Ciberseguridad en España: lecciones del mes más convulso de 2026

Abril de 2026 quedará grabado en la memoria de los equipos de seguridad españoles. En apenas treinta días, más de seis millones de registros de clientes quedaron expuestos, la Comisión Europea amenazó a España con una sanción por incumplimiento normativo y el Gobierno aprobó dos proyectos de ley que cambiarán las reglas del juego para miles de empresas. Todo al mismo tiempo.

Este artículo resume lo que ocurrió, por qué importa y qué pueden hacer hoy las organizaciones para no protagonizar el próximo titular.

Un mes de brechas en cadena

El sector energético, en el punto de mira

El mismo actor que en enero filtró datos de millones de clientes de Endesa volvió a golpear en abril, esta vez contra Naturgy. El hacker conocido como «Spain» exfiltró aproximadamente 74,2 GB de información sensible: nombres, números de DNI/NIF, cuentas bancarias (IBAN), datos de suministro (CUPS) y direcciones físicas de más de 1,8 millones de clientes.

Al mismo tiempo, Iberdrola reconoció una brecha a través de su partner comercial Zirconite, que comprometió los datos de unos 150.000 clientes actuales y antiguos. El patrón es idéntico en ambos casos: el vector de entrada no fue la empresa matriz, sino un tercero de su cadena de suministro.

Retail y fitness: sectores inesperados, consecuencias reales

El 15 de abril, Inditex comunicó un acceso no autorizado a bases de datos alojadas en un proveedor externo. La compañía aseguró que no se vieron afectados datos financieros ni personales sensibles, pero el incidente pone sobre la mesa los riesgos inherentes a delegar el almacenamiento de datos en terceros.

Un día después, la cadena de gimnasios Basic Fit —con más de 150 centros en España— confirmó la exposición de datos bancarios, nombres y fechas de nacimiento de más de 4,5 millones de usuarios en toda Europa. Una sola brecha, consecuencias continentales.

Mapfre y el ultimátum de Lapsus$

La aseguradora Mapfre recibió un ultimátum del conocido grupo Lapsus$: 15 días para evitar la publicación de datos supuestamente robados. Un recordatorio de que el ransomware y la extorsión basada en datos siguen siendo las tácticas preferidas de los grupos más organizados.

El marco regulatorio cambia de velocidad

Dos proyectos de ley en un mismo mes

El Gobierno aprobó en abril el Proyecto de Ley de Protección y Resiliencia de Entidades Críticas, que transpone la Directiva CER (2022/2557) al ordenamiento jurídico español, con el Secretariado de Estado de Seguridad (SES) como autoridad competente.

En paralelo avanza el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, vehículo de transposición de la Directiva NIS2. Los expertos que participaron en el foro CIO ForwardTech & ThreatScape Spain subrayaron dos implicaciones directas para las empresas: mayor responsabilidad de los consejos de administración y requisitos de auditoría más estrictos sobre la cadena de suministro.

La UE aprieta las tuercas

La Comisión Europea solicitó la imposición de una multa a España por no haber transpuesto la Directiva CER antes de octubre de 2024, fecha límite incumplida. La presión de Bruselas es ahora un factor regulatorio tan real como cualquier inspección de la AEPD.

Hablando de la AEPD: el organismo estrenó una herramienta interactiva para consultar notificaciones de brechas de datos y sancionó en abril a un centro educativo con 5.000 euros por una filtración derivada del robo de un equipo informático.

Las cifras que contextualizan el problema

El INCIBE publicó su informe anual con datos de 2025: 122.223 incidentes de ciberseguridad gestionados, un 26% más que en 2024. El sector bancario concentró el 34% de los incidentes en empresas; el malware y el fraude online fueron los vectores dominantes.

En Cataluña, la Agencia de Ciberseguridad bloqueó el 80% de los 9.100 millones de ciberataques registrados contra el sector público en 2025, aunque los incidentes con éxito se duplicaron hasta 6.544, con sanidad y universidades como principales víctimas.

Soberanía digital y criptografía postcuántica

Abril también trajo movimientos estratégicos en el mercado. La empresa española S2 Grupo y el proveedor de nube europeo OVHcloud anunciaron una alianza para ofrecer soluciones cloud y de ciberseguridad 100% europeas a sectores críticos, en respuesta directa a los requisitos de NIS2 y al RGPD.

La red de SOC de Vodafone España fue incorporada al registro europeo TF-CSIRT, un reconocimiento de madurez operativa relevante para sus clientes empresariales.

En el horizonte más lejano, España avanza en criptografía postcuántica (PQC) a través del proyecto ARQADE, liderado por la Fundación CTIC. Cataluña ha comprometido 18 millones de euros para preparar su infraestructura ante las amenazas que traerá la computación cuántica. El Centro Nacional de Inteligencia (CNI), por su parte, ha recomendado limitar el uso de equipos de Huawei en sectores críticos de telecomunicaciones.

Qué lecciones extraer para su organización

Los incidentes de abril tienen un denominador común que debería preocupar a cualquier CISO o responsable de IT:

  1. La cadena de suministro es el eslabón débil. Naturgy, Iberdrola e Inditex no fueron comprometidas directamente, sino a través de partners y proveedores externos. NIS2 ya exige auditar estos terceros; los incidentes de abril demuestran que no es burocracia, es necesidad.
  2. Los datos de acceso son el objetivo real. DNIs, IBANs, credenciales de usuario: lo que los atacantes buscan son los datos que permiten suplantar identidades o acceder a otros sistemas. Gestionar, rotar y centralizar el acceso a credenciales corporativas —especialmente en entornos con múltiples proveedores— es más urgente que nunca.
  3. El marco normativo ya no es una opción. Con NIS2, CER y la presión de la Comisión Europea, las empresas que operen en sectores esenciales o importantes en España afrontan auditorías reales y sanciones reales. Documentar los controles y demostrar cumplimiento ya no puede postergarse.
  4. El sector público también es objetivo. Municipios, universidades, hospitales: los actores con menores presupuestos de seguridad son blanco recurrente. La inversión pública a través del programa RETECH (162 millones de euros vía NextGenerationEU) es una respuesta sistémica, pero cada entidad necesita también su propia línea de defensa.

Conclusión

Conclusión

Abril de 2026 ha sido un mes de avisos. Avisos en forma de brecha de datos, de multas europeas y de legislación que ya no puede ignorarse. Las organizaciones que salgan mejor paradas serán las que ya hayan ordenado su casa: accesos controlados, proveedores auditados, credenciales gestionadas de forma centralizada y equipos con capacidad de respuesta ante incidentes.

La pregunta no es si su empresa será objetivo. La pregunta es si estará preparada cuando lo sea.

CTA Image

¿Quiere saber cómo Passwork ayuda a las organizaciones a centralizar y proteger el acceso a credenciales corporativas en entornos multi-proveedor? Solicite una demo gratuita

Ataque a la cadena de suministro: Bitwarden CLI y Checkmarx
Cómo los atacantes convierten paquetes de confianza, GitHub Actions y pipelines CI/CD en puntos de entrada silenciosos. Por qué la arquitectura, las dependencias fijadas y la gobernanza de secretos son los únicos controles que realmente contienen el radio de impacto.
Passwork BlogAlex Muntyan
Últimas noticias NIS2: Cambios y su impacto en empresas de la UE
Bélgica estableció el primer plazo de evaluación de conformidad para el 18 de abril de 2026. Los Países Bajos están a días de iniciar la aplicación. Aquí se explica dónde se encuentra la oleada regulatoria en este momento y qué deben abordar ahora los responsables de TI.
Passwork BlogAlex Muntyan
Ataques de fuerza bruta en 2026: tipos, ejemplos y prevención
Clústeres de GPU, diccionarios asistidos por IA, botnets de 2,8 millones de dispositivos. La fuerza bruta ha escalado. Esta guía cubre seis variantes de ataque, casos reales de 2025 y una estrategia de defensa en capas que su equipo puede implementar hoy.
Passwork BlogAlex Muntyan