Cada español sufre cuatro brechas de datos al año y la mitad son por errores humanos

Cada español se ve involucrado, de media, en cuatro brechas de datos anuales, según la Agencia Española de Protección de Datos (AEPD). El organismo estatal ha publicado este miércoles la memoria de su actividad en 2025, año en el que se han comunicado 2.768 brechas de datos.

Estos incidentes se produjeron principalmente en el sector privado (81%) y han afectado al doble de gente que el año anterior: si en 2024 se notificó a 100.000 personas que sus datos se habían filtrado, en 2025 fueron 200.000 las afectadas. Para el presidente adjunto de la AEPD, Francisco Pérez, es difícil extrapolar estos datos a una población de 50 millones de habitantes como la española, si bien calcula que, de media, “cada ciudadano estaría envuelto en una media de cuatro brechas”.

La gran mayoría de estos casos se debieron a ciberincidentes de tipo ransomware (secuestro de datos) y de intrusiones en sistemas de información. Así, los principales datos filtrados fueron identificativos (nombre, DNI, imágenes de archivo), bancarios (número de cuenta corriente, datos contractuales) y, en algunos casos, datos especiales, como historiales clínicos y otros datos de salud. De los robos registrados, la mitad se debían a ataques complejos y con cierto componente técnico especializado, mientras que “la otra mitad tiene un componente muy claro de fallos humanos o motivos estructurales”, ha advertido Pérez. “La concienciación, sensibilización y educación sigue siendo un elemento muy importante y eso nos permitiría también reducir el número de brechas”, ha subrayado.

Pese al alto número de comunicaciones, tan solo 77 han terminado en procedimientos sancionadores o apercibimientos, más del doble que en 2024 (30 sanciones). Estos procedimientos han derivado en sanciones de 20 millones de euros, un 40% del total recaudado por la AEPD en 2025.

En total, las sanciones impuestas por la autoridad estatal han sumado 48.108.765 euros, concentradas principalmente en servicios de Internet, comercio, transporte, hostelería y brechas de datos. La multa económica más alta recayó en AENA, por valor de 10 millones de euros, por el uso indebido de sistemas de identificación biométrica a viajeros en ocho aeropuertos.

Un “aluvión de reclamaciones” imposible de atender

No solo aumentan los incidentes, también las reclamaciones: la AEPD recibió 30.931 denuncias, el número más alto de su historia y un incremento del 64% respecto a 2024. “Este aumento evidencia un mayor conocimiento y concienciación de la ciudadanía”, afirman desde el organismo.

El aluvión de reclamaciones recibido no se ha compaginado con un aumento de los recursos, lamenta la agencia. “Somos una administración pequeñita”, ha expresado Lorenzo Cotino, su presidente, que destaca que “el incremento del 64% de reclamaciones no nos permite centrarnos en lo importante muchas veces”.

“Tenemos prácticamente el mismo personal que cuando las reclamaciones eran una quinta parte, eso es un dato objetivo, y cuando las reclamaciones eran mucho más fáciles, porque el mundo se ha complicado muchísimo”, ha añadido. El presidente prevé que la actividad no cesará de aumentar, especialmente por el uso indebido de la inteligencia artificial. “Lo raro es que no lleguen, porque normalmente la mayoría de usos sensibles de la IA incorporan datos personales. Deberíamos estar sintiendo más esa entrada de reclamaciones, pero hoy por hoy no está”, ha valorado.

Debido a la falta de recursos, el organismo lucha por ser “mucho más eficiente internamente” y concentrar sus recursos escasos en las reclamaciones más importantes “que impactan fuerte con la protección de datos”, ha valorado Pérez. A su vez, la AEPD comenzará este año a actuar de oficio contra la inteligencia artificial “allí donde estamos detectando que quizá no se esté cumpliendo la normativa”.