Si el informe del World Economic Forum hablaba de riesgo sistémico global, los datos de España muestran que ese riesgo ya es operativo.

En nuestro artículo anterior analizábamos el contexto internacional a partir del Global Cybersecurity Outlook 2026. Ahora, el Balance de Ciberseguridad 2025 de INCIBE confirma que esa tendencia se materializa en el entorno nacional.

Según INCIBE, en 2025 se gestionaron 122.223 incidentes de ciberseguridad, un 26% más que en 2024, y se detectaron 237.028 sistemas vulnerables :contentReference[oaicite:0]{index=0}. La magnitud ya no es anecdótica: es estructural.

Incidentes más frecuentes: la presión operativa aumenta

El informe refleja un patrón claro:

  • 45.445 incidentes corresponden a fraude online (4 de cada 10) :contentReference[oaicite:1]{index=1}
  • 25.133 incidentes son phishing :contentReference[oaicite:2]{index=2}
  • 55.411 incidentes están relacionados con malware (+45% del total) :contentReference[oaicite:3]{index=3}
  • 392 incidentes fueron ransomware :contentReference[oaicite:4]{index=4}

Especialmente relevante es que el 85% de los sistemas infectados por malware y controlados como botnet están vinculados a dispositivos IoT :contentReference[oaicite:5]{index=5}. Este dato conecta directamente con uno de los riesgos sistémicos: la expansión de la superficie de ataque en entornos cada vez más conectados.

En operación real, esto se traduce en algo muy concreto: más vectores de entrada, más complejidad y mayor dificultad para mantener visibilidad transversal.

Operadores esenciales y NIS2: el marco ya está activo

El informe también señala que 401 operadores esenciales e importantes están alineados con la terminología de la directiva NIS2 :contentReference[oaicite:6]{index=6}. Esto no es un dato estadístico más: implica obligaciones formales de gestión de riesgos, notificación de incidentes y gobernanza de terceros.

La ciberresiliencia ya no es solo una buena práctica técnica. Es una exigencia regulatoria con impacto en dirección, operaciones y arquitectura.

Desde la experiencia operativa, el riesgo suele aparecer cuando:

  • La visibilidad es fragmentada.
  • La gestión de terceros no está integrada en el modelo de riesgo.
  • La recuperación depende de procedimientos no probados.
  • La arquitectura no está diseñada para degradarse de forma controlada.

De los datos a la disciplina operativa

El crecimiento de incidentes, el peso del malware y el fraude online, y la exposición creciente en dispositivos conectados dibujan un escenario donde la prevención por sí sola no es suficiente.

La clave está en combinar:

  • Detección temprana y monitorización continua.
  • Segmentación y reducción de superficie de ataque.
  • Copias verificadas y capacidad real de recuperación.
  • Gobernanza clara sobre proveedores y servicios críticos.

En TeraLevel solemos ver que el problema no es la ausencia de herramientas, sino la falta de coherencia operativa entre arquitectura, seguridad y continuidad de negocio.

Conclusión

El Balance de Ciberseguridad 2025 de INCIBE confirma que el riesgo sistémico descrito a nivel global ya está presente en el entorno español. El aumento de incidentes y la exposición creciente en sectores críticos refuerzan una idea: la ciberresiliencia debe diseñarse y operarse de forma estructural.

En este contexto, marcos como NIS2 y DORA no introducen el riesgo: lo reconocen formalmente y exigen capacidad demostrable para gestionarlo.