El Ministerio del Interior ha actualizado su estrategia frente a las amenazas digitales con el Plan Estratégico Integral sobre Cibercriminalidad, Ciberseguridad y Desinformación (PEICCD), aprobado mediante la Instrucción 3/2026. El documento revisa el plan de 2021 y plantea que el Estado deje de analizar el ciberdelito, los ciberataques y la desinformación como problemas separados para tratarlos como fenómenos cada vez más conectados.
Este nuevo marco estará vigente, salvo modificación, hasta 2029. Su coordinación recae en la Oficina de Coordinación de Ciberseguridad (OCC) del Ministerio del Interior, integrada en la Dirección General de Coordinación y Estudios y en su elaboración han participado organismos dependientes de la Secretaría de Estado de Seguridad, la Unidad de Criminalidad Informática de la Fiscalía General del Estado y las policías autonómicas.
¿Por qué se integran los tres ámbitos?
El plan de 2021, aprobado mediante la Instrucción 1/2021, ya mencionaba la ciberseguridad y la desinformación, aunque las abordaba de forma más separada. La revisión realizada cuatro años después parte de una constatación: los incidentes digitales actuales rara vez responden a una sola categoría.
Un mismo incidente puede empezar como un fraude o un robo de credenciales, escalar hacia un ransomware o un ataque de denegación de servicio, apoyarse en criptomonedas, redes de bots o suplantaciones de identidad, y terminar amplificado mediante campañas de manipulación informativa. Por eso, Interior plantea una respuesta más integrada, que conecte la investigación del delito con la protección de los sistemas y el análisis de la desinformación.
Esta integración responde, además, al aumento de la superficie de exposición por la nube, los dispositivos IoT, los sistemas industriales conectados, el teletrabajo y la dependencia de proveedores tecnológicos. También al uso del ciberespacio como prolongación de conflictos internacionales, donde actúan hacktivistas, actores estatales y grupos proxy con objetivos de presión o desestabilización.
En ese contexto, el plan queda alineado con el marco nacional y europeo, desde la Estrategia de Seguridad Nacional 2021 y la Estrategia Nacional de Ciberseguridad 2019 hasta normas como NIS2, el Reglamento de Servicios Digitales, el Reglamento de Ciberresiliencia, MiCA y el Reglamento de Inteligencia Artificial.
El fraude concentra casi nueve de cada diez ciberdelitos
En 2025, España registró 488.426 ciberdelitos conocidos, según el Sistema Estadístico de Criminalidad. Dentro de ese volumen, el fraude informático volvió a situarse como la categoría dominante, con 429.677 hechos conocidos, casi el 88 % del total. El resto de tipologías quedó muy por debajo: la falsificación informática representó el 4,4 % de los casos; las amenazas y coacciones, el 3,7 %; y el acceso e interceptación ilícita, el 2,8 %. A mayor distancia aparecen los delitos sexuales, la interferencia en datos o sistemas y los delitos contra el honor.
El plan advierte, además, de una cifra negra relevante, ya que muchos incidentes no llegan a denunciarse. Esta infradenuncia afecta especialmente a fraudes, sextorsión, delitos de odio, violencia de género en línea y contenidos de abuso sexual infantil. En los delitos de odio, por ejemplo, se estima que solo se denuncia alrededor del 7 % de los hechos.
El plan sitúa el fraude digital como una prioridad. Incluye phishing, smishing, vishing, quishing mediante códigos QR, fraude del CEO, compromiso de correo empresarial, cambio fraudulento de cuentas de pago, sextorsión y estafas con criptoactivos. El phishing sigue siendo el vector más frecuente, con una tasa de éxito efectivo cercana al 25 % de los intentos. La inteligencia artificial refuerza este riesgo al facilitar mensajes multilingües, clonación de voces, imágenes o vídeos manipulados y ataques personalizados con datos de fuentes abiertas o filtraciones previas.
