O problema dos ciberataques em Espanha para empresas e instituições

Início » O problema dos ciberataques em Espanha para empresas e instituições

Os ciberataques em Espanha deixaram de ser um problema distante das grandes multinacionais para se tornarem um risco diário para pymes, administrações públicas e setores críticos. O país vive um cenário em que o ransomware, o phishing e o roubo de dados se multiplicam, apoiados por novas ferramentas de inteligência artificial (IA) e por redes criminosas altamente profissionalizadas, com iniciativas e projetos de cibersegurança na Europa em evolução.

Este ambiente de ameaça constante traduz‑se em milhares de incidentes semanais, afetando desde ministérios, forças de segurança e autarquias até universidades, hospitais, seguradoras, operadoras de telecomunicações e comércio retalhista. Para muitas organizações, sobretudo as de menor dimensão, um único ataque grave pode significar paragem de atividade durante dias, custos elevados de recuperação e, em casos extremos, o encerramento definitivo.

Panorama geral dos ciberataques em Espanha e no mundo

O ano de 2025 consolidou uma tendência clara: os ciberataques estão a crescer tanto em volume como em sofisticação, com Espanha acima da média europeia em número de incidentes. De acordo com dados de inteligência de ameaças, as organizações espanholas sofreram cerca de 1.883 ataques semanais em dezembro, o que representa um aumento de 5% face ao mesmo mês do ano anterior.

A nível global, a média chegou a 2.027 ciberataques semanais por organização, com um crescimento interanual de 9%, evidenciando que a atividade maliciosa não é um fenómeno isolado de uma região, mas sim parte de um contexto mundial em que os criminosos exploram qualquer fragilidade digital disponível.

Setores como educação, governos, telecomunicações e organizações sem fins lucrativos destacam‑se entre os mais atacados no cenário internacional, com as instituições de ensino a registarem cerca de 4.349 ataques semanais em dezembro (mais 12% ano após ano). Esta vulnerabilidade está ligada a ambientes digitais muito abertos, grande número de utilizadores e infraestruturas tecnológicas frequentemente desatualizadas.

Na Europa, a média rondou os 1.677 ataques semanais, também com subida anual de 9%, enquanto regiões como a América Latina e a Ásia‑Pacífico lideraram em volume absoluto de incidentes, com mais de 3.000 ataques semanais por organização e um crescimento particularmente acentuado na América Latina (cerca de 26% interanual).

Espanha no mapa: setores mais visados e crescimento do ransomware

Dentro da Europa, Espanha apresenta um nível de exposição superior à média, com 1.883 ataques semanais e um crescimento constante impulsionado sobretudo pelo ransomware e por campanhas de phishing dirigidas. Os setores mais afetados no país são as Instituições Governamentais, o segmento de Bens e Serviços de Consumo e as Telecomunicações.

Outros domínios com impacto significativo incluem Serviços Financeiros, Serviços Empresariais, Indústria Transformadora, Energia e Utilities, criando um cenário em que praticamente toda a economia está sob pressão contínua de ataques digitais. A digitalização em massa, a migração para a nuvem e o trabalho remoto ampliaram consideravelmente a superfície de ataque.

O ransomware é a ameaça que mais preocupa: em Espanha, os incidentes deste tipo dispararam de 62 em 2024 para 134 em 2025, concentrando quase 2% de todos os ataques de ransomware reportados no mundo. Em termos percentuais, o crescimento global deste tipo de ataque rondou os 146%, mas a realidade espanhola indica uma concentração específica de campanhas no país.

Por trás destes incidentes não há hackers isolados, mas sim verdadeiras corporações criminosas que operam modelos de negócio como o Ransomware as a Service (RaaS), onde grupos especializados desenvolvem o malware e alugam ou vendem a “franquia” a outros criminosos. Entre os atores mais ativos destacam‑se RansomHub (com forte presença global), Akira (conhecido pela capacidade de explorar pontos de entrada diversos) e Clop (especialista em ataques à cadeia de fornecimento).

As táticas também evoluíram para esquemas de dupla e tripla extorsão: primeiro cifram os dados, depois roubam informação sensível e ameaçam divulgá‑la, podendo ainda lançar ataques DDoS ou contactar diretamente clientes e parceiros da vítima para aumentar a pressão para pagamento do resgate.

Casos recentes de ciberataques em Espanha em 2025

O ano de 2025 em Espanha esteve repleto de incidentes mediáticos que revelam a variedade de alvos e métodos usados pelos atacantes, desde phishing a fugas massivas de dados e ataques de ransomware a instituições públicas.

Em janeiro, a Universitat de les Illes Balears (UIB) sofreu uma campanha de phishing em que foram enviados e‑mails fraudulentos a estudantes e docentes, simulando comunicações oficiais da própria instituição. Estes e‑mails apontavam para um site falso onde eram pedidas credenciais institucionais, comprometendo potencialmente informação sensível e dados pessoais.

No mesmo mês veio a público uma fuga de dados que afetou cerca de 180.000 membros da Guarda Civil, Forças Armadas e trabalhadores do Ministério da Defesa, cujos endereços de e‑mail (incluindo quase 20.000 contas pessoais) foram colocados à venda em fóruns de cibercrime. As investigações apontam para um roubo de informação ocorrido possivelmente um ano antes da divulgação.

Também em janeiro, a Telefónica sofreu um incidente no seu sistema interno de ticketing, utilizado para registo de incidências técnicas. O ataque resultou na exposição de cerca de 2,3 GB de dados internos, embora a operadora tenha assegurado que a informação de clientes residenciais não foi afetada. O incidente foi atribuído a um grupo de quatro indivíduos com os pseudónimos DNA, Grep, Pryx e Rey.

Em fevereiro, a seguradora DKV notificou os seus clientes sobre um ciberataque que comprometeu dados pessoais, como nomes, números de telefone, DNI, datas de nascimento, e‑mails e endereços postais. Embora a empresa garanta que dados financeiros e de saúde não foram expostos, a fuga abriu espaço para tentativas de fraude, roubo de identidade e engenharia social.

Já em março, o El Corte Inglés foi alvo de um ataque através de um fornecedor externo, permitindo o acesso de criminosos a dados de identificação e contacto de clientes, além de números de cartões “só para uso em El Corte Inglés”, que contam com uma base estimada de 11,8 milhões de utilizadores. A empresa indicou que as informações obtidas não seriam suficientes para efetuar pagamentos com esses cartões, incentivando à sua continuação de uso.

No mesmo mês, um grupo de hackers pró‑russos, NoName057, coordenou ataques de negação de serviço contra vários sites de administrações locais e regionais, como as deputações de Valência, Cáceres e Badajoz, bem como câmaras municipais de Mérida e Benavente. No País Basco, foram afetados os portais da Deputação de Guipúscoa e das autarquias de San Sebastián, Irún e Hondarribia, em reação ao apoio do governo espanhol à Ucrânia.

Em abril, a Federação de Associações de Trabalhadores Independentes (ATA) viu os dados de centenas de milhares de associados serem anunciados na dark web pelo grupo Arikos, incluindo 240.000 registos com nomes e apelidos, 110.000 e‑mails e 244.000 números de telefone. Até o presidente da organização, Lorenzo Amor, foi afetado, o que ilustra o alcance da intrusão.

Na mesma altura, a empresa municipal de águas Aigües de Mataró sofreu um incidente de cibersegurança que afetou os seus sistemas informáticos e página web, embora o abastecimento de água, a qualidade do serviço e a gestão do saneamento não tenham sido comprometidos, segundo comunicou a própria companhia.

Ainda em abril, o município de Badajoz foi alvo de um ataque de ransomware que paralisou completamente os seus serviços digitais, deixando inoperacionais os sistemas informáticos, portais web e canais de atendimento de uma cidade com mais de 150.000 habitantes. As primeiras análises apontaram para o grupo LockBit como responsável pelo ataque.

