El ejercicio 2025 confirmó que la exposición digital de las empresas españolas ha entrado en una nueva fase de riesgo estructural. Los ataques ya no son eventos aislados, sino incidentes persistentes que se propagan con rapidez entre sistemas interconectados y cadenas de suministro. En este escenario, la frecuencia de siniestros cibernéticos declarados experimentó un incremento sin precedentes, reflejando tanto la sofisticación de los atacantes como una mayor conciencia empresarial sobre la necesidad de notificar incidentes.
Según el Informe de Siniestros Cibernéticos 2025 presentado por Stoïk, la frecuencia de siniestros cibernéticos entre sus asegurados en España alcanzó casi el 11% en 2025, frente al 4,34% registrado en 2024. Este salto supone un crecimiento del 143% en solo un año.
El dato no solo evidencia una intensificación de las amenazas, sino también una mayor madurez en la cultura de reporte y gestión del riesgo.
“Este aumento no solo se debe a la intensificación de los ataques por parte de los ciberdelincuentes en los últimos tiempos, que cuentan con herramientas cada vez más sofisticadas con las que atacar de manera más rápida y sencilla, sino que las empresas parecen ser cada vez más conscientes de los riesgos cibernéticos”, afirma Juan Ignacio Ramallo, Country Manager de Stoïk en España.
Un entorno de amenazas más persistente e interconectado
El análisis revela que los siniestros cibernéticos ya no se limitan a un único sistema comprometido. Durante 2025 se registraron numerosos casos en los que la intrusión inicial afectó a múltiples equipos y aplicaciones, extendiéndose incluso a proveedores externos. Esta propagación lateral incrementa el impacto operativo y complica la contención.
El informe indica que los equipos de respuesta a incidentes se enfrentaron a escenarios más complejos y coordinados que en ejercicios anteriores. La interconexión entre infraestructuras y la dependencia de servicios en la nube han ampliado la superficie de exposición, lo que explica en parte el incremento de los siniestros cibernéticos.
El correo electrónico, principal vector de entrada
Entre las categorías más relevantes de incidentes en 2025 destaca el compromiso de cuentas de correo electrónico, que representó el 59% de los casos. El correo sigue siendo la puerta de entrada más habitual para los atacantes, ya sea mediante phishing, robo de credenciales o técnicas de suplantación.
A continuación se situaron el compromiso de activos expuestos a Internet, con un 12%, y el compromiso de activos internos, con un 7%. Estas intrusiones, aunque menos frecuentes que el fraude por correo, implican una exposición técnica más amplia y pueden desembocar en siniestros cibernéticos de mayor gravedad.
El ransomware mantuvo una presencia significativa, con un 5% del volumen total de incidentes por categoría. Aunque su frecuencia es menor, su capacidad de paralizar operaciones y generar pérdidas indirectas sigue siendo elevada.
El auge de los infostealers y la automatización del ataque
Uno de los fenómenos más relevantes de 2025 fue la consolidación de los infostealers, programas diseñados para robar credenciales y datos sensibles. Estos códigos maliciosos suelen distribuirse a través de archivos aparentemente legítimos o extensiones de navegador, lo que dificulta su detección.
El uso de inteligencia artificial generativa ha acelerado la creación y adaptación de este tipo de herramientas, permitiendo su despliegue masivo sin que aumente proporcionalmente el esfuerzo del atacante. Este contexto ha contribuido al aumento de los siniestros cibernéticos, especialmente en entornos con controles básicos insuficientes.
Además, la técnica conocida como living off the land, que aprovecha herramientas legítimas del propio sistema para ejecutar acciones maliciosas, se ha vuelto más frecuente. Al integrarse en procesos cotidianos, estas prácticas eluden controles tradicionales y complican la identificación temprana.
“Al integrarse en flujos de trabajo legítimos, los atacantes logran eludir muchos controles de seguridad tradicionales, lo que refuerza la importancia de la monitorización de endpoints y de la formación continua de los usuarios”, explica Ramallo.
Una tendencia que consolida el riesgo como variable estratégica
La tercera edición del Informe de Siniestros Cibernéticos se basa en datos agregados de una cartera de más de 11.000 asegurados europeos. El análisis muestra que el riesgo digital se ha integrado plenamente en la operativa diaria de las organizaciones, desde pymes hasta grandes corporaciones.
“En toda nuestra cartera de clientes, nuestro equipo de respuesta a emergencias informáticas interno se enfrentó a incidentes más complejos, persistentes y conectados entre sí si lo comparamos con años anteriores. Esta aceleración no solo refleja un panorama de amenazas cambiante, sino que pone de manifiesto hasta qué punto el riesgo cibernético está hoy plenamente integrado en las operaciones comerciales diarias de las compañías”, señala Jules Veyrat, CEO y cofundador de Stoïk.
El incremento del 143% en la frecuencia de siniestros cibernéticos no puede interpretarse únicamente como una escalada de ataques. También refleja una mayor profesionalización en la gestión del riesgo y una mayor disposición a activar coberturas aseguradoras ante incidentes que antes podían quedar sin notificación formal.
En 2025, los siniestros cibernéticos dejaron de ser una eventualidad esporádica para convertirse en un componente estructural del entorno empresarial. La combinación de automatización maliciosa, interconexión tecnológica y dependencia digital configura un escenario donde la resiliencia operativa depende cada vez más de la anticipación, la monitorización constante y la capacidad de respuesta coordinada.