Todo en una misma cadena
Interior también señala el crecimiento del crimen como servicio en la web oscura. Según el IOCTA 2025, el comercio de datos robados se está convirtiendo en la principal amenaza dentro de esta categoría, junto con mercados que ofrecen ransomware como servicio (RaaS), DDoS como servicio, malware, kits de phishing, robo de credenciales, explotación de vulnerabilidades e infraestructura anónima.
En ciberseguridad, el plan concentra el foco en ransomware, DDoS y cadena de suministro. Los casos de ransomware se situaron en 260 en 2025, la misma cifra que en 2024 y por debajo de los 326 registrados en 2023. Aun así, Interior mantiene la alerta por la doble extorsión, la sustitución rápida de grupos desmantelados y la exposición de las pymes.
Los DDoS, impulsados en buena parte por el hacktivismo, figuran como uno de los ataques más relevantes sobre operadores esenciales. En el marco analizado por ENISA, tienen especial peso en administraciones públicas (96,2 %), transporte (87,6 %) y sector financiero (83,5 %). Su impacto no se centra tanto en el robo de datos como en la interrupción del servicio, con riesgo añadido si se combina con campañas de desinformación.
La cadena de suministro aparece como otro punto crítico. ENISA cifra en 42.595 las nuevas vulnerabilidades del periodo, un 27 % más que el año anterior; 2.981 fueron críticas y 11.074 altas. El riesgo se desplaza hacia proveedores menos protegidos, como software, hardware, servicios gestionados, mantenimiento remoto o dependencias cloud.
El plan identifica como sectores sensibles el transporte, la energía, el agua, las TIC, el sistema financiero, la Administración, la industria química, la industria nuclear y los servicios digitales. Según la OCC, los incidentes en operadores críticos españoles se concentraron en el compromiso de información (32 %) y la disponibilidad (31 %). Por sectores, el transporte reunió el 42 % de los ciberataques, seguido de las TIC (16 %).
En desinformación, Interior distingue entre una noticia falsa aislada y una operación coordinada con intención y capacidad de daño público. El plan vincula estas campañas con la Manipulación e Interferencia de Información Extranjera (FIMI) y cita técnicas como la suplantación de medios y webs gubernamentales, los deepfakes de cargos públicos, los dominios falsos con anuncios patrocinados y las redes de bots. Como respuesta, prevé un sistema de respuesta rápida (RAS) con participación de las Fuerzas y Cuerpos de Seguridad, la OCC y coordinación con el Departamento de Seguridad Nacional.
Cuatro ejes y veinticinco líneas de acción
El plan se despliega en cuatro ejes estratégicos y veinticinco líneas de acción.
El primer eje busca reforzar las capacidades TIC. Para ello, prevé incorporar herramientas de OSINT y SOCMINT, monitorización de redes sociales y dark web, investigación de criptomonedas, análisis forense digital, uso de inteligencia artificial con garantías, almacenamiento cifrado de evidencias, intercambio seguro de información y mejora de las plataformas de denuncia.
El segundo eje se centra en elevar la formación y especialización de las Fuerzas y Cuerpos de Seguridad. El plan contempla una formación básica en ciberseguridad, cibercriminalidad y desinformación para todos sus miembros, junto con formación especializada para las unidades dedicadas a investigación digital, análisis forense, ciberterrorismo y criptoactivos.
El tercer eje pretende mejorar la prevención y la concienciación de ciudadanos y empresas, con especial atención a las pymes. Incluye campañas informativas, auditorías y ejercicios dirigidos a entidades esenciales y críticas.
El cuarto eje busca fortalecer la coordinación institucional y operativa entre Interior, Policía Nacional, Guardia Civil, CITCO, OCC, Fiscalía, policías autonómicas, CSIRT nacionales, organismos internacionales y entidades privadas.
Conclusión
El plan confirma un cambio de enfoque en seguridad: ya no basta con una defensa técnica tradicional. Interior apunta hacia un modelo más amplio, donde la ciberseguridad se cruza con la investigación criminal, la inteligencia de amenazas, el análisis de desinformación, la protección de identidad, la revisión de proveedores y la respuesta ante incidentes híbridos.
