El mapa sectorial del ciberataque se ha vuelto más amplio, más intenso y menos predecible. A nivel global, educación volvió a ser el sector más atacado en agosto de 2025, con una media de 4.178 ciberataques semanales por organización educativa, seguido de telecomunicaciones (2.992) e instituciones gubernamentales (2.634). En España, en ese mismo periodo, los sectores más atacados fueron las administraciones, bienes y servicios de consumo, telecomunicaciones e industria manufacturera, según datos de Qaracter, consultora tecnológica española especializada en el sector financiero y asegurador.

A esta presión sectorial se suma un contexto general de fuerte crecimiento de la amenaza. INCIBE gestionó 122.223 incidentes de ciberseguridad en 2025, lo que supone un 26% más que en 2024. Además, el fraude online representó 45.445 casos, un 19% más interanual, y el phishing volvió a liderar esta tipología con 25.133 incidentes.

El liderazgo global ya no está solo en finanzas

La foto internacional muestra un cambio relevante en la jerarquía del riesgo. Aunque los servicios financieros siguen siendo un objetivo crítico para los atacantes, el liderazgo global más reciente por volumen semanal de ataques por organización se desplaza hacia educación, telecomunicaciones y gobierno, tres sectores en los que la interrupción del servicio genera una elevada capacidad de presión operativa y reputacional. Además, Check Point subraya que la agricultura fue el sector con mayor crecimiento interanual, con 1.667 ataques semanales por organización y una subida del 101%, lo que refuerza la idea de que el ciberriesgo se está expandiendo a nuevas áreas de la economía real.

España dibuja una geografía propia del riesgo

En el caso español, el patrón sectorial también rompe tópicos. Junto a telecomunicaciones, aparecen entre los sectores más atacados las administraciones, el consumo y la industria manufacturera, lo que confirma que la exposición ya no depende solo del grado de digitalización, sino también de la dependencia operativa, la capilaridad tecnológica y la posición del sector en cadenas de suministro críticas. En agosto de 2025, España registró una media de 2.024 ciberataques semanales, un 16% más que en el mismo mes de 2024.

Banca sigue siendo crítica en la infraestructura esencial

Si se observa el ámbito de los operadores esenciales e importantes, la relevancia del sector financiero se mantiene con fuerza. De los 401 incidentes atendidos por INCIBE en 2025 en este perímetro, banca concentró el 34%, seguida de transporte (14%), energía (8%), infraestructuras de los mercados financieros (7%) y aseguradoras y fondos de pensiones (6%). Esta fotografía confirma que, aunque el riesgo se ha ensanchado, las actividades críticas para el funcionamiento de la sociedad siguen bajo una presión especialmente alta.

Más volumen, más sofisticación, más exigencia

Los indicadores recientes apuntan, además, a una intensificación de la amenaza. Check Point registró en agosto de 2025 531 ataques de ransomware denunciados, un 14% más interanual. En paralelo, INCIBE señala que el malware siguió siendo la tipología más frecuente en 2025, con 55.411 casos, incluidos 392 ataques de ransomware. Este escenario se ve agravado por la extensión del fraude, el peso creciente de la ingeniería social y la explotación de dispositivos conectados: INCIBE estima que el 85% de los sistemas infectados y controlados remotamente por ciberdelincuentes estaban relacionados con dispositivos IoT.

La ventaja estará en quién resiste mejor

Para Qaracter, esta nueva geografía del riesgo obliga a una respuesta sectorial más precisa. No afrontan los mismos retos una administración pública, una teleco, una entidad financiera o una planta industrial. Pero todas comparten la misma exigencia: reforzar prevención, endurecer la supervisión de terceros, ensayar continuidad operativa y profesionalizar la respuesta al incidente.

“Lo decisivo ya no es solo qué sector recibe más ataques, sino qué organizaciones están mejor preparadas para absorber el impacto, contenerlo y seguir operando. Ahí se va a jugar una parte creciente de la competitividad empresarial en los próximos años”, añade Enrique Galván, CEO de Qaracter.

El nuevo mapa del ciberataque refleja una doble realidad, por un lado, los sectores esenciales y de alta exposición digital siguen siendo prioritarios para los atacantes; por otro, la amenaza se está extendiendo hacia actividades en las que una interrupción operativa puede generar un alto efecto dominó. Eso convierte la resiliencia sectorial en una prioridad estratégica para 2026, especialmente en un entorno marcado por mayores exigencias regulatorias y una presión creciente sobre infraestructuras críticas.