Ransomware en España 2026: panorama, sectores afectados y respuesta

Q: ¿Hay que notificar a los clientes afectados?

Si la exfiltración compromete datos personales y la AEPD valora alto riesgo para los afectados, la comunicación a los interesados es obligatoria bajo RGPD. En entornos B2B, además, casi todos los contratos marco incluyen cláusulas de notificación a cliente en plazos cortos (24-72 horas) ante incidentes de seguridad que afecten a sus datos. La gestión de esta comunicación debe planificarse antes del incidente, con plantillas revisadas por legal y un canal definido. Improvisar el mensaje en plena crisis suele empeorar el impacto reputacional.

Q: ¿Qué papel juega el CCN-CERT en un incidente ransomware?

El CCN-CERT es el CSIRT gubernamental nacional, dependiente del Centro Criptológico Nacional. Es la referencia para el sector público y para sistemas clasificados, y opera la plataforma LUCIA de notificación de incidentes en el ámbito ENS. Publica guías, herramientas, IOCs y emite avisos sobre familias activas. En incidentes con afectación a infraestructuras críticas o sector público, coordina con organismos competentes. Para empresas privadas, el interlocutor principal es INCIBE-CERT, aunque CCN-CERT mantiene canales para casos con componente de seguridad nacional.

El ransomware es un tipo de malware que cifra ficheros y exige un pago para devolver el acceso, combinado hoy con exfiltración previa de datos y presión pública sobre la víctima. En España, durante 2026, sigue siendo la principal causa de declaración de incidente grave bajo NIS2 y la amenaza con mayor impacto operativo y reputacional para empresas medianas y grandes, AAPP y operadores esenciales. La actividad de grupos criminales se ha redistribuido tras la disrupción de LockBit, pero el volumen no ha bajado.

Esta guía ofrece una lectura ejecutiva y técnica del panorama español: qué sectores están sufriendo más incidentes, qué grupos operan contra organizaciones en territorio nacional, cómo encajar la respuesta en el marco normativo y qué controles priorizar para 2026.

Lo esencial

Grupos activos contra España en 2026: herederos de LockBit, RansomHub, Play, Akira, 8Base y operadores oportunistas vía infostealers.

Sectores más golpeados: sanidad, industria, AAPP locales y autonómicas, retail y turismo, educación, servicios financieros bajo presión DORA.

Modelo dominante: doble y triple extorsión (cifrado, fuga de datos, presión a clientes y reguladores).

Marco normativo: NIS2 (notificación temprana 24h), RGPD (72h si hay datos personales), DORA en banca y seguros, ENS en sector público.

Respuesta efectiva: contención rápida, preservación forense, comunicación coordinada con INCIBE-CERT o CCN-CERT, recuperación desde backups verificados.

Panorama 2026: qué está cambiando

El ransomware en España no es una amenaza nueva, pero su forma sí ha cambiado de manera apreciable desde 2024. La disrupción internacional de la infraestructura de LockBit en febrero de 2024 (Operación Cronos) y el repliegue parcial de BlackCat/ALPHV tras el episodio Change Healthcare reordenaron el ecosistema. Los afiliados, que son el músculo operativo real, se redistribuyeron rápidamente hacia RansomHub, Play, Akira, 8Base y nuevas marcas surgidas en 2025 y 2026.

Los informes públicos del INCIBE-CERT, el CCN-CERT y reportes anuales como Mandiant M-Trends coinciden en varias tendencias relevantes para empresas españolas:

Tiempo de permanencia (dwell time) más corto: el cifrado se ejecuta con frecuencia en menos de 5 días desde el acceso inicial, dificultando la detección temprana.
Predominio del acceso inicial vía credenciales válidas: infostealers (Lumma, RedLine, Stealc), filtraciones previas y RDP/VPN sin MFA. El phishing sigue presente, pero compite con accesos comprados a Initial Access Brokers.
Mayor presión sobre la víctima: contacto directo con clientes, periodistas, reguladores y ejecutivos para forzar el pago.
Foco creciente en hipervisores ESXi y entornos virtualizados para maximizar el cifrado con un solo binario.
Reutilización de código fuente filtrado (LockBit 3.0 builder, Conti) por grupos pequeños y operadores oportunistas.

En España conviven dos realidades. Por un lado, grandes organizaciones con SOC interno o servicio de SOC gestionado que detectan y contienen a tiempo. Por otro, un tejido amplio de pymes industriales, ayuntamientos, clínicas y centros educativos con superficie expuesta, sin EDR y con backups online no inmutables. Esa segunda realidad sigue siendo el objetivo más rentable para los grupos criminales.

Sectores más atacados en España

Sector	Tipo de incidente predominante	Consecuencias documentadas
Sanidad (hospitales, clínicas, laboratorios)	Cifrado de HIS/RIS/PACS, fuga de historias clínicas	Cancelación de cirugías programadas, paso a procedimientos manuales, reportes de protección de datos
Industria y manufactura	Cifrado de entornos IT y parada de OT por aislamiento preventivo	Detención de líneas de producción, retrasos de entrega, impacto en cadena de suministro
AAPP locales y autonómicas	Cifrado de sistemas internos, fuga de expedientes	Suspensión de trámites presenciales, comunicaciones manuales, notificaciones a ciudadanos
Retail, turismo y hostelería	Cifrado de PMS, TPV, ERP, fuga de bases de clientes	Interrupción de reservas y ventas, exposición de datos de tarjeta, reclamaciones masivas
Banca, seguros y entidades financieras	Acceso vía terceros, cifrado de entornos administrativos	Activación de planes de continuidad, notificaciones bajo DORA y al Banco de España
Educación (universidades, colegios)	Cifrado de aulas virtuales, ERP académico, correo	Pérdida de calendarios académicos, exposición de datos de menores
Despachos profesionales y servicios	Cifrado masivo de documentación y correo	Imposibilidad de operar, presión directa de clientes finales

Se han documentado múltiples casos públicos en cada uno de estos sectores. La referencia histórica más conocida en sanidad es el incidente del Hospital Clínic de Barcelona en 2023. En sector público, el caso del SEPE en 2021 marcó un antes y un después en concienciación. Sin entrar en confidenciales, los CSIRT españoles han venido reportando una tendencia sostenida de incidentes graves en sanidad, industria y administración local.

Grupos ransomware activos contra empresas españolas

El paisaje de grupos cambia cada trimestre. Estos son los actores más relevantes para una organización española en 2026, sin glamorizar su actividad:

Herederos y forks post-LockBit. Tras la disrupción de su infraestructura, parte de los afiliados migró a otras marcas, pero builders y código filtrado de LockBit 3.0 siguen reutilizándose por operadores menores. Vector típico: VPN sin MFA, RDP expuesto, vulnerabilidades en perímetro.
BlackCat/ALPHV (referencia histórica). Operó hasta 2024 con un modelo RaaS sofisticado y binarios en Rust capaces de cifrar Windows, Linux y ESXi. Su legado técnico inspira a varios grupos actuales.
Play. Activo y constante. Combina explotación de vulnerabilidades en perímetro (Fortinet, productos de gestión remota) con uso intensivo de herramientas living-off-the-land. Suele cifrar tras varios días de exfiltración.
RansomHub. Surge en 2024 como RaaS de afiliados con condiciones agresivas. Ha absorbido perfiles que antes operaban en ALPHV y LockBit. Foco amplio, incluye víctimas españolas en industria y servicios.
Akira. Conocido por su estética retro y por atacar a empresas medianas. Vectores frecuentes: VPN Cisco sin MFA, credenciales robadas. Cifra Windows y ESXi.
8Base. Combina rebrand de Phobos con doble extorsión activa. Predominantemente oportunista contra pymes con superficie expuesta.

Junto a estos, hay un volumen creciente de operadores oportunistas que combinan compra de accesos en marketplaces, builders filtrados y exfiltración con herramientas como RClone o Mega. No son grupos con marca, pero generan incidentes igual de graves.

El modelo de doble y triple extorsión

El ransomware moderno rara vez se limita al cifrado. La cadena habitual en 2026 es:

Acceso inicial (credenciales válidas, phishing, vulnerabilidad en perímetro, supply chain).
Reconocimiento y movimiento lateral durante días o semanas.
Exfiltración de datos sensibles antes del cifrado, usando canales legítimos para evadir DLP.
Cifrado masivo de servidores, NAS e hipervisores.
Doble presión: pago para descifrar y pago para que los datos no se publiquen en el leak site en Tor.
Triple presión opcional: llamadas o emails a clientes, reguladores y medios; ataques DDoS adicionales; contacto directo con ejecutivos.

La implicación regulatoria es clara. Si hay exfiltración de datos personales, se activa la obligación de notificación a la AEPD en 72 horas bajo RGPD. Si la organización es entidad esencial o importante bajo NIS2, se activa la notificación temprana al CSIRT competente en 24 horas, con informe completo posterior. En banca y seguros, DORA suma reporte específico al supervisor sectorial. En sector público, ENS y CCN-CERT marcan el procedimiento. Estas obligaciones no se suspenden por estar en plena gestión del incidente.

Vectores de entrada predominantes

Cinco vectores concentran la inmensa mayoría de los accesos iniciales en incidentes ransomware contra empresas españolas. Cada uno admite controles concretos:

Phishing con adjunto malicioso o enlace. Se mantiene como vector clásico, hoy con ingeniería social mejorada por IA generativa. Prevención: filtrado avanzado de correo con sandboxing, formación periódica con simulaciones, MFA resistente a phishing (FIDO2) en cuentas privilegiadas. Más contexto en cómo evitar el phishing.
Vulnerabilidades expuestas en perímetro. Citrix NetScaler, VPN SSL Fortinet, productos Ivanti, Exchange on-premise, dispositivos de gestión remota. Prevención: inventario continuo de superficie expuesta, parcheo dentro de SLA, retirada de servicios obsoletos, suscripción a feeds de CVE críticos y aplicación inmediata de mitigaciones.
Credenciales robadas (infostealers, RDP, dumps). Lumma, RedLine, Stealc y similares roban tokens, cookies y credenciales que se venden a Initial Access Brokers. Prevención: MFA universal en accesos externos, monitorización de credenciales filtradas, control estricto de RDP (cerrar a Internet, usar bastión, MFA), políticas de contraseñas alineadas con NIST SP 800-63B.
Compromiso de la cadena de suministro y MSP. Proveedores de soporte IT, integradores y software de gestión remota usados como puerta. Prevención: cláusulas contractuales de seguridad, segmentación de accesos de terceros, MFA y cuentas dedicadas para soporte externo, monitorización de actividad de cuentas privilegiadas externas.
Vulnerabilidades en plataformas SaaS y configuración incorrecta de cloud. Accesos OAuth permisivos, buckets expuestos, identidades cloud sin MFA. Prevención: CSPM, revisión periódica de roles IAM, MFA condicional, mínimo privilegio.

Encaje normativo: NIS2, DORA, RGPD, ENS

Un incidente ransomware en una empresa española activa varias obligaciones que conviven y deben gestionarse en paralelo desde la primera hora.

NIS2. Aplica a entidades esenciales e importantes según la trasposición española. Obliga a una notificación temprana en 24 horas al CSIRT competente (INCIBE-CERT o CCN-CERT según el caso), una notificación de incidente en 72 horas con valoración inicial y un informe final en un mes. La guía operativa está detallada en auditoría NIS2 paso a paso.
RGPD. Si el incidente compromete datos personales, la notificación a la AEPD en 72 horas es obligatoria salvo que se justifique ausencia de riesgo. Si hay alto riesgo, se debe notificar también a los afectados. La exfiltración propia del modelo de doble extorsión casi siempre activa esta obligación.
DORA. Para entidades financieras y seguros, suma reporte específico al supervisor (Banco de España, CNMV, DGSFP según corresponda) en plazos definidos. La trazabilidad del incidente y las pruebas de continuidad son inseparables de la respuesta técnica. Profundizamos en la guía DORA de cumplimiento para empresas 2026.
ENS. En sector público o proveedores con servicios al sector público, el procedimiento se canaliza con CCN-CERT y la notificación se ajusta a la categoría del sistema. Ver ENS para pymes, guía completa.

Es habitual que un mismo incidente active todas estas obligaciones a la vez. La preparación previa (plantillas de notificación, contactos, criterios de severidad) marca la diferencia entre cumplir o no en los plazos.

Respuesta a un incidente ransomware: protocolo DFIR resumido

Un protocolo de respuesta operativo se reduce, en la práctica, a estos pasos. El detalle se acuerda en el playbook interno y se prueba en ejercicios de mesa con frecuencia anual mínima.

Detección y activación del comité de crisis. Confirmar el incidente, activar al equipo de respuesta (interno y proveedor externo si hay retainer), notificar a dirección y a asesoría jurídica.
Contención inmediata. Aislar segmentos afectados, deshabilitar cuentas comprometidas, romper conectividad de los sistemas comprometidos sin apagarlos para preservar memoria volátil.
Preservación de evidencia forense. Volcado de memoria, imágenes forenses de equipos clave, copia de logs (firewall, EDR, AD, VPN, correo) a almacenamiento WORM. La trazabilidad es crítica para el análisis y para los reguladores.
Triage y análisis. Identificar vector inicial, alcance del compromiso, datos exfiltrados, indicadores de compromiso, posibles persistencias. Si hay retainer DFIR, esta fase la lidera el proveedor.
Comunicación y notificaciones regulatorias. Notificación al CSIRT competente (INCIBE-CERT en sector privado o CCN-CERT en sector público), AEPD si aplica, supervisores DORA si aplica, clientes y partes interesadas según contrato.
Erradicación. Eliminación de persistencias, rotación masiva de credenciales (incluyendo Kerberos krbtgt dos veces), recreación de sistemas comprometidos, parcheo del vector inicial.
Recuperación. Restauración desde backups verificados, validación de integridad antes de reconectar, puesta en producción escalonada con monitorización reforzada.
Lecciones aprendidas. Informe post mortem honesto, actualización del plan de respuesta, ajuste de controles, comunicación a dirección y, si procede, a clientes.

El contacto con INCIBE-CERT se realiza por los canales oficiales publicados en su web y por el formulario de notificación de incidentes. Para sector público, CCN-CERT mantiene canales equivalentes a través de LUCIA y notificación directa.

Prevención técnica para 2026

Diez controles concretos, ordenados por impacto real en la probabilidad y severidad de un incidente ransomware. Ninguno es opcional para una empresa con datos críticos.

Backups 3-2-1-1-0 con copia inmutable y offline. Tres copias, dos soportes, una offsite, una inmutable o air-gapped, cero errores verificados con restauración real periódica. Es el control que separa días de recuperación de meses.
MFA universal en perimetral y administración. VPN, RDP, correo, paneles de administración, cloud. Sin excepciones para cuentas privilegiadas. MFA resistente a phishing (FIDO2) donde sea posible.
EDR/MDR desplegado al 100% del parque. Visibilidad, detección y respuesta automatizada. Si no hay equipo 24x7 interno, contratar MDR. Las primeras horas son decisivas.
Segmentación de red real. Aislamiento de servidores críticos, OT separado de IT, microsegmentación en datacenter, segregación de entornos de administración. Limita el blast radius.
Hardening de RDP, SSH y accesos remotos. RDP nunca expuesto a Internet, bastión obligatorio, registro y grabación de sesiones privilegiadas.
Parcheo dentro de SLA con foco en perímetro. CVEs críticos en perimetral parcheados en menos de 72 horas. Inventario continuo de superficie expuesta. Ver más en auditoría de ciberseguridad para empresas.
Concienciación y simulaciones de phishing. Programa continuo, no único anual, con métricas por departamento. El usuario sigue siendo línea de defensa real.
Threat hunting proactivo. Búsqueda activa de indicadores de compromiso, análisis de comportamientos anómalos, hipótesis dirigidas por TTPs de grupos relevantes para el sector.
Plan de continuidad y recuperación probado. Procedimientos documentados, ejercicios anuales, RTO/RPO realistas, cadena de mando de crisis definida.
Ciberseguro con condiciones revisadas. Lectura honesta de exclusiones, requisitos de controles mínimos exigidos por la aseguradora (suelen incluir MFA y EDR), cobertura efectiva de respuesta y recuperación.

¿Pagar o no pagar el rescate?

En España, pagar un rescate no es ilegal en sí mismo, pero tanto INCIBE como CCN-CERT y los principales CSIRT internacionales recomiendan no hacerlo. Hay varias razones técnicas y legales a tener presentes.

El pago no garantiza la recuperación. Hay casos documentados de descifradores defectuosos, de datos no devueltos pese al pago y de publicación posterior de los datos exfiltrados.
Riesgo de sanciones internacionales. Si el grupo o sus operadores figuran en listas de sanciones (OFAC en EE. UU., listados europeos), el pago puede acarrear responsabilidad para la empresa pagadora y para intermediarios.
Financiación del ecosistema criminal. Cada pago aumenta la rentabilidad del modelo y la probabilidad de nuevos ataques al mismo sector.
Implicaciones reputacionales y de gobierno corporativo. La decisión debe ser explícita del consejo, registrada, y comunicada según marco normativo aplicable.

La recomendación habitual es priorizar la recuperación desde backups verificados, gestionar la fuga de datos como brecha de seguridad y trabajar la comunicación con clientes y reguladores con transparencia controlada. Pagar debe ser última opción, evaluada con asesoría legal especializada y conocimiento del grupo concreto.

Preguntas frecuentes

¿Es ilegal pagar el rescate en España?

