Aunque los grupos ciber-criminales operan durante todo el año, el período estival ofrece a los atacantes una ventana de oportunidad estructural que explotan de forma deliberada y sistemática.
Miguel Ángel Valero
El sector financiero, la Administración pública y cualquier organización que gestione datos confidenciales en el tiempo -historiales médicos, expedientes legales, contratos estratégicos o datos de clientes- se enfrentan a una inherente amenaza: el ataque conocido como ‘Harvest Now, Decrypt Later’. Los actores maliciosos recopilan hoy volúmenes masivos de información cifrada con la expectativa de descifrarla cuando los ordenadores cuánticos alcancen suficiente capacidad de cómputo. Los datos robados mañana con algoritmos cuánticos son, en realidad, los datos que se están transmitiendo hoy.
“Las organizaciones españolas deben entender que prepararse en criptografía post-cuántica no es un proyecto de futuro, sino un programa de resiliencia operativa que empieza ahora. Quienes comiencen a construir su inventario criptográfico, a identificar sus activos críticos y a realizar pruebas controladas tendrán ventaja a nivel tanto regulatorio como reputacional”, apunta Eutimio Fernández, Regional Sales Manager para Iberia en Thales Cybersecurity Products.
La Comisión Europea publicó en 2024 su Recomendación sobre la transición coordinada hacia la criptografía post-cuántica (algoritmos y protocolos diseñados para resistir ataques de computadoras cuánticas), instando a los Estados miembros a iniciar las migraciones de manera inmediata y a priorizar las infraestructuras críticas antes de 2030.
España cuenta además con su Estrategia de Tecnologías Cuánticas 2025-2030, que refuerza la urgencia de abordar la ciberseguridad cuántica como prioridad. En paralelo, el marco normativo de ciberseguridad europeo -con NIS2, DORA para el sector financiero y el Esquema Nacional de Seguridad en el ámbito público- está elevando el nivel de exigencia en gestión criptográfica.
“Las empresas más avanzadas ya están pasando de la estrategia a la ejecución con planes que incluyen un inventario criptográfico inicial, el análisis de la interoperabilidad, la selección de proyectos piloto y la construcción de evidencias auditables. No se trata de completar la migración de la base criptográfica este año, sino de plantearse por dónde empezar, qué priorizar y qué sistemas testar”,continúa el responsable de Thales Cybersecurity Products.
Estos planes de acción incluyen así identificar dónde se usa cifrado, qué datos protege y qué activos tienen largos horizontes de confidencialidad; en interoperabilidad, documentar dependencias con proveedores cloud, plataformas SaaS, redes de pago o partners que afectarán al ritmo de la migración; seleccionar uno o dos puntos de partida donde probar algoritmos híbridos (vulnerables y no) sin interrumpir operaciones, como por ejemplo una ruta PKI interna, un flujo TLS crítico o un proceso de firma de código; y generar un paquete de evidencias desde el primer día, que pueda presentarse a reguladores, juntas directivas y auditores como prueba de progreso estructurado.
Sophos: el riesgo cibernético se dispara en verano
Sophos, la firma de ciberseguridad, alerta del incremento del riesgo cibernético durante los meses de verano. Aunque los grupos ciber-criminales operan durante todo el año, el período estival ofrece a los atacantes una ventana de oportunidad estructural que explotan de forma deliberada y sistemática. Según el informe Sophos Active Adversary Report 2026, el 67% de los incidentes analizados en 2025 tuvieron su origen en ataques a la identidad, y las credenciales comprometidas fueron la causa principal en el 42% de los casos. En verano, estos vectores se vuelven aún más efectivos: los equipos de seguridad reducen personal, los tiempos de respuesta a incidentes se ralentizan y las brechas en la cobertura de monitorización se amplían.
“La realidad es más compleja que una simple curva estacional. Los atacantes con motivación financiera operan todo el año, pero el verano les da algo que valoran enormemente: la oportunidad. Las organizaciones reducen capacidad defensiva, el perímetro se expande con el teletrabajo y el Wi-Fi público y los usuarios están en ‘modo vacaciones’, menos alerta”, apunta Álvaro Fernández, Director de Ventas en Sophos Iberia.
El auge del turismo y la hostelería convierte a este sector en uno de los más expuestos durante los meses de verano. Los volúmenes de transacciones se disparan, los equipos incorporan personal temporal con menor formación en seguridad y la urgencia inherente a los viajes hace a los usuarios especialmente vulnerables a la ingeniería social.
Sophos lleva rastreando desde 2023 campañas activas contra conocidas plataformas de reservas, que no requieren vulnerar la plataforma en sí: los atacantes roban credenciales al personal de los establecimientos hoteleros mediante phishing y luego usan datos de reservas reales -nombre del huésped, fecha de entrada, precio…- para contactar directamente a los viajeros a través de canales de mensajería legítimos. El resultado es una ingeniería social casi imposible de detectar a simple vista. “No se trata de que ciertos sectores sean atacados con mayor frecuencia que otros, sino de la oportunidad que se presenta para que los ciber-delincuentes se infiltren en sectores de alta actividad en el período estival, como el de hostelería y turismo”, continúa el responsable de Sophos.
La inteligencia artificial ha democratizado y escalado los ataques de phishing. Las herramientas de IA permiten generar mensajes con el contexto cultural adecuado, la ortografía correcta en múltiples idiomas y detalles de reserva verídicos, eliminando los errores que antes servían de señal de alerta para el usuario. Esto afecta especialmente al phishing tradicional por correo, pero también al vishing (llamadas de voz) y al smishing (SMS), modalidades que se intensifican en verano aprovechando la urgencia de los viajes: mensajes del tipo “Confirme su pago en 24 horas o perderá su habitación” generan una respuesta emocional inmediata que evita el pensamiento crítico.
“Cuando hablamos de IA en este contexto, hablamos de velocidad e iteración. Los atacantes pueden producir señuelos de phishing culturalmente precisos, generar sitios web falsos indistinguibles de los originales y personalizar cada mensaje con datos reales robados. La IA no ha cambiado la naturaleza de los ataques, pero ha eliminado las barreras que antes daban a los usuarios una oportunidad para detectarlos”, concluye Fernández.
Consejos para blindarse en el verano
Sophos recomienda a las organizaciones revisar su estrategia de seguridad antes de la temporada alta, incluyendo:
- Activar y auditar MFA: el 59% de los incidentes investigados en 2025 carecía de autenticación multi-factor o la tenía mal configurada. Activarla en todos los sistemas críticos es la medida de mayor impacto inmediato.
- Cubrir los turnos de monitorización: garantizar cobertura 24/7 durante los períodos vacacionales, especialmente para equipos sin servicio MDR externalizado, o bien contratar servicios de ‘CISO virtual’.
- Formar al personal estacional incluyéndoles en los programas de concienciación: los empleados temporales son uno de los vectores de entrada preferidos por los atacantes.
- Revisar las políticas de Wi-Fi externo y teletrabajo (el uso de redes públicas aumenta drásticamente en verano), establecer el uso obligatorio de VPN corporativa y segmentar el acceso según el perfil del usuario.
- Activar protocolos de respuesta rápida: los atacantes saben que los tiempos de reacción se alargan en verano; contar con un plan de respuesta a incidentes documentado y probado, o un servicio MDR con capacidad de respuesta autónoma reduce el impacto de forma significativa.