La Generalitat detecta una media de 25 millones de intentos de ciberataque al día contra sus sistemas, según el balance que la Agència de Ciberseguretat de Catalunya cerró para 2025. La cifra anual roza los 9.100 millones de incidencias bloqueadas, con una tasa de neutralización automática del 80%. Las dianas preferidas: hospitales públicos, universidades y los sistemas internos del propio Govern.
Hospitales y universidades, en el centro de la diana
El dato bruto impresiona, pero lo relevante es el patrón. Los atacantes ya no buscan tumbar webs institucionales para hacer ruido: buscan información sensible, credenciales y, sobre todo, sistemas críticos. La sanidad pública catalana lleva dos años siendo objetivo recurrente, con episodios graves como el ataque al Hospital Clínic de marzo de 2023 que paralizó quirófanos durante días y obligó a desviar pacientes a centros vecinos.
Universidades como la UAB o la UOC también han pasado por episodios similares, con secuestros de datos académicos y exfiltraciones masivas. El portal oficial de la Agència de Ciberseguretat mantiene un registro público de incidentes notificados que, solo en el último trimestre de 2025, superó los 1.400 casos con afectación operativa real.
El 20% restante, esos ataques que no se neutralizan automáticamente y que requieren intervención humana del equipo técnico, equivale a unos 1.820 millones de incidencias anuales. Una cifra que, aun siendo residual en porcentaje, exige miles de horas de análisis especializado.
18 millones de inversión y la sombra de la era cuántica
El Govern ha anunciado una inversión récord de 18 millones de euros para reforzar la ciberseguridad autonómica, con foco en la preparación frente a la llamada era cuántica. La lógica del anuncio es la siguiente: cuando los ordenadores cuánticos sean operativos a escala industrial, los algoritmos criptográficos actuales —los que protegen desde la banca electrónica hasta los expedientes médicos— quedarán obsoletos en cuestión de horas.
La Generalitat quiere adelantarse. Parte del presupuesto se destinará a desplegar criptografía postcuántica en infraestructuras críticas y a formar perfiles especializados, un cuello de botella reconocido por el propio sector. Cataluña no es la primera comunidad en moverse —el País Vasco lleva desde 2024 con su Centro Vasco de Ciberseguridad reforzado—, pero sí la que pone más dinero sobre la mesa en una sola partida.
Hay un matiz político que conviene apuntar. La ciberseguridad es una de esas competencias donde la coordinación con el Estado es ineludible: el Centro Criptológico Nacional (CCN-CERT), dependiente del CNI, sigue siendo la referencia técnica nacional, y muchos protocolos de respuesta exigen coordinación con Madrid. El Govern presume de músculo propio mientras depende de la arquitectura estatal en los incidentes graves. Esa tensión no es nueva, pero se agudiza cada vez que se anuncia un plan autonómico.
Lo que dicen los números frente a lo que callan
Analizamos esta cifra con cierta cautela. Los 25 millones de intentos diarios incluyen desde escaneos automáticos de puertos —ruido de fondo en cualquier red conectada a internet— hasta ataques dirigidos con ingeniería social. Mezclar ambas categorías infla las estadísticas y crea una sensación de éxito que no siempre se corresponde con la realidad operativa.
De hecho, el episodio del Clínic dejó claro que basta con que UN ataque sofisticado pase el filtro para colapsar un servicio esencial durante semanas. La ratio del 80% bloqueado suena bien en titulares; la pregunta clave es qué porcentaje de los ataques realmente sofisticados —los dirigidos, los persistentes— se detiene a tiempo. Ese dato la Generalitat no lo desglosa públicamente.
Hay un precedente relevante en el propio territorio. En octubre de 2023, el Ayuntamiento de Barcelona sufrió un intento de ataque coordinado contra varios servicios municipales que se contuvo, pero que obligó a revisar protocolos durante meses. La lección entonces fue que la coordinación entre administraciones catalanas dejaba lagunas. Dos años después, la Agència de Ciberseguretat asegura haber tejido una red de respuesta más densa con ayuntamientos y consejos comarcales.
Bloquear el 80% de los ciberataques es una métrica que tranquiliza al titular, pero el riesgo real vive en el 20% restante: ahí están los hospitales, los expedientes y la confianza ciudadana.
El reto inmediato llega con el calendario europeo. La directiva NIS2, ya en transposición avanzada, obliga a operadores esenciales a elevar estándares antes del verano. Los 18 millones anunciados por el Govern deberán traducirse en contrataciones, equipamiento y auditorías concretas en los próximos meses. Si la ejecución se ralentiza, el próximo balance anual contará otra historia.
El siguiente termómetro será el informe trimestral de la Agència, previsto para julio. Hasta entonces, habrá que ver si la cifra de incidencias graves —no la del ruido de fondo— evoluciona a la baja. Esa es la única métrica que importa.
