En el año 2024, la Agència de Ciberseguretat de Catalunya detectó más de 6.900 millones de intentos de ciberataques a las organizaciones públicas del Principat. Para ponernos en perspectiva: esta cifra equivale a 18,9 millones de ataques por día, 788.000 por hora o 219 por segundo. "Y nosotros no es que seamos un objetivo prioritario", deja claro la directora de la institución, Laura Caballero (Barcelona, 1985), "es que estamos en un contexto en el que en el mundo hay ataques por todas partes". El número de ataques detectados por la Agència creció un 38% entre 2023 y 2024, y las perspectivas actuales no invitan a bajar la guardia: en los dos primeros meses de 2026, la entidad ya ha detectado 1.536 millones de ataques. El auge de la inteligencia artificial generativa es uno de los grandes responsables de este repunte, ya que permite a los ciberdelincuentes "hacer en minutos cosas que antes necesitaban horas", un hecho que ha disparado el volumen de potenciales víctimas rentables, que cada vez tienen que afinar más el ojo para combatir la verosimilitud de las amenazas. Ante este contexto, VIA Empresa visita la Agència para conocer en boca de la directora la receta para surfear este tsunami. Y sin negar que el mundo digital de hoy "tiene muchos más riesgos" que el de hace solo cinco años, Caballero rehúye el alarmismo, encomienda a hacer los deberes en prevención y formación y deja claro que hay que combatir el cibercrimen con el mismo instrumento que lo ha hecho crecer: la tecnología.
Solo el mes de febrero de 2026, la Agència de Ciberseguretat detectó 699 millones de ciberataques. ¿Cómo son estas ofensivas y a quién van dirigidas principalmente?
Son datos que representan nuestro paraguas de cobertura, que incluye los ámbitos de la Generalitat de Catalunya, pero también salud, las universidades públicas y parte de la administración local. En todos ellos contabilizamos los ataques que se reciben. Concretamente, son aquellos que se pueden detectar tecnológicamente con las medidas preventivas que tenemos, que hacen que bloqueen estos intentos. En 2024, para dar cifras de todo el año, fueron 6.900 millones de ataques. Y nosotros no es que seamos un objetivo prioritario, es que estamos en un contexto en que en el mundo hay ataques por todas partes. No porque seamos la Generalitat de Catalunya nos están atacando más; es extensivo a cualquier ámbito público o privado. La realidad es que la ciberamenaza ha crecido muchísimo.
¿Qué tipologías de ataque son las más habituales?
Hay todo tipo de ataques: de denegación de servicio, de intrusiones sobre el perímetro y sobre la parte de red, sobre credenciales, directamente sobre la infraestructura de procesamiento de datos… y nosotros tenemos diferentes herramientas que identifican cada una de ellas y las bloquean. Por suerte, de los 699 millones de ataques de febrero, muy poquitos acaban siendo realmente incidentes.
¿Cómo se prepara una infraestructura pública que pueda afrontar este volumen de ofensivas?
Primero de todo, siempre digo que la tecnología tiene que luchar contra la tecnología. Todo lo que puedas hacer con tecnología, mejor, porque quiere decir prever; tener una capa de herramientas que identifican que aquello es malo y lo detienen es mucho mejor que tener personas humanas reaccionando. Esto significa desplegar herramientas en el perímetro; es decir, que las cosas no estén abiertas a internet así como así, sino que de alguna manera tengan una capa de protección.
"La tecnología debe luchar contra la tecnología"
Pero no solo nos quedamos aquí. La parte de prevención tecnológica es importantísima, pero también la parte de prevención de las personas. Hacemos mucho hincapié en concienciar a los trabajadores públicos y a formarlos. Tenemos formaciones específicas según el rol dentro de la administración: a las personas que gestionan temas de finanzas las podemos formar en amenazas más orientadas a los fraudes económicos; a los técnicos que trabajen directamente con las soluciones tecnológicas digitales, los podemos formar y dar soporte para que sepan qué medidas y configuraciones deben hacer para que, cuando desplieguen las aplicaciones, sean seguras. O que el empleado público, que cuando reciba un correo o un SMS, sepa qué debe hacer y qué no.
Del total de ciberataques que se reciben, ¿en qué porcentaje la lucha se hace antes de que las personas intervengan?
En el 99%. Deberíamos hacer cálculos, pero… de los 6.900 millones de ataques que recibimos, solo 3.372 acaban siendo incidentes, es decir, que requieren alguna intervención manual.
Y desde el punto de vista de los ciberdelincuentes, ¿el porcentaje es equivalente?
Sí. Cada vez más, todo el mundo utiliza la tecnología para ser mucho más rápidos. Antes, un ciberdelincuente tardaba horas en preparar un ataque de ciertas características. Ahora, está casi industrializado: son lotes al estilo de “ransomware as a service”, “malware as a service”... Ya están hechos, haces clic en un botón y prácticamente ya lo tienes hecho. Los ciberdelincuentes utilizan la tecnología para automatizar e industrializar todo esto. Hacen que sea muy fácil, casi sin conocimientos, poder perpetrar un ataque de estas características. La única manera de contrarrestarlo es no limitarse solo a las personas, sino también ser mucho más eficiente con la tecnología.
"Antes, un ciberdelincuente tardaba horas para preparar un ataque de ciertas características. Ahora, está casi industrializado"
¿Podemos adelantarnos a los ciberdelincuentes, o son los atacantes quienes suelen tener la sartén por el mango?
Es difícil de responder, porque en muchos casos los ciberdelincuentes cuentan con una estructura mucho más grande que la de muchos estados. Son mafias superorganizadas y profesionalizadas. Intentamos estar de igual a igual, hacer las inversiones que sean necesarias a escala catalana para poder estar a la misma altura. Y al final, como hay muchísimos objetivos, si tú haces tus deberes, serás menos atractivo para este tipo de mafias profesionales, porque les pondrás las cosas mucho más difíciles. También es cierto que, en ciberseguridad, el riesgo cero no existe: es imposible cubrirlo todo. Pero si haces tu trabajo de prevención y concienciación, y pones las herramientas que tocan para identificar, monitorizar y responder, el impacto de un incidente de estas características será mucho menor. Es una de las cosas que estamos identificando: estamos gestionando más incidentes los últimos años, esto es una realidad, porque hay más ataques; pero estos incidentes son de menos criticidad. Esto quiere decir que vamos madurando y que estamos mejor preparados para mitigar las consecuencias de esta clase de ataques.
Este mes de marzo ha hecho tres años del ciberataque que paralizó el Hospital Clínic en 2023. Pronto hará también cuatro años y medio del sufrido por la UAB en 2021. ¿Cómo se ha blindado el ecosistema de instituciones públicas después de estos dos hechos?
Nosotros nacimos para proteger la administración pública catalana, y a raíz del caso del Clínic, se aceleró mucho la integración de los hospitales. Ahora mismo, los 68 hospitales del SISCAT están bajo nuestro paraguas. ¿Cómo se interpreta esto? Tenemos herramientas desplegadas en los hospitales, monitorización, gestión de vulnerabilidades, equipos de respuesta a incidentes, gente monitorizando 24/7, gente que analiza posibles riesgos y vulnerabilidades… Hemos hecho un esfuerzo muy grande en integrar todo el ámbito de salud. Pero no hemos parado aquí: ahora también estamos integrando todos los sociosanitarios, centros de salud mental y los CAP. Hasta ahora, estas entidades no estaban dentro del modelo, y las estamos integrando dentro del escudo de protección porque, por un tema de sensibilidad, son prioritarias. Por el tema de las universidades, desde el incidente de la Autònoma hemos trabajado mucho con ellas para incorporarlas dentro del escudo. Están dentro desde hace dos años, y desde este año estamos proveyendo servicios aún más personalizados.
¿Qué servicios reciben las administraciones y entidades integradas dentro del escudo de protección de la Agència de Ciberseguretat?
A grandes rasgos, todo el monitoreo de los elementos de seguridad. Tenemos una serie de sondas que observan qué pasa, a escala tecnológica, dentro de estas entidades, y tenemos gente que 24/7 está viendo si todo entra dentro de los parámetros normales. Si pasa algo, escala al equipo de respuesta de incidentes, que lo analiza, investiga y determina qué ha pasado y qué debemos activar. En un momento de incidente y de gestión de crisis, es muy importante también involucrar a la entidad, y con ella vemos qué medidas se deben tomar para solucionarlo. Y no solo la parte tecnológica: también integramos al equipo de comunicación para gestionar qué relato se da, qué mensajes, a quién lo debemos comunicar. Saber exactamente, paso por paso, cómo hacerlo. Y esta es nuestra experiencia: acompañar en estos momentos de crisis para ver cómo respondemos correcta y adecuadamente. Pero la ciberseguridad, en vez de ser reactiva, cada vez debería ser más preventiva, un ámbito que trabajamos mucho. Imagine que ahora un hospital saca una página web: les damos soporte para que esté desarrollada teniendo en cuenta la ciberseguridad desde el inicio, lo que se conoce como security by design.
¿Cómo se preparan a los profesionales para poder aplicar todo esto?
La formación incluye no solo la de los perfiles, sino también simulacros para ver cómo una entidad puede estar preparada en caso de un incidente grave. Hacemos también simulacros de phishing, para ver quién pica y quién no e identificar las necesidades en formación. Y una cosa que nunca se explica, porque no es tan llamativa, es que alguien tiene que gobernar todo esto: si me dedico al ámbito de la salud, tengo que entender el negocio, porque entonces también entiendo los riesgos que hay. No es lo mismo el riesgo de un hospital que el del Departament d'Economia i Finances. Tenemos personas que se encargan de identificar cuáles son los riesgos que aplican a cada entidad por su propia naturaleza.
¿Está la ciudadanía catalana suficientemente preparada para protegerse de las amenazas digitales de hoy?
Me sabe mal decirlo así, pero yo diría que no. Nadie estamos preparados para el actual contexto de amenazas. La ciberestafa, que es donde aplica más en el ámbito de la ciudadanía, es el segundo delito más denunciado en Catalunya, según datos de los Mossos. Y eso si se denuncia, porque hay muchos casos que, por el precio o por la cuantía, no se denuncia. Si es el segundo delito es que tenemos trabajo que hacer. Esto quiere decir que no hemos estado concienciados, y que como ciudadanos y ciudadanas no lo hemos parado antes.
¿Y las empresas?
Tampoco. Hace unos años, cuando un ciberdelincuente se planteaba atacar una empresa, ¿qué hacía? No iba a una empresa pequeña, porque se tenía que esforzar mucho y aplicarle muchas horas, y quizás la empresa tiene cuatro duros. El ROI, la rentabilidad de inversión, hacía que antes se hiciera solo con empresas grandes. Pero ahora, con la industrialización del cibercrimen, esto se ha acabado, porque necesitas segundos para producir un ataque. Ya les da igual quién es la víctima, saben que sacarán rédito. Ahora mismo, el tamaño es igual: todo el mundo puede ser víctima de un incidente, porque la ciberamenaza se ha democratizado.
"Ahora mismo, el tamaño de una empresa es igual: todo el mundo puede ser víctima de un incidente"
¿Qué diferencias observan entre los ataques dirigidos a ciudadanos y a empresas? ¿Varían las tipologías y los métodos de aproximación?
En el caso de la ciudadanía, están más orientados a ciberestafas. Aprovechan ciertas ventanas durante el año para ser mucho más verosímiles: la época de la renta, el Black Friday, Navidad… Los criminales juegan con buscar la impulsividad del comprador, o bien a representar organismos oficiales, como la DGT o los bancos. Está orientado a ganar un dinero del ciudadano o la ciudadana.
En el caso de las empresas, también usan el vector humano como entrada a esta organización, porque las vulnerabilidades técnicas son una vía de entrada, pero la gran mayoría son errores humanos. En las empresas buscan dinero, pero lo hacen, por ejemplo, con un ransomware o secuestro de datos: buscan cómo entrar dentro del sistema y allí dejan un archivo que puede infectar una serie de dispositivos y llegar a encriptar los datos para hacerlos inútiles. Imagine una inmobiliaria, que tiene en el sistema todos los clientes e inmuebles. Si no puede acceder a esos datos, la matas, porque no produce. Buscan detener el negocio y piden un rescate para que el empresario pueda recuperar la operativa y los datos, porque si no el negocio se va al traste.
Centrémonos en las segundas. Si solo pudiera dar un único consejo al empresario que lee esta entrevista, este sería…?
Solo uno, ¿eh? Que fiche a alguien de IT que sepa de ciberseguridad. ¿Verdad que asumimos que alguien nos gestione las finanzas? Normalmente, tenemos un contable, un especialista en finanzas… En cambio, en IT siempre lo hemos hecho un poco con la buena voluntad. Y es importantísimo invertir en recursos en ciberseguridad. Quizás, si es una empresa pequeña, es la misma persona del departamento de IT que se encarga de ciberseguridad, pero debe estar formada. Y tener herramientas: igual que asumimos que un edificio debe protegerse e instalamos cámaras de videovigilancia, ¿por qué no invertimos en ciberseguridad? ¿Por qué no invertimos en antivirus, en personas que sepan del tema? Con los riesgos que hay en el mundo digital, que cada vez más se parecen a los del mundo físico, debemos invertir.
"Igual que asumimos que un edificio se tiene que proteger e instalamos cámaras de videovigilancia, ¿por qué no invertimos en ciberseguridad?"
¿Cuánto le cuesta a una empresa ser víctima de un ciberataque?
En el caso más extremo, cerrar la empresa. De media, a las pymes un ataque de ransomware les cuesta entre 35.000 y 80.000 euros [datos del gobierno español], y a las multinacionales, una media de 4,4 millones de dólares [datos del IBM Data Breach Report 2025]. 80.000 euros para una pyme de una o dos personas es un “hasta aquí hemos llegado”. Este sería el caso más extremo. Después, en grandes empresas que quizás tienen más recursos, un daño reputacional muy bestia. Si una empresa a quien tú delegas tratar tus datos, tus servicios, o tu dinero, tiene un ataque de estas características, pierdes la confianza en esta empresa. Es un daño reputacional que puede hacer mucho daño, y también un daño económico, porque cada vez hay más regulaciones que fuerzan que, si las empresas no muestran diligencia a la hora de aplicar las medidas de seguridad, puedan recibir multas. Es un tema reputacional, un tema económico y un impacto operacional, porque puede hacerte parar el negocio.
Ha mencionado el uso del secuestro de datos como un chantaje para desbloquear la operativa de una empresa, pero ¿hasta qué punto la amenaza de difundir datos personales tiene también un peso importante?
Es imposible no prestar atención a la ciberseguridad sin hacerlo a la protección de datos. De hecho, el mismo reglamento general de protección de datos (RGPD) ya dice en un artículo que hay una serie de medidas de seguridad sin las cuales no puedes acabar de proteger los datos. Una no puede convivir sin la otra. En un caso de secuestro de datos, se pueden bloquear los datos y hacer que no puedas funcionar como empresa, como entidad o como hospital. Imagínese qué puede pasar cuando un hospital no puede acceder a los historiales clínicos; podemos hablar de impacto en vidas, en casos muy extremos. Pero aparte de bloquear, con el ransomware también se habla de la segunda y la tercera extorsión. Los cibercriminales piden un rescate para que puedas recuperar los datos; pagas y, supuestamente, te los devuelven y puedes descifrarlos. Pero ¿quién te dice que estos datos, después, no los puedan filtrar a la web oscura? Nadie te lo asegura, son cibercriminales. No solo habrás pagado el rescate, sino que, encima, no te servirá de nada. Por lo tanto, no es nada recomendable pagar por los rescates.
¿Están las pymes más expuestas a los ciberataques que las grandes empresas?
El hecho de que una pyme no tenga tantos recursos hace que, directamente, en el ámbito de prevención no estarán tan preparadas. Desde la Agència promocionamos que refuercen las medidas de seguridad; tenemos recursos en la página web, como un decálogo de qué tienes que hacer como empresario para, como mínimo, tener claro cómo trabajar la prevención y evitarte sorpresas a posteriori.
¿Cuáles cree que son los métodos de prevención más urgentes que habría que adoptar en todo el sistema?
Sin duda, la identidad es una pieza clave. Estamos ya muy acostumbrados al tema de las credenciales, que no las repetimos en las diferentes plataformas; esto, que es algo tan obvio, es importante. Si repites las contraseñas y una plataforma tiene un problema de seguridad, pones en riesgo el resto de plataformas donde has puesto la misma credencial. Y dirá: “¡No, hombre, no, solo esta!”. Lo primero que hacen todos los ciberdelincuentes cuando hay una filtración de estos datos es probarlas en el resto de plataformas. Es el ABC de un cibercriminal. Y después, importantísimo, el doble factor de verificación. Si te roban las credenciales, sea porque la plataforma ha tenido un problema o porque tienes el dispositivo infectado y no lo sabes, no podrán utilizarlas. Y al final, el hecho de, si te envían algo, o te llaman y te piden datos, siempre pensar y validar. “Me está llamando mi jefe y me pide una transferencia urgente porque está viajando y ahora no puede acceder al ordenador”. Pues espera un tiempo, repiénsalo y valídalo por otro lado: escribe a su asistente y pregúntale si realmente está viajando y si eso es correcto.
"Lo primero que hacen todos los ciberdelincuentes cuando hay una filtración de credenciales es probarlas en el resto de plataformas. Es el ABC de un cibercriminal"
Ha identificado la prevención como la medida de protección más importante, pero la preocupación muchas veces llega una vez el mal ya está hecho. ¿Cómo debe actuar una empresa en estos casos?
En el mejor de los casos, esta empresa estaba preparada. No tanto por la parte de la prevención, porque ha caído, pero sí que tiene métodos de recuperación. Esto quiere decir, cuando hablamos de secuestro de datos, en vez de pagar el rescate, tener una copia de seguridad en otro lugar que pueda usar. La copia de seguridad es un salvavidas para las empresas. En el momento en que, por culpa del ransomware, ya no puedes hacer nada, la copia de seguridad te salvará. Y después, si, a pesar de eso, no tienes suficiente, contar con empresas especializadas que te ayuden a recuperarte. No será recuperando estos datos, porque, reiteramos, no recomendamos el pago del rescate, pero sí a poner en marcha de nuevo todo el sistema.
En los últimos tres años, el auge de la inteligencia artificial generativa ha transformado el mundo digital, ciberseguridad y ciberamenazas incluidas. ¿Cuáles han sido los grandes cambios?
La IA, como toda disrupción tecnológica, tiene dos vertientes: una que pone sobre la mesa los riesgos y amenazas, y otra que tiene muchas ventajas. Por la parte de los riesgos, es cierto que la IA permite hacer en minutos cosas que antes necesitaban horas. Es una manera de descubrir vulnerabilidades de todas partes. Los ciberdelincuentes también se están sirviendo de la IA para hacer más creíbles los mensajes que recibimos. Antes, si los correos que recibíamos estaban traducidos al catalán, eran superburdos; ahora, pueden estar atacándote desde la otra punta del mundo con un catalán perfecto. Además, esto se está complicando aún más con el tema de las llamadas: con unos segundos de voz, pueden llegar a clonar la voz y, usando una inteligencia artificial generativa, simular que me está llamando mi hijo, mi jefe o el asesor del banco. Imagínense todos los escenarios de riesgos que podemos encontrar. Y aún se complica un poco más con los deepfakes o hiperfalsificaciones: ya no solo hablamos de correos, SMS o llamadas, sino que le llaman por videoconferencia y cree que soy yo. Todavía no son perfectos, pero dele dos días; la tecnología va tan rápida que llegará un momento en que será imperceptible.
¿Y la parte positiva?
La IA nos permite acelerar muchas cosas. Antes hablaba de la cantidad de ataques que recibimos, y nos permite automatizar muchas cosas. La utilizamos para detectar patrones que antes eran más difíciles.
"Antes, si los correos que recibíamos estaban traducidos al catalán, eran superburdos; ahora, pueden estar atacándote desde la otra punta del mundo con un catalán perfecto"
¿Qué indicios tenemos, como ciudadanos y empresas, para detectar mensajes o llamadas diseñadas con IA generativa?
Sí que es cierto que en las llamadas, el sonido a veces todavía puede sonar un poco enlatado, o en las videoconferencias, puedes ver ciertos defectos en el parpadeo de los ojos. Todavía ahora, no es una tecnología perfecta. De todas maneras, si dudas, valida siempre por otros canales. Si te llama tu hijo, diciéndote que ha perdido el móvil y te pide dinero, llama a los amigos y valida si realmente es él quien te está llamando. Intenta buscar canales alternativos para validar, sobre todo cuando sospechas. Busca procesos que te aseguren que estos mensajes y llamadas son realmente legítimos.
¿Cómo debemos convivir con una realidad en la que no puedes saber si es tu hijo quien te está llamando en realidad? ¿Se instaurará un clima de sospecha constante?
Creo que habrá un impás, que ya está sucediendo, en el que todos estamos con una paranoia absoluta. Pero con el tiempo, todas las plataformas, como WhatsApp, Teams, etc., incorporarán sistemas de verificación de identidad. Esto quiere decir que, cuando te llamen, habrá sistemas que lo validarán. Es lo que comentaba al inicio: la tecnología tiene que luchar contra la tecnología. Esta tecnología será capaz de identificar que aquella llamada está generada por IA, y te dirá: “Ojo, que a esto no le tienes que hacer caso”. Habrá herramientas así, ya empieza a haberlas, y en un futuro no tan lejano será a la inversa: todo aquello que no esté certificado se considerará malo. No se validará contenido a contenido, sino que tendremos que demostrar siempre cuál es nuestra identidad digital. Ya nos pasa: igual que en el mundo físico no puedes hacer ciertas cosas sin demostrar, con certificados o DNI, que eres tú, habrá cosas en el mundo virtual para las cuales también lo tendrás que utilizar. Para Hacienda ya usamos sistemas como Cl@ve, y creo que cada vez serán más habituales.
¿Es hoy el mundo digital más peligroso que hace cinco años?
Sí, absolutamente. Lo que pasa es que no nos tenemos que asustar. Una cosa es que haya más riesgos, pero creo que cada vez estamos más preparados. No tenemos que entrar en el discurso de que todo es un desastre y que tenemos que dejar de utilizar los dispositivos. No, la tecnología y la digitalización aportan cosas muy buenas; te permiten hacer cosas que hace unos años ni te las habrías imaginado. Sí, hay riesgos, pero bien gobernados y bien gestionados, no debería pasar nada.
¿Y qué podemos esperar para los próximos cinco?
Todo irá hacia un mundo más complejo. Debemos trabajar la concienciación, no solo de las grandes empresas y de instituciones como la Generalitat de Catalunya, sino también reforzar la madurez de la ciudadanía. Y esto implica concienciar, estar en las redes y hacer un poco de ruido, hacer ver que esto puede comportar una serie de riesgos. Pero también dar herramientas que permitan, por ejemplo, saber si una cosa es buena o es mala. En este sentido, en la Agencia estamos trabajando en un asistente que, por WhatsApp, puedas decirle “tengo dudas sobre cómo configurar el correo de manera segura”, o “tengo dudas porque me ha llegado un SMS y me gustaría saber si esto que me ponen es legítimo o no”, y te pueda orientar. En la administración tenemos la responsabilidad de no solo proteger los datos de la ciudadanía, sino también ofrecer soluciones para que en su día a día se muevan de una manera más segura por el mundo digital. Y el resto, continuar poniéndonos al día y trabajar en herramientas mucho más avanzadas e inteligentes que, aprovechándonos de estas disrupciones tecnológicas, nos protejan de todo lo que viene.