Según el informe más reciente del CNI, España se posiciona como el tercer país más frecuentemente atacado por ‘hackers’ rusos y chinos, después de Ucrania e Israel.

. Las claves

España ocupa el tercer lugar entre los países más atacados por hackers provenientes de Rusia y China, solo precedido por Ucrania e Israel, según el informe más reciente del CNI.

Estos ataques tienen su origen en conflictos geopolíticos, sobre todo en la guerra en Ucrania y la disputa palestino-israelí, y están dirigidos en su mayoría contra la Administración pública española.

El grupo prorruso NoName057 se distingue por realizar ataques diarios de denegación de servicio (DDoS) contra países de la OTAN y aliados de Ucrania, demostrando una alta organización y probable apoyo estatal.

El informe destaca la creciente utilización de inteligencia artificial por parte de actores estatales, subrayando su papel tanto en ofensivas como en defensas cibernéticas.

España se sitúa, después de Ucrania e Israel, como el tercer país más afectado por campañas de hackers a nivel mundial, las cuales están motivadas por razones políticas o ideológicas y cuentan con coordinación y respaldo de potencias como Rusia y China.

Esto se refleja en el informe Ciberamenazas y Tendencias 2025, elaborado por el Centro Criptológico Nacional (CCN-CERT), entidad dependiente del Centro Nacional de Inteligencia (CNI).

El informe indica que «España ha ascendido de manera inesperada hasta el tercer puesto en la lista de países más impactados por actividades hacktivistas», algo que se atribuye al aumento de campañas dirigidas contra naciones de la OTAN y aliados de Ucrania.

La raíz de estas campañas radica en los conflictos geopolíticos clave, especialmente la guerra entre Rusia y Ucrania, así como el conflicto palestino-israelí.

Los países que han recibido más ataques son precisamente aquellos involucrados directamente en estos conflictos. El Gobierno español ha adoptado una postura firme respecto a ambos.

chart visualization

Los servicios de inteligencia identifican a Rusia y China como los estados más activos en este tipo de ataques cibernéticos.

El informe advierte además que muchas de estas acciones podrían superar la actividad espontánea de grupos de hackers. El área de ciberseguridad del CNI sostiene que «es probable que organizaciones militares o gubernamentales estén coordinando estas operaciones encubiertas«.

Uno de los grupos que más atención recibe es NoName057, descrito en el informe como un colectivo hacktivista prorruso surgido tras la invasión a Ucrania. Según una reciente operación de la Policía Nacional, este grupo actúa en beneficio de la inteligencia rusa.

Desde marzo de 2022, explica el informe, «ha ejecutado diariamente ataques de Denegación de Servicio Distribuido (DDoS) contra países de la OTAN y aliados de Ucrania, tales como Polonia, Lituania, Italia, España y Alemania», buscando “interrumpir y desestabilizar infraestructuras críticas” de los países que apoyan a Kiev.

El CCN destaca que, aunque este colectivo «se muestra como una red descentralizada de voluntarios motivados por el nacionalismo ruso», su estructura operacional revela una realidad diferente. En particular, sostiene que «la operativa de NoName057 indica un elevado nivel de organización y coordinación».

«La frecuencia, magnitud y sincronización de sus ataques», así como la gestión de sus herramientas y canales de comunicación, «apuntan a la existencia detrás del grupo de una entidad con mayores recursos y capacidad de dirección».

Por ello concluye que «es probable que cuenten con el apoyo o supervisión de actores con mayor poder, relacionados con el aparato estatal ruso o con estructuras de inteligencia afines».

China, Rusia, Irán y Corea

El informe también identifica a los principales actores estatales que generan la amenaza global en el ciberespacio. Entre ellos se encuentran grupos ligados a Rusia, China, Irán y Corea del Norte, con distintos objetivos y métodos.

En cuanto a China y Rusia, el documento alerta sobre amenazas de «muy alta sofisticación» dirigidas contra infraestructuras críticas de países de la OTAN. Cita específicamente a Volt Typhoon, de origen chino, y a Sandworm, vinculado a Rusia, indicando que estas campañas buscan no solo obtener información estratégica, sino también «instalar artefactos con capacidad disruptiva y/o destructiva para causar impactos físicos en caso de conflicto bélico».

Respecto a Corea del Norte, el CCN resalta la actividad de Lazarus Group, asociado con la Comisión de Asuntos de Estado norcoreana. Según el informe, durante 2024 esta agrupación centró sus acciones en «ciberespionaje, sabotaje digital y minería de criptomonedas», atacando principalmente los sectores gubernamental, tecnológico, financiero, militar y de investigación.

Objetivo, el Gobierno

El análisis del CNI muestra que la Administración pública española fue la principal diana de las ciberamenazas durante 2024, concentrando el 36,19% de los ataques detectados. Le siguen infraestructuras críticas con un 23,7%, empresas con un 18,12% y la población civil con un 17,26%.

El grupo prorruso que ha desplegado la mayor cantidad de amenazas es NoName057.

Estas operaciones hacktivistas, detalla el informe, consisten principalmente en ataques de denegación de servicio, es decir, oleadas digitales que bloquean e impiden el funcionamiento normal de sitios oficiales y servicios públicos.

Tras el hacktivismo, la segunda motivación para las campañas contra las Administraciones españolas es el ciberespionaje por parte de actores estatales, mientras que el cibercrimen ocupa el tercer lugar, con ataques enfocados al robo masivo de datos personales para su venta en mercados clandestinos online.

La IA cambia las reglas

El informe dedica un apartado específico al impacto de la inteligencia artificial en la evolución de las amenazas cibernéticas.

Según el reporte de los servicios de inteligencia, durante 2024 los grupos patrocinados por Estados «integraron la Inteligencia Artificial en todos sus procesos», desde la identificación previa de víctimas hasta la automatización de ataques y la creación de herramientas más avanzadas para ataques en red.

No obstante, el CNI destaca que la IA también se ha convertido en un componente clave para la defensa, permitiendo la detección de amenazas en tiempo real, la automatización de respuestas ante incidentes y el desarrollo de modelos predictivos capaces de anticipar ataques antes de que ocurran.

Scroll al inicio