Brechas de datos en España en 2025: lo que revelan los datos publicados por la AEPD

La Agencia Española de Protección de Datos (AEPD) recibió en 2025 un total de 2.765 notificaciones de brechas de datos personales, según la nota de prensa publicada el pasado viernes. La cifra refleja, por un lado, la intensificación de los ciberincidentes en España y, por otro, un mayor grado de concienciación de las organizaciones respecto de sus obligaciones de cumplimiento normativo en materia de notificación a la autoridad de control.

Incidentes notificados y comunicaciones a los afectados

Este volumen de notificaciones se inserta en una tendencia ascendente ya consolidada. En 2023 se registraron 2.005 brechas y en 2024 la cifra alcanzó las 2.933. El dato de 2025 sugiere una cierta estabilización tras el crecimiento abrupto del periodo anterior, aunque sigue evidenciando un ecosistema de seguridad sometido a presiones estructurales persistentes.

Lo verdaderamente distintivo de 2025 no es tanto el número de incidentes como su escala e impacto. Las organizaciones responsables de las brechas emitieron más de 200 millones de comunicaciones a las personas afectadas cuando se apreció un riesgo alto para sus derechos y libertades. Este dato resulta especialmente revelador del cambio cualitativo en la naturaleza de los incidentes.

A modo de comparación, en 2023 se comunicó a aproximadamente 35,5 millones de personas, cifra que ascendió a 100 millones en 2024. En 2025, el salto hasta los 200 millones confirma una concentración creciente del riesgo en un número reducido de incidentes de severidad extraordinaria.

(Imagen: E&J)

‘Ransomware’ y vulnerabilidad de la cadena de suministro

La tipología de las brechas ha evolucionado de forma significativa. Mientras que en ejercicios anteriores predominaban los errores operativos —envíos de información a destinatarios incorrectos o exposiciones accidentales—, 2025 ha estado marcado por ciberataques sofisticados, especialmente ataques de ransomware e intrusiones con exfiltración de datos.

El patrón se repite con frecuencia: los atacantes acceden a credenciales comprometidas de plataformas CRM o a interfaces de acceso remoto corporativo (VPN), superando controles básicos basados exclusivamente en usuario y contraseña.

La AEPD subraya que las brechas de mayor impacto proceden, en muchos casos, de ataques dirigidos contra encargados del tratamiento, es decir, proveedores que procesan datos personales por cuenta de terceros. La quiebra de la seguridad en un eslabón de la cadena de suministro produce un efecto cascada que expone simultáneamente a decenas o cientos de miles de interesados. Esta dinámica explica la notable diferencia entre el número de brechas notificadas (2.765) y el volumen de personas afectadas, una proporción que evidencia la hiperconcentración del riesgo.

Notificar no es sancionar: la diligencia como criterio jurídico

Uno de los mensajes más relevantes trasladados por la AEPD es que la notificación de una brecha no implica automáticamente una sanción. De las 2.765 notificaciones recibidas en 2025, solo 11 dieron lugar a una investigación formal por indicios de falta de diligencia, lo que representa aproximadamente un 0,4% del total.

Este dato refuerza un principio esencial del Derecho administrativo sancionador: el cumplimiento de las obligaciones de notificación previstas en el artículo 33 del RGPD constituye, en sí mismo, una manifestación de responsabilidad proactiva. Dicho precepto obliga a comunicar la brecha a la autoridad de control en un plazo máximo de 72 horas desde que se tiene constancia de ella, siempre que exista probabilidad de riesgo para los derechos y libertades de las personas. El artículo 34 impone, además, la comunicación directa a los afectados cuando el riesgo es alto.

La evaluación del riesgo no es automática ni binaria. Exige ponderar la naturaleza de los datos comprometidos, el contexto del acceso no autorizado y las medidas técnicas u organizativas disponibles para mitigar el impacto.

(Imagen: E&J)

Credenciales comprometidas y autenticación multifactor

La AEPD identifica como principal vector de entrada en las brechas de 2025 el uso de credenciales comprometidas para acceder a VPN corporativas o aplicaciones web. Este diagnóstico tiene implicaciones claras: muchos ataques no requieren una sofisticación técnica excepcional, sino que se apoyan en deficiencias básicas de higiene digital.

La agencia destaca expresamente la autenticación multifactor como la medida más eficaz para prevenir este tipo de incidentes. Aunque esta recomendación no es nueva y forma parte de los estándares de la industria desde hace años, su reiteración en un análisis oficial pone de manifiesto que un número significativo de organizaciones españolas aún no la ha implantado de forma sistemática, pese a su accesibilidad técnica y regulatoria.

La comunicación a los afectados como eje de la responsabilidad

La comunicación a las personas afectadas sigue siendo uno de los elementos más infravalorados en la gestión de brechas de datos. La AEPD insiste en que informar a la autoridad es tan relevante como comunicar de forma clara, oportuna y útil a los interesados.

Las personas afectadas necesitan conocer la naturaleza de la brecha, los tipos de datos comprometidos y las medidas que pueden adoptar para reducir el riesgo. Las más de 200 millones de comunicaciones emitidas en 2025 evidencian tanto la magnitud de los incidentes como un elevado grado de cumplimiento de esta obligación.

La negativa a comunicar, o hacerlo de manera tardía o incompleta, constituye uno de los factores prioritarios para la activación de actuaciones inspectoras. Desde la óptica del RGPD, una comunicación eficaz es la prueba tangible de que la organización asume su responsabilidad frente a un incidente que, aunque no pudo evitar, sí debe gestionar con diligencia.

(Imagen: E&J)

Distribución sectorial y entorno regulatorio

El 80% de las brechas notificadas corresponde al sector privado y el 20% al sector público, una proporción coherente con el mayor nivel de digitalización y volumen de tratamiento de datos personales en el ámbito empresarial. En 2024, los sectores con mayor número de sanciones fueron energía, servicios financieros y servicios digitales, ámbitos que gestionan grandes volúmenes de datos sensibles y constituyen objetivos prioritarios para la ciberdelincuencia.

Herramientas de apoyo y responsabilidad prospectiva

La AEPD pone a disposición de las organizaciones herramientas como Asesora Brecha, que facilita la decisión sobre la obligación de notificar a la autoridad, y Comunica-Brecha RGPD, