Contacto
La Autoridad Catalana de Protección de Datos (APDCAT) ha registrado en 2025 un total de 232 notificaciones de violaciones de seguridad (NVS), un 27,4 % más que el año anterior. Se trata de brechas de seguridad en organismos públicos o privados que ejercen funciones públicas en Cataluña.
Estos incidentes han afectado al menos a 730.000 personas, lo que supone el triple que el año anterior. No obstante, la cifra podría ser aún mayor, teniendo en cuenta que en dieciocho casos no se ha podido concretar el número de personas afectadas. El aumento se explica por el incremento de los ciberataques notificados, tanto los ataques con software de secuestro (ransomware) como los accesos malintencionados a los sistemas originados por el robo de credenciales, unos incidentes que habitualmente implican un elevado volumen de personas afectadas.
En este sentido, los ciberataques han aumentado un 70 % desde 2024, y han pasado de representar el 17 % del total de incidentes en 2024 al 30 % en 2025. Junto con los robos de dispositivos y documentación, que suponen el 6 % de los incidentes, estos actos externos malintencionados representan la segunda causa de las brechas de seguridad notificadas a la Autoridad, y han pasado del 33 % en 2024 al 36 % en 2025.
En cuanto a los ciberincidentes, cabe señalar que cada vez con mayor frecuencia conllevan la exfiltración de información. Actualmente, las organizaciones están más preparadas para restaurar la información en poco tiempo y, por tanto, pueden hacer frente a la encriptación, mientras que evitar la publicación o venta de datos les resulta más difícil y puede ser más lucrativo para los atacantes. Tras una violación de seguridad de esta naturaleza, numerosas entidades, en cumplimiento de la normativa, han implementado el doble factor de autenticación y han aplicado medidas para facilitar que su personal detecte mensajes maliciosos.
La principal causa de los incidentes de seguridad de datos registrados sigue siendo el error humano (58 %), una cifra prácticamente igual a la del año anterior (59 %). Esto incluye publicaciones indebidas accidentales de información, envíos erróneos de comunicaciones y errores de configuración que han permitido accesos no autorizados. Por otra parte, el acto interno malintencionado, es decir, las violaciones de la seguridad de los datos causadas por abusos de privilegios de acceso por parte de empleados que extraen, copian o reenvían datos sin autorización, con un 5 %, se mantiene en tercer lugar con escasa variación respecto a los años anteriores.
Comunicación a las personas afectadas
En cuanto a la comunicación de la violación de seguridad a las personas afectadas, que debe realizarse cuando la violación implica un alto riesgo para las personas afectadas, en 2025 esta obligación se ha cumplido en casi el 60 % de los casos, al igual que el año anterior. De este 60 %, la APDCAT solo ha tenido que requerirla a los responsables del tratamiento en el 5 % de los incidentes notificados, mientras que el 95 % restante lo ha hecho por iniciativa propia. Es importante tener en cuenta que una comunicación a tiempo es esencial para alertar a las personas afectadas de los posibles riesgos derivados de la violación de seguridad, como el uso fraudulento de los datos o la suplantación de identidad.
La Autoridad Catalana de Protección de Datos ha registrado en 2025 un total de 232 incidentes de seguridad de datos, que han afectado a más de 730.000 personas, con un aumento de los ciberataques del 70 %, y el error humano como principal causa