Pagar un rescate ransomware no está tipificado específicamente como delito en el Código Penal español a fecha de 2026. Sin embargo, si el grupo criminal o sus operadores figuran en listas internacionales de sanciones (OFAC, UE), el pago puede generar responsabilidad por financiación de actividades sancionadas, también para la entidad intermediaria que tramite la transacción. INCIBE y CCN-CERT desaconsejan el pago como política general. La decisión debe tomarse con asesoría legal especializada, documentación interna explícita y conciencia de que no garantiza la recuperación ni el silencio de los atacantes.

¿Cuánto tarda una recuperación típica de un ataque ransomware?

Depende de la madurez de los backups, del alcance del cifrado y de la disponibilidad de equipo técnico. Con backups inmutables verificados, segmentación adecuada y plan probado, una organización mediana puede volver a operar parcialmente en 3 a 7 días, con recuperación completa en 2 a 4 semanas. Sin esos controles, el rango habitual sube a varias semanas o meses, con pérdida significativa de datos. Las primeras 72 horas son las que más impactan en el tiempo total. La preparación previa marca la diferencia, no la heroicidad durante el incidente.

¿Cubre el ciberseguro el pago del rescate?

Algunas pólizas lo contemplan, pero la cobertura efectiva depende de las exclusiones y de las condiciones particulares. La mayoría exigen controles mínimos (MFA en perímetro, EDR, copias de seguridad probadas) cuyo incumplimiento puede invalidar la cobertura. Las condiciones del mercado se han endurecido desde 2023 con sublímites para extorsión, exclusiones por sanciones internacionales y franquicias altas. Recomendamos auditar la póliza con un especialista antes de necesitarla y revisar que los controles exigidos están realmente implantados, no sólo declarados.

¿Hay que notificar a los clientes afectados?

Si la exfiltración compromete datos personales y la AEPD valora alto riesgo para los afectados, la comunicación a los interesados es obligatoria bajo RGPD. En entornos B2B, además, casi todos los contratos marco incluyen cláusulas de notificación a cliente en plazos cortos (24-72 horas) ante incidentes de seguridad que afecten a sus datos. La gestión de esta comunicación debe planificarse antes del incidente, con plantillas revisadas por legal y un canal definido. Improvisar el mensaje en plena crisis suele empeorar el impacto reputacional.

¿Qué papel juega el CCN-CERT en un incidente ransomware?

El CCN-CERT es el CSIRT gubernamental nacional, dependiente del Centro Criptológico Nacional. Es la referencia para el sector público y para sistemas clasificados, y opera la plataforma LUCIA de notificación de incidentes en el ámbito ENS. Publica guías, herramientas, IOCs y emite avisos sobre familias activas. En incidentes con afectación a infraestructuras críticas o sector público, coordina con organismos competentes. Para empresas privadas, el interlocutor principal es INCIBE-CERT, aunque CCN-CERT mantiene canales para casos con componente de seguridad nacional.

¿Se puede hacer threat hunting preventivo contra ransomware?

Sí, y es una de las inversiones con mejor relación coste-impacto. El threat hunting parte de hipótesis sobre TTPs conocidos de grupos relevantes para el sector y busca indicadores en logs y endpoints. Detecta movimiento lateral, persistencias, herramientas de exfiltración y precursores típicos antes del cifrado. Puede operarse internamente si hay SOC con analistas senior o externalizarse como servicio. La diferencia con un SOC reactivo es proactividad: en lugar de esperar la alerta, se va a buscar lo que el atacante ya hizo y aún no detectó nadie.

Recursos relacionados

Respuesta y prevención con Secra

En Secra trabajamos la postura frente a ransomware en tres niveles. Primero, una auditoría rápida de postura ransomware en 5 a 7 días: revisión de superficie expuesta, MFA en perimetral, estado real de los backups, cobertura EDR, segmentación y plan de continuidad. Entregamos un informe ejecutivo con riesgos priorizados y plan de acción a 90 días.

Segundo, DFIR retainer: contrato de respuesta a incidentes con tiempos de activación acordados, accesos preconfigurados y playbook conjunto. Si ocurre el incidente, no se pierden las primeras horas en gestionar contratos.

Tercero, threat hunting continuo alineado con los TTPs de los grupos relevantes para su sector.

Si su organización opera en sanidad, industria, retail, banca o sector público y quiere una conversación técnica honesta sobre dónde está y qué priorizar, contacte con nuestro equipo desde /es/contacto/.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo