La superficie de riesgo digital en España está creciendo a un ritmo inquietante en ciberataques. Las páginas web, especialmente las gestionadas por pequeños negocios, administraciones locales o proyectos que no reciben mantenimiento constante, se han convertido en uno de los vectores más vulnerables del ecosistema digital. La diana perfecta para los ciberataques.
La falta de actualización tecnológica, unida al incremento de ataques automatizados, ha provocado que miles de sitios queden expuestos sin que sus propietarios sean realmente conscientes del peligro.
En este contexto, el lenguaje de programación PHP —base de funcionamiento de gran parte de las webs del mundo— se ha convertido en un elemento crítico. Su ciclo de vida exige actualizaciones regulares, y el fin de soporte de versiones antiguas está generando un volumen creciente de portales desprotegidos. España, con un número elevado de páginas activas, afronta un escenario especialmente sensible de cara al inicio de 2026.
Un volumen creciente de webs vulnerables
Según cálculos de cdmon, empresa líder en hosting y almacenamiento web, España cuenta entre 1,1 y 3 millones de sitios registrados. De ellos, aproximadamente entre 800.000 y 1,2 millones presentan vulnerabilidades graves debido al uso de versiones obsoletas de PHP.
En palabras de la propia compañía, “en todo el mundo hay alrededor de 1.400 millones de webs y el 40% de ellas están expuestas”. Este porcentaje se replica en el mercado español y, lo más preocupante, tiende al alza.
Las brechas asociadas a PHP se deben al abandono progresivo de versiones antiguas, que dejan de recibir parches de seguridad al llegar a su fase de End of Life. A pesar de que cada año se introduce una nueva versión adaptada a las necesidades digitales actuales, muchos administradores de sitios web no realizan la actualización correspondiente. Esta falta de mantenimiento abre la puerta a ciberataques como el robo de credenciales, el acceso a bases de datos, la suplantación de identidad o la filtración de información sensible hacia entornos ilícitos de la red.
Un cambio de año decisivo para la seguridad web
El 1 de enero de 2026 marca un punto crítico en ciberataques para miles de portales. Ese día quedarán definitivamente sin soporte varias versiones previas de PHP, lo que multiplicará el número de webs en riesgo.
David Blanch, director digital de cdmon, advierte que “de acuerdo con nuestros datos, entre el 50% y el 60% de las páginas españolas van a estar desprotegidas ya que habrá muchos más sitios que siguen con el PHP obsoleto”. Esto podría situar la cifra de webs vulnerables cerca de los dos millones en España.
A escala global, el diagnóstico no es más optimista. La compañía confirma que alrededor del 40% de los portales activos en el mundo operan con versiones antiguas de PHP. Dado que cada segundo se crean tres sitios web nuevos —según datos de Siteefy— el problema de seguridad se amplifica si las plataformas nacen sin mecanismos básicos de actualización o mantenimiento.
Qué implica no actualizar PHP para los ciberataques
PHP es un lenguaje que soporta CMS populares como WordPress, Drupal o Joomla, y millones de páginas personalizadas. Su papel central implica que cualquier vulnerabilidad afecta directamente a la integridad del sitio web y de los datos contenidos en él. Cuando una versión queda fuera de soporte, los atacantes pueden aprovechar vulnerabilidades conocidas y documentadas públicamente.
Blanch lo resume con un ejemplo sencillo: “del mismo modo que Windows 10 deja de recibir soportes de seguridad y eso deja expuestos a los equipos que no actualicen, sucede lo mismo con el entorno web”. Sin los parches adecuados, los sitios pueden quedar abiertos a intrusiones que permiten robar información de clientes, interceptar pagos, manipular bases de datos o ejecutar código malicioso sin que el propietario sea consciente.
Estas amenazas no requieren necesariamente un adversario sofisticado. Muchos ciberataques se producen de forma automatizada a través de bots que rastrean la red en busca de versiones antiguas de PHP, lo que multiplica la probabilidad de explotación en webs pequeñas o desatendidas.
El despliegue de PHP 8.5 y el papel del hosting en los ciberataques
Para afrontar este riesgo, cdmon ha implementado de forma inmediata el nuevo protocolo PHP 8.5 en toda su red de servidores. La empresa destaca que sus sistemas de inteligencia artificial y automatización han permitido completar este despliegue el mismo día de lanzamiento, agilizando un proceso que suele extenderse durante meses en otros proveedores.
No obstante, la responsabilidad final recae en los propietarios de los sitios. Tal como recuerda Blanch, “una vez que PHP está desplegado y funcionando, son los propios usuarios quienes deben actualizar la versión”. En la mayoría de casos, la transición es sencilla si la web está al día, aunque aquellos sin conocimientos técnicos pueden recurrir al servicio de asistencia de la compañía.
La advertencia es clara: mantener PHP actualizado ya no es una opción, sino un requisito esencial para garantizar la seguridad mínima de cualquier proyecto en internet y evitar ciberataques. Con el incremento previsto de webs vulnerables en 2026, la necesidad de una cultura de mantenimiento y actualización constante se vuelve urgente para evitar un escenario de riesgo sistémico en el ecosistema digital español.