Em maio, o Senado espanhol destapou um caso interno em que dois informáticos contratados acederam indevidamente a perfis digitais, contas de e‑mail e outras identidades digitais de vários senadores, num total de 29 políticos de diferentes partidos, incluindo o ex‑presidente da Extremadura, Guillermo Fernández Vara. Ambos foram despedidos por falta disciplinar muito grave.

Em junho, a Telefónica voltou às manchetes ao investigar um alegado mega‑ataque a clientes Movistar, em que um cibercriminoso conhecido como Dedale afirmava ter obtido acesso a 22 milhões de registos de clientes e já ter divulgado, como prova, um milhão de registos pertencentes a utilizadores peruanos. O atacante pediu uma quantia relativamente baixa de resgate: cerca de 1.500 dólares.

Mais tarde, em outubro, a cadeia têxtil Mango comunicou um acesso não autorizado a dados pessoais de clientes através de um serviço de marketing externo, expondo nomes (sem apelidos), números de telefone e e‑mails usados em campanhas promocionais. A empresa destacou que não foram comprometidos dados bancários, números de documentos de identificação, credenciais nem palavras‑passe.

Em novembro, o grupo de hacking BreachParty reivindicou o roubo de dados de aproximadamente 21.000 clientes do ING Espanha, incluindo identificadores de cliente, nomes completos, datas de nascimento, cidades de residência, telefones associados às contas, códigos bancários, IBAN e informação sobre as sucursais. O ataque levou à divulgação de parte desses dados. Pouco depois, surgiram indícios de que o mesmo grupo poderia ter acedido a informação de cerca de 10.000 clientes do Santander, com dados pessoais e bancários expostos, embora o banco não tenha confirmado oficialmente o incidente até ao momento.

As pymes na linha da frente: impacto económico e risco de encerramento

As pequenas e médias empresas espanholas tornaram‑se um dos alvos favoritos dos cibercriminosos, precisamente porque costumam ter menos recursos, defesas mais frágeis e uma perceção errada de que “não interessam a ninguém”. Esta combinação transforma as pymes no elo mais fraco da cadeia de cibersegurança.

De acordo com um relatório de Vodafone Empresas, elaborado com a colaboração do INCIBE, os ciberataques a empresas em Espanha cresceram 43% num único ano, totalizando 97.348 incidentes de cibersegurança geridos, dos quais mais de 31.500 afetaram diretamente o tecido empresarial. O malware é a ameaça mais frequente (mais de 42.000 casos), com o ransomware a destacar‑se como o ataque mais disruptivo.

O mesmo relatório mostra um dado particularmente preocupante: cerca de 60% das pymes acabam por encerrar menos de seis meses depois de sofrerem um ciberataque grave, muitas vezes porque não conseguem absorver os custos de paragem de atividade, recuperação de sistemas, eventuais resgates e perda de confiança dos clientes. Em média, o impacto financeiro de um ataque significativo pode chegar facilmente aos 35.000 euros por empresa.

Além disso, aproximadamente 70% das pymes não conseguem sequer estimar com precisão o custo real do incidente, já que este se desdobra em múltiplas frentes: horas de trabalho perdidas, serviços externos de resposta a incidentes, substituição de equipamentos, eventuais multas regulatórias e danos reputacionais que se prolongam no tempo.

Há ainda a componente legal: quando são comprometidos dados pessoais de clientes ou colaboradores, entram em jogo as obrigações do Regulamento Geral de Proteção de Dados (RGPD), que podem resultar em sanções importantes. Para uma pequena empresa, uma multa ou indemnização relevante, somada ao prejuízo operacional, pode ser simplesmente insustentável.

Meios de comunicação de referência em Espanha têm vindo a relatar casos em que pymes apenas percebem a dimensão do problema quando já é tarde demais, enfrentando semanas ou meses de recuperação. Muitos negócios não dispõem de backups verificados, planos de continuidade nem seguros de ciber-risco que ajudem a mitigar o impacto.

Pontos de entrada e vetores de ataque nas empresas espanholas

À medida que os atacantes se profissionalizam, também se diversificam os vetores de entrada explorados nas organizações espanholas, deixando bem claro que não existe um único “ponto fraco” a proteger.

Relatórios recentes sobre ciberpreparação das pymes indicam que as instalações físicas, os colaboradores internos e os parceiros de terceiros representam, cada um, cerca de 22% dos pontos de acesso utilizados em ataques bem‑sucedidos, mostrando que tanto o interior da organização quanto a sua cadeia de fornecimento podem servir de porta de entrada.

O software desatualizado e os sistemas vulneráveis concentram perto de 19% dos incidentes, enquanto a infraestrutura de rede é responsável por cerca de 16% dos acessos maliciosos, o que confirma que qualquer elo da cadeia digital pode ser explorado – dos dispositivos físicos aos servidores na nuvem, passando pelos routers e firewalls mal configurados.

Os tipos de ataques mais habituais em Espanha incluem malware (com destaque para o ransomware), ataques DDoS, campanhas de phishing e roubo de credenciais, muitas vezes combinados numa mesma operação: um e‑mail enganador leva à instalação de malware, que depois exfiltra dados e prepara o terreno para um cifrador ou para uma tentativa de extorsão.

Os ataques DDoS são usados para tirar sites e serviços online do ar, afetando a imagem pública das organizações, enquanto o phishing e a suplantação de identidade (por e‑mail, SMS ou aplicações de mensagem) aproveitam‑se diretamente do fator humano, que continua a ser um dos principais pontos fracos.

Ransomware: pagar o resgate em Espanha compensa?

Apesar de muitos responsáveis empresariais acreditarem que pagar o resgate é a forma mais rápida de recuperar a informação, os dados mostram que esta estratégia é arriscada e, muitas vezes, ineficaz. Em Espanha, apenas cerca de 57% das pymes que pagaram um resgate de ransomware nos 12 meses analisados conseguiram recuperar efetivamente os seus dados.

Mais grave ainda, cerca de 25% das empresas que efetuaram o pagamento acabaram, mesmo assim, por ver a sua informação sensível divulgada, uma percentagem muito superior aos 7% registados no ano anterior, o que demonstra que a confiança cega nas promessas dos criminosos é cada vez menos segura.

Para complicar o quadro, aproximadamente 31% das empresas descobriram que a chave de desencriptação fornecida pelos atacantes não funcionava, enquanto 29% sofreram um novo ataque após o primeiro incidente, e em 28% dos casos foram exigidos pagamentos adicionais. Em quase metade das situações (46%), as empresas tiveram de reconstruir por completo os seus sistemas, mesmo tendo recebido uma chave válida.

Na prática, isto significa que o impacto de um ciberataque não se limita ao resgate: as organizações acabam por investir duplamente – primeiro para tentar recuperar os dados, depois para reconstruir e reforçar a infraestrutura, com o objetivo de reduzir a probabilidade de um novo incidente. O esforço financeiro, operacional e emocional é enorme, sobretudo para pymes.

Apesar de cerca de 32% das pymes que pagaram um resgate relatarem que os seus dados não foram divulgados, este número é insuficiente para compensar o risco claramente elevado de exposição, sem falar do efeito de alimentar o modelo de negócio dos grupos de ransomware, que continuam a ver em Espanha um alvo apetecível.

Transparência e normas sobre ciberataques: o debate em Espanha

À medida que a frequência e a gravidade dos ciberataques aumentam, ganha força o debate sobre a transparência em torno dos incidentes e dos pagamentos de resgates, tanto em Espanha como noutros países. Em mercados como a Austrália, por exemplo, já é obrigatória a notificação de pagamentos de ransomware.

Em Espanha ainda não existe uma norma específica que obrigue à divulgação destes pagamentos, mas o tema está cada vez mais presente na agenda pública e empresarial, especialmente à medida que mais casos chegam aos meios de comunicação e à opinião pública.

Inquéritos recentes revelam que cerca de 62% das pymes espanholas mostram‑se favoráveis à criação de uma obrigação de notificar pagamentos de resgate, argumentando que partilhar estes dados pode contribuir para uma gestão mais eficaz da cibersegurança a nível setorial e nacional.

Entre as empresas que apoiam esta medida, 55% acreditam que a transparência ajudaria a melhorar a coordenação na resposta a incidentes e a compreensão do risco, enquanto 52% consideram que poderia oferecer aos clientes e partes interessadas uma visão mais clara da saúde financeira e da resiliência da empresa, reduzindo ao mesmo tempo o estigma associado a pagar para proteger informação.

Adicionalmente, cerca de 49% defendem que uma maior abertura em relação a estes incidentes reforçaria a confiança dos clientes e dos stakeholders, mostrando que a transparência tem impacto tanto interno como externo na perceção da marca e na relação com o ecossistema em que a empresa se insere.

Infraestruturas industriais (ICS) e OT: um alvo silencioso

Para além do mundo corporativo tradicional, os sistemas de controlo industrial (ICS) e os ambientes OT (Operational Technology) também estão sob forte pressão na Europa do Sul, incluindo Espanha, onde o risco de ciberataques contra infraestruturas críticas é cada vez mais levado a sério.

No segundo trimestre de 2025, cerca de 19,4% dos computadores ICS no sul da Europa detetaram e bloquearam tentativas de ciberataque, um valor ligeiramente abaixo da média global (20,5%), mas significativamente superior ao registado na Europa do Norte (11,2%). Dentro da região, Espanha situou‑se em torno da média, enquanto Grécia (26,1%) e Macedónia do Norte (26,0%) apresentaram índices particularmente elevados.

Os setores mais afetados no sul da Europa foram o da biometria (34,2%) e o da automação de edifícios (26,3%), ambos com percentuais bem acima das médias globais (27,2% e 23,4%, respetivamente), refletindo o interesse dos atacantes por sistemas capazes de abrir portas para dados sensíveis, controlo de acessos e gestão de instalações.

Por outro lado, indústrias como construção (17,0%), engenharia e integração ICS (16,0%), energia elétrica (14,8%) e manufatura (12,8%) registaram valores abaixo da média mundial, embora continuem a ser alvos estratégicos em ataques mais dirigidos e sofisticados.

Quanto às origens das ameaças, cerca de 8,35% dos computadores ICS do sul da Europa bloquearam ataques provenientes diretamente da Internet, com Espanha a apresentar um valor semelhante (8,09%) e a Macedónia do Norte a liderar com 11,47%. O e‑mail, porém, revelou‑se um vetor ainda mais crítico.

O correio eletrónico foi o canal de ataque mais destacado: 7,23% dos computadores ICS na região detetaram tentativas de infeção via e‑mail, a taxa mais alta a nível mundial, com Espanha a registar 7,8%, ocupando a quarta posição regional, e a Grécia a encabeçar esta categoria (12,32%).

Os dispositivos extraíveis (como USB) apresentaram percentagens muito mais reduzidas: apenas 0,11% dos ICS foram afetados no sul da Europa, com Espanha nos 0,09%, um valor inferior ao de Macedónia do Norte (0,78%) e ligeiramente acima de Itália (0,07%).

O spyware, por sua vez, continua a ser um dos riscos mais significativos para infraestruturas industriais, com Espanha a registar 7,05% de computadores ICS alvo de tentativas de infeção deste tipo no segundo trimestre de 2025, uma das percentagens mais altas da região. Este malware é usado para roubar informação confidencial, movimentar‑se lateralmente em redes comprometidas e servir de porta de entrada para ameaças adicionais, como o ransomware.

No conjunto da Europa do Sul, o spyware impactou 5,88% dos sistemas ICS, com destaque negativo para Grécia (9,32%) e Macedónia do Norte (8,37%), e com Portugal também bem posicionado na lista (7,74%). Já Itália (3,66%) e Chipre (4,20%) apresentaram os níveis mais baixos.

Para mitigar estes riscos em ambientes OT, recomenda‑se a realização de avaliações periódicas de segurança, gestão contínua de vulnerabilidades, atualização regular de componentes críticos, bem como o uso de soluções especializadas (como plataformas de EDR e suites específicas para ICS) e formação constante das equipas técnicas de TI e OT.

O papel da inteligência artificial nos ciberataques em Espanha

A inteligência artificial generativa tornou‑se um fator de aceleração clara na evolução dos ciberataques em Espanha e no resto do mundo, tanto no lado ofensivo – quando é usada por criminosos – como no lado defensivo – pela ciberindústria e equipas de segurança.

Do ponto de vista dos atacantes, a IA permite automatizar campanhas massivas, criar e‑mails de phishing muito mais credíveis, gerar deepfakes de voz e vídeo, e imitar padrões de escrita e comportamento de executivos ou entidades de confiança, aumentando significativamente a taxa de sucesso das fraudes e da engenharia social.

Relatórios recentes indicam que uma em cada 27 solicitações a ferramentas de IA generativa realizadas em contexto empresarial em dezembro representava um alto risco de fuga de dados sensíveis, e que 91% das organizações que usam GenAI registaram atividades de alto risco nesse período.

Um quarto das solicitações analisadas continha informação potencialmente confidencial ou crítica, e as empresas utilizaram, em média, 11 ferramentas diferentes de IA generativa. O utilizador corporativo típico gerou até 56 pedidos por mês a estas plataformas, criando um volume nada desprezível de dados a circular por serviços de terceiros.

Este comportamento abre a porta a situações em que dados corporativos sensíveis são carregados inadvertidamente em serviços de IA externos sem controlo, incluindo dados pessoais, artefactos internos de rede e TI, e até código‑fonte proprietário. O resultado é um aumento da exposição a perdas de dados e a ciberataques potenciados por IA.

Perante este cenário, os especialistas insistem que as organizações devem ser capazes de monitorizar e restringir que tipo de dados se enviam para cada plataforma de IA, reforçando a governação, a visibilidade e as políticas de segurança sobre estas ferramentas, que já estão profundamente integradas na rotina diária de muitas equipas.

O ciberriesgo como risco empresarial central

O conceito de ciberriesgo consolidou‑se em Espanha como um risco empresarial ao nível dos riscos financeiros, operacionais ou reputacionais, deixando de ser encarado como um simples “tema de informática” para se tornar um assunto estratégico de gestão.

Deixar de investir em cibersegurança deixou de ser uma opção neutra: é um risco direto para a continuidade do negócio, com potenciais perdas económicas, danos de imagem difíceis de reparar, eventuais sanções regulatórias e perda de competitividade num mercado cada vez mais digital.

Para muitas organizações, sobretudo pymes, a chave não está em montar mega‑estruturas tecnológicas, mas sim em implementar medidas básicas bem executadas, como formação contínua dos colaboradores, utilização de palavras‑passe fortes e autenticação multifator, realização de cópias de segurança periódicas e testadas, atualização regular de sistemas e software, e segmentação adequada das redes e alinhamento com cibersegurança corporativa e boas práticas.

Organismos como o INCIBE sublinham que a prevenção e a sensibilização continuam a ser as ferramentas mais eficazes, especialmente num contexto em que a maior parte dos incidentes graves explora falhas humanas ou técnicas evitáveis. Antecipar o ataque é, quase sempre, muito mais barato do que gerir as suas consequências.

Também ganha importância o recurso a serviços especializados de cibersegurança, desde auditorias e testes de intrusão até soluções geridas de deteção e resposta, assim como o alinhamento com normas e referenciais como o RGPD e o Esquema Nacional de Segurança (ENS), que ajudam a estruturar políticas e controlo interno.

O quadro atual em Espanha mostra um país onde os ciberataques crescem em número e sofisticação, com pymes, setor público, infraestruturas industriais e educação na linha da frente, enquanto o ransomware, o phishing e o uso malicioso de IA empurram o risco digital para o centro da gestão empresarial; quem conseguir combinar prevenção, transparência, tecnologia adequada e formação contínua terá muito mais possibilidades de transformar um ataque inevitável num incidente controlado, em vez de num ponto final para o negócio.