L'any 2024, l'Agència de Ciberseguretat de Catalunya va detectar més de 6.900 milions d'intents de ciberatacs a les organitzacions públiques del Principat. Per posar-nos en perspectiva: aquesta xifra equival a 18,9 milions d'atacs per dia, 788.000 per hora o 219 per segon. "I nosaltres no és que siguem un objectiu prioritari", deixa clar la directora de la institució, Laura Caballero (Barcelona, 1985), "és que estem en un context en què al món hi ha atacs per tot arreu". El nombre d'atacs detectats per l'Agència va créixer un 38% entre 2023 i 2024, i les perspectives actuals no conviden a abaixar la guàrdia: en els dos primers mesos de 2026, l'entitat ja ha detectat 1.536 milions d'atacs. L'auge de la intel·ligència artificial generativa és un dels grans responsables d'aquest repunt, ja que permet als ciberdelinqüents "fer en minuts coses que abans necessitaven hores", un fet que ha disparat el volum de potencials víctimes rendibles, que cada cop han d'afinar més l'ull per combatre la versemblança de les amenaces. Davant d'aquest context, VIA Empresa visita l'Agència per conèixer en boca de la directora la recepta per surfejar aquest tsunami. I sense negar que el món digital d'avui "té molts més riscos" que el de fa només cinc anys, Caballero defuig l'alarmisme, encomana a fer els deures en prevenció i formació i deixa clar que cal combatre el cibercrim amb el mateix instrument que l'ha fet créixer: la tecnologia.
Només el mes de febrer de 2026, l’Agència de Ciberseguretat va detectar 699 milions de ciberatacs. Com són aquestes ofensives i a qui van dirigides principalment?
Són dades que representen el nostre paraigua de cobertura, que inclou els àmbits de la Generalitat de Catalunya, però també salut, les universitats públiques i part de l’administració local. En tots ells comptabilitzem els atacs que es reben. Concretament, són aquells que es poden detectar tecnològicament amb les mesures preventives que tenim, que fan que bloquegin aquests intents. El 2024, per donar xifres de tot l’any, van ser 6.900 milions d’atacs. I nosaltres no és que siguem un objectiu prioritari, és que estem en un context en què al món hi ha atacs per tot arreu. No perquè siguem la Generalitat de Catalunya ens estan atacant més; és extensiu a qualsevol àmbit públic o privat. La realitat és que la ciberamenaça ha crescut moltíssim.
Quines tipologies d'atac són les més habituals?
Hi ha tota mena d’atacs: de negació de servei, d’intrusions sobre el perímetre i sobre la part de xarxa, sobre credencials, directament sobre la infraestructura de processament de dades… i nosaltres tenim diferents eines que identifiquen cadascuna d’elles i les bloquegen. Per sort, dels 699 milions d’atacs del febrer, molt poquets acaben sent realment incidents.
Com es prepara una infraestructura pública que pugui afrontar aquest volum d’ofensives?
Primer de tot, sempre dic que la tecnologia ha de lluitar contra la tecnologia. Tot el que puguis fer amb tecnologia, millor, perquè vol dir preveure; quan tens una capa d’una sèrie d’eines que identifiquen que allò és dolent i t’ho aturen, és molt millor que tenir persones humanes reaccionant. Això vol dir desplegar eines en el perímetre; és a dir, que les coses no estiguin obertes a internet així com així, sinó que d’alguna manera tinguin una capa de protecció.
"La tecnologia ha de lluitar contra la tecnologia"
Però no només ens quedem aquí. La part de prevenció tecnològica és importantíssima, però també la part de prevenció de les persones. Fem molt incís a conscienciar els treballadors públics i a formar-los. Tenim formacions específiques segons el rol dins de l’administració: a les persones que gestionen temes de finances les podem formar en amenaces més orientades als fraus econòmics; als tècnics que treballin directament amb les solucions tecnològiques digitals, els podem formar i donar suport perquè sàpiguen quines mesures i configuracions han de fer perquè, quan despleguin les aplicacions, siguin segures. O que l’empleat públic, que quan rebi un correu o un SMS, sàpiga què ha de fer i què no.
Del total de ciberatacs que es reben, en quin percentatge la lluita es fa abans que les persones intervinguin?
En el 99%. Hauríem de fer càlculs, però… dels 6.900 milions d’atacs que rebem, només 3.372 acaben sent incidents, és a dir, que requereixen alguna intervenció manual.
I des del punt de vista dels ciberdelinqüents, el percentatge és equivalent?
Sí. Cada cop més, tothom utilitza la tecnologia per ser molt més ràpids. Abans, un ciberdelinqüent trigava hores per preparar un atac de certes característiques. Ara, està gairebé industrialitzat: són lots a l’estil de “ransomware as a service”, “malware as a service”... Ja estan fets, cliques un botó i pràcticament ja ho tens fet. Els ciberdelinqüents utilitzen la tecnologia per automatitzar i industrialitzar tot això. Fan que sigui molt fàcil, gairebé sense coneixements, poder perpetrar un atac d’aquestes característiques. L’única manera de contrarestar-ho és no limitar-se només a les persones, sinó també ser molt més eficient amb la tecnologia.
"Abans, un ciberdelinqüent trigava hores per preparar un atac de certes característiques. Ara, està gairebé industrialitzat"
Podem avançar-nos als ciberdelinqüents, o són els atacants qui acostumen a tenir la paella pel mànec?
És difícil de respondre, perquè en molts casos els ciberdelinqüents compten amb una estructura molt més gran que la de molts estats. Són màfies superorganitzades i professionalitzades. Intentem estar d’igual a igual, fer les inversions que calguin a escala catalana per poder estar a la mateixa altura. I al final, com que hi ha tantíssims objectius, si tu fas els teus deures, seràs menys atractiu per a aquest tipus de màfies professionals, perquè els posaràs les coses molt més difícils. També és cert que, en ciberseguretat, el risc zero no existeix: és impossible cobrir-ho tot. Però si fas la teva feina de prevenció i conscienciació, i poses les eines que toca per identificar, monitorar i respondre, l’impacte d’un incident d’aquestes característiques serà molt menor. És una de les coses que estem identificant: estem gestionant més incidents els últims anys, això és una realitat, perquè hi ha més atacs; però aquests incidents són de menys criticitat. Això vol dir que anem madurant i que estem més ben preparats per mitigar les conseqüències d’aquesta classe d’atacs.
Aquest mes de març ha fet tres anys del ciberatac que va paralitzar l’Hospital Clínic el 2023. Aviat farà també quatre anys i mig del patit per la UAB el 2021. Com s’ha blindat l’ecosistema d’institucions públiques després d’aquests dos fets?
Nosaltres vam néixer per protegir l’administració pública catalana, i arran del cas del Clínic, es va accelerar molt la integració dels hospitals. Ara mateix, els 68 hospitals del SISCAT estan sota el nostre paraigua. Com s’interpreta això? Tenim eines desplegades als hospitals, monitoratge, gestió de vulnerabilitats, equips de resposta a incidents, gent monitorant 24/7, gent que analitza possibles riscos i vulnerabilitats… Hem fet un esforç molt gran a integrar tot l'àmbit de salut. Però no hem parat aquí: ara també estem integrant tots els sociosanitaris, centres de salut mental i els CAP. Fins ara, aquestes entitats no estaven dins del model, i les estem integrant dins de l’escut de protecció perquè, per un tema de sensibilitat, són prioritàries. Pel tema de les universitats, des de l’incident de l’Autònoma hem treballat molt amb elles per incorporar-les dins de l’escut. Hi són dins des de fa dos anys, i des d’aquest any estem proveint serveis encara més personalitzats.
Quins serveis reben les administracions i entitats integrades dins de l’escut de protecció de l’Agència de Ciberseguretat?
A grans trets, tot el monitoratge dels elements de seguretat. Tenim una sèrie de sondes que observen què passa, a escala tecnològica, dins d’aquestes entitats, i tenim gent que 24/7 està veient si tot entra dins dels paràmetres normals. Si passa alguna cosa, escala a l’equip de resposta d’incidents, que ho analitza, investiga i determina què ha passat i què hem d’activar. En un moment d’incident i de gestió de crisi, és molt important també involucrar l’entitat, i amb ella veiem quines mesures s’han de prendre per solucionar-ho. I no només la part tecnològica: també integrem l’equip de comunicació per gestionar quin relat es dona, quins missatges, a qui ho hem de comunicar. Saber exactament, pas per pas, com fer-ho. I aquesta és la nostra expertesa: acompanyar en aquests moments de crisi per veure com responem correctament i adequadament. Però la ciberseguretat, en comptes de ser reactiva, cada cop hauria de ser més preventiva, un àmbit que treballem molt. Imagini que ara un hospital treu una pàgina web: els donem suport perquè estigui desenvolupada tenint en compte la ciberseguretat des de l’inici, el que es coneix com a security by design.
Com es preparen els professionals per poder aplicar tot això?
La formació no només inclou la dels perfils, sinó també simulacres per veure com una entitat pot estar preparada en cas d’un incident greu. Fem simulacres de phishing, per veure qui pica i qui no i identificar les necessitats en formació. I una cosa que mai s’explica, perquè no és tan cridanera, és que algú ha de governar tot això: si em dedico a l’àmbit de la salut, he d’entendre el negoci, perquè llavors també entenc els riscos que hi ha. No és el mateix el risc d’un hospital que el del Departament d’Economia i Finances. Tenim persones que s’encarreguen d’identificar quins són els riscos que apliquen a cada entitat per la seva pròpia naturalesa.
Està la ciutadania catalana prou preparada per protegir-se de les amenaces digitals d’avui?
Em sap greu dir-ho així, però jo diria que no. Ningú estem preparats per l’actual context d’amenaces. La ciberestafa, que és on aplica més en l’àmbit de la ciutadania, és el segon delicte més denunciat a Catalunya, segons dades dels Mossos. I això si es denuncia, perquè hi ha molts casos que, pel preu o per la quantia, no es denuncia. Si és el segon delicte és que tenim feina a fer. Això vol dir que no hem estat conscienciats, i que com a ciutadans i ciutadanes no ho hem parat abans.
I les empreses?
Tampoc. Fa uns anys, quan un ciberdelinqüent es plantejava atacar una empresa, què feia? No anava a una empresa petita, perquè s’havia d’esforçar molt i aplicar-hi moltes hores, i potser l’empresa té quatre duros. El ROI, la rendibilitat d’inversió, feia que abans es fes només amb empreses grans. Però ara, amb la industrialització del cibercrim, això s’ha acabat, perquè necessites segons per produir un atac. Ja els és igual qui és la víctima, saben que en trauran rèdit. Ara mateix, la mida és igual: tothom pot ser víctima d’un incident, perquè la ciberamenaça s’ha democratitzat.
"Ara mateix, la mida d'una empresa és igual: tothom pot ser víctima d’un incident"
Quines diferències observen entre els atacs dirigits a ciutadans i a empreses? Varien les tipologies i els mètodes d’aproximació?
En el cas de la ciutadania, estan més orientats a ciberestafes. Aprofiten certes finestres durant l’any per ser molt més versemblants: l’època de la renda, el Black Friday, Nadal… Els criminals juguen amb buscar la impulsivitat del comprador, o bé a representar organismes oficials, com la DGT o els bancs. Està orientat a guanyar uns diners del ciutadà o la ciutadana.
En el cas de les empreses, també fan servir el vector humà com a entrada a aquesta organització, perquè les vulnerabilitats tècniques són una via d’entrada, però la gran majoria són errors humans. En les empreses busquen diners, però ho fan, per exemple, amb un ransomware o segrest de dades: busquen com entrar dins del sistema i hi deixen un arxiu que pot infectar una sèrie de dispositius i arribar a encriptar les dades per fer-les inútils. Imagini una immobiliària, que té al sistema tots els clients i immobles. Si no pot accedir a aquestes dades, la mates, perquè no produeix. Busquen aturar el negoci i demanen un rescat perquè l'empresari pugui recuperar l'operativa i les dades, perquè si no el negoci se’n va en orris.
Centrem-nos en les segones. Si només pogués donar un únic consell a l’empresari que llegeix aquesta entrevista, aquest seria…?
Només un, eh? Que fitxi algú d’IT que sàpiga de ciberseguretat. Oi que assumim que algú ens gestioni les finances? Normalment, tenim un comptable, un especialista en finances… En canvi, en IT sempre ho hem fet una mica amb la bona voluntat. I és importantíssim invertir en recursos en ciberseguretat. Potser, si és una empresa petita, és la mateixa persona del departament d’IT que s’encarrega de ciberseguretat, però ha d’estar formada. I tenir eines: igual que assumim que un edifici s’ha de protegir i instal·lem càmeres de videovigilància, per què no invertim en ciberseguretat? Per què no invertim en antivirus, en persones que sàpiguen del tema? Amb els riscos que hi ha en el món digital, que cada cop més s’assemblen als del món físic, hem d’invertir.
"Igual que assumim que un edifici s’ha de protegir i instal·lem càmeres de videovigilància, per què no invertim en ciberseguretat?"
Quant li costa a una empresa ser víctima d’un ciberatac?
En el cas més extrem, tancar l’empresa. De mitjana, a les pimes un atac de ransomware els costa entre 35.000 i 80.000 euros [dades del govern espanyol], i a les multinacionals, una mitjana de 4,4 milions de dòlars [dades de l'IBM Data Breach Report 2025]. 80.000 euros per una pime d’una o dues persones és un “fins aquí hem arribat”. Aquest seria el cas més extrem. Després, en grans empreses que potser tenen més recursos, un dany reputacional molt bèstia. Si una empresa a qui tu delegues tractar les teves dades, els teus serveis, o els teus diners, té un atac d’aquestes característiques, perds la confiança en aquesta empresa. És un dany reputacional que pot fer molt de mal, i també un dany econòmic, perquè cada cop hi ha més regulacions que forcen que, si les empreses no mostren diligència a l’hora d’aplicar les mesures de seguretat, puguin rebre multes. És un tema reputacional, un tema econòmic i un impacte operacional, perquè pot fer-te parar el negoci.
Ha mencionat l’ús del segrest de dades com un xantatge per desbloquejar l’operativa d’una empresa, però fins a quin punt l’amenaça de difondre dades personals té també un pes important?
És impossible no parar atenció a la ciberseguretat sense fer-ho a la protecció de dades. De fet, el mateix reglament general de protecció de dades (RGPD) ja diu en un article que hi ha una sèrie de mesures de seguretat sense les quals no pots acabar de protegir les dades. Una no pot conviure sense l’altra. En un cas de segrest de dades, es poden bloquejar les dades i fer que no puguis funcionar com a empresa, com a entitat o com a hospital. Imagini's què pot passar quan un hospital no pot accedir als historials clínics; podem parlar d’impacte en vides, en casos molt extrems. Però a banda de bloquejar, amb el ransomware també es parla de la segona i la tercera extorsió. Els cibercriminals demanen un rescat perquè puguis recuperar les dades; pagues i, suposadament, te les retornen i pots desxifrar-les. Però qui et diu que aquestes dades, després, no les puguin filtrar a la web fosca? Ningú t’ho assegura, són cibercriminals. No només hauràs pagat el rescat, sinó que, a sobre, no et servirà de res. Per tant, no és gens recomanable pagar pels rescats.
Estan les pimes més exposades als ciberatacs que les grans empreses?
El fet que una pime no tingui tants recursos fa que, directament, en l’àmbit de prevenció no estaran tan preparades. Des de l’Agència promocionem que reforcin les mesures de seguretat; tenim recursos a la pàgina web, com un decàleg de què has de fer com a empresari per, com a mínim, tenir clar com treballar la prevenció i evitar-te sorpreses a posteriori.
Quins creu que són els mètodes de prevenció més urgents que caldria adoptar a tot el sistema?
Sens dubte, la identitat és una peça clau. Estem ja molt acostumats al tema de les credencials, que no les repetim a les diferents plataformes; això, que és una cosa tan òbvia, és important. Si repeteixes les contrasenyes i una plataforma té un problema de seguretat, poses en risc la resta de plataformes on has posat la mateixa credencial. I dirà: “No, home, no, només aquesta!”. El primer que fan tots els ciberdelinqüents quan hi ha una filtració d’aquestes dades és provar-les a la resta de plataformes. És l’ABC d’un cibercriminal. I després, importantíssim, el doble factor de verificació. Si et roben les credencials, sigui perquè la plataforma ha tingut un problema o perquè tens el dispositiu infectat i no ho saps, no podran utilitzar-les. I en acabat, el fet de, si t’envien alguna cosa, o et truquen i et demanen dades, sempre pensar i validar. “M’està trucant el meu cap i em demana una transferència urgent perquè està viatjant i ara no pot accedir a l’ordinador”. Doncs espera un temps, repensa-ho i valida-ho per un altre cantó: escriu el seu assistent i pregunta-li si realment està viatjant i si això és correcte.
"El primer que fan tots els ciberdelinqüents quan hi ha una filtració de credencials és provar-les a la resta de plataformes. És l’ABC d’un cibercriminal"
Ha identificat la prevenció com la mesura de protecció més important, però la preocupació moltes vegades arriba un cop el mal ja està fet. Com ha d’actuar una empresa en aquests casos?
En el millor dels casos, aquesta empresa estava preparada. No tant per la part de la prevenció, perquè ha caigut, però sí que té mètodes de recuperació. Això vol dir, quan parlem de segrest de dades, en comptes de pagar el rescat, tenir una còpia de seguretat en un altre lloc que pugui fer servir. La còpia de seguretat és un salvavides per a les empreses. En el moment en què, per culpa del ransomware, ja no pots fer-hi res, la còpia de seguretat et salvarà. I després, si, tot i això, no te’n surts, comptar amb empreses especialitzades que t’ajudin a recuperar-te. No serà recuperant aquestes dades, perquè, reiterem, no recomanem el pagament del rescat, però sí a posar en marxa de nou tot el sistema.
En els darrers tres anys, l’auge de la intel·ligència artificial generativa ha transformat el món digital, ciberseguretat i ciberamenaces incloses. Quins han estat els grans canvis?
La IA, com tota disrupció tecnològica, té dos vessants: un que posa sobre la taula els riscos i amenaces, i un altre que té molts avantatges. Per la part dels riscos, és cert que la IA permet fer en minuts coses que abans necessitaven hores. És una manera de descobrir vulnerabilitats de tot arreu. Els ciberdelinqüents també s'estan servint de la IA per fer més creïbles els missatges que rebem. Abans, si els correus que rebíem estaven traduïts al català, eren supertoscs; ara, poden estar atacant-te des de l’altra punta del món amb un català perfecte. A més, això s’està complicant encara més amb el tema de les trucades: amb uns segons de veu, poden arribar a clonar la veu i, fent servir una intel·ligència artificial generativa, simular que m’està trucant el meu fill, el meu cap o l’assessor del banc. Imaginin tots els escenaris de riscos que podem trobar. I encara es complica una mica més amb els deepfakes o hipertrucatges: ja no només parlem de correus, SMS o trucades, sinó que li truquen per videoconferència i creu que soc jo. Encara no són perfectes, però doni-li dos dies; la tecnologia va tan ràpida que arribarà un moment en què serà imperceptible.
I la part positiva?
La IA ens permet accelerar moltes coses. Abans parlava de la quantitat d’atacs que rebem, i ens permet automatitzar moltes coses. La utilitzem per detectar patrons que abans eren més difícils.
"Abans, si els correus que rebíem estaven traduïts al català, eren supertoscs; ara, poden estar atacant-te des de l’altra punta del món amb un català perfecte"
Quins indicis tenim, com a ciutadans i empreses, per detectar missatges o trucades dissenyades amb IA generativa?
Sí que és cert que en les trucades, el so a vegades encara pot sonar una mica enllaunat, o en les videoconferències, pots veure certs defectes en el parpelleig dels ulls. Encara ara, no és una tecnologia perfecta. De totes maneres, si dubtes, valida sempre per altres canals. Si et truca el teu fill, dient-te que ha perdut el mòbil i et demana diners, truca els amics i valida si realment és ell qui t’està trucant. Intenta buscar canals alternatius per validar, sobretot quan sospites. Busca processos que t’assegurin que aquests missatges i trucades són realment legítims.
Com hem de conviure amb una realitat en què no pots saber si és el teu fill qui t’està trucant en realitat? S’instaurarà un clima de sospita constant?
Crec que hi haurà un impàs, que ja està succeint, en què tots estem amb una paranoia absoluta. Però amb el temps, totes les plataformes, com WhatsApp, Teams, etc., incorporaran sistemes de verificació d’identitat. Això vol dir que, quan et truquin, hi haurà sistemes que ho validaran. És el que comentava a l’inici: la tecnologia ha de lluitar contra la tecnologia. Aquesta tecnologia serà capaç d’identificar que aquella trucada està generada per IA, i et dirà: “Alerta, que a això no li has de fer cas”. Hi haurà eines així, ja comença a haver-n'hi, i en un futur no tan llunyà serà a la inversa: tot allò que no estigui certificat es considerarà dolent. No es validarà contingut a contingut, sinó que haurem de demostrar sempre quina és la nostra identitat digital. Ja ens passa: igual que en el món físic no pots fer certes coses sense demostrar, amb certificats o DNI, que ets tu, hi haurà coses en el món virtual per les quals també ho hauràs d’utilitzar. Per Hisenda ja fem servir sistemes com Cl@ve, i crec que cada cop seran més habituals.
Avui, el món digital és més perillós que fa cinc anys?
Sí, absolutament. El que passa és que no ens hem d’espantar. Una cosa és que hi hagi més riscos, però crec que cada cop estem més preparats. No hem d’entrar en el discurs que tot és un desastre i que hem de deixar d’utilitzar els dispositius. No, la tecnologia i la digitalització aporten coses molt bones; et permeten fer coses que fa uns anys ni te les hauries imaginat. Sí, hi ha riscos, però ben governats i ben gestionats, no hauria de passar res.
I què podem esperar per als pròxims cinc?
Tot anirà cap a un món més complex. Hem de treballar la conscienciació, no només de les grans empreses i d’institucions com la Generalitat de Catalunya, sinó també reforçar la maduresa de la ciutadania. I això implica conscienciar, estar a les xarxes i fer una mica de soroll, fer veure que això pot comportar una sèrie de riscos. Però també donar eines que permetin, per exemple, saber si una cosa és bona o és dolenta. En aquest sentit, a l’Agència estem treballant en un assistent que, per WhatsApp, puguis dir-li “tinc dubtes sobre com configurar el correu de manera segura”, o “tinc dubtes perquè m’ha arribat un SMS i m’agradaria saber si això que em posen és legítim o no”, i et pugui orientar. A l’administració tenim la responsabilitat de no només protegir les dades de la ciutadania, sinó també oferir solucions perquè en el seu dia a dia es moguin d’una manera més segura pel món digital. I la resta, continuar posant-nos al dia i treballar en eines molt més avançades i intel·ligents que, aprofitant-nos d’aquestes disrupcions tecnològiques, ens protegeixin de tot el que ve.