recolección sistemática de información política, tecnológica y económica que le confiera ventaja geopolítica. De forma paralela, el país asiático ha reforzado la colaboración con entidades civiles y universidades para investigar vulnerabilidades y mantener redes encubiertas de infraestructura, consolidando un modelo estatal que mezcla el espionaje clásico con los nuevos métodos de intrusión y manipulación de inteligencia artificial.

Irán, en cambio, sigue centrando su actividad en Oriente Medio, aunque ha expandido sus operaciones hacia instituciones gubernamentales europeas, incluidas varias campañas dirigidas a organismos públicos y de transporte en el continente. Sus ataques a gobiernos implican tanto espionaje como sabotaje selectivo, usando infraestructuras en la nube para el control y persistencia de sus intrusiones.

Algo similar sucede con Corea del Norte, que ha desarrollado una red encubierta de trabajadores informáticos infiltrados en organizaciones extranjeras, cuya actividad sirve tanto para el espionaje como para la financiación del régimen mediante estafas y ransomware.

El uso de la IA

El informe muestra que la expansión del uso de inteligencia artificial, tanto por atacantes como por defensores, redefine la manera en que los gobiernos deben protegerse.

Los atacantes emplean IA para falsificar identidades, acelerar el reconocimiento de sistemas vulnerables y automatizar fases enteras del ataque. Los Estados, en respuesta, necesitan utilizarla para detección anticipada, supervisión continua y análisis predictivo de riesgos, tareas ya inasumibles por equipos humanos sin apoyo algorítmico. 

España aparece como el 14 país más atacado (lista que encabezan Estados Unidos, Reino Unido e Israel) pero comparte con sus vecinos europeos los mismos patrones de amenaza. Las administraciones locales, universidades públicas y centros de investigación se encuentran entre las entidades que muestran mayores debilidades estructurales en seguridad básica.

En ese contexto, la adopción de estrategias de “resiliencia por diseño” se vuelve fundamental. Los ataques destructivos han crecido en entornos de nube en un 87%, y más del 40% de los incidentes de ransomware ya integran componentes híbridos, mezclando infraestructura local y remota. La segmentación de redes, las políticas de acceso condicional y la revisión frecuente de privilegios son pasos necesarios que deberían generalizarse en los organismos públicos.

El informe también hace hincapié en que el perímetro digital de un gobierno ya no se limita a sus infraestructuras directas. Las cadenas de suministro, los proveedores tecnológicos y los servicios subcontratados son ahora puntos vulnerables. Solo en los primeros seis meses del año, un 3% de las intrusiones en el sector público tuvieron origen confirmado en una brecha del ecosistema de proveedores. Auditar a terceros, exigir certificaciones de ciberresiliencia y mantener inventarios de acceso son requisitos operativos que deben integrarse en la cultura de las AAPP españolas para reducir la exposición.

Finalmente, el informe advierte sobre la peligrosa convivencia de intereses entre Estados hostiles y actores criminales privados. La línea entre espionaje y ransomware se difumina, y las operaciones híbridas se aprovechan de vacíos legales y de la falta de cooperación internacional. Por ello, Microsoft recomienda que los gobiernos eleven la gestión del riesgo cibernético al más alto nivel político, lo integren en las estrategias de gobernanza y establezcan protocolos de coordinación real entre administraciones, defensa y sector privado.


Comparte la noticia
Otras noticias
  • Artículos relacionados
  • Más del mismo redactor

Ya puedes descargar totalmente gratis el Nº8 de nuestra revista

Revista número 8 de ByTIC: ¿Qué aporta la tecnología 5G a la Administración Pública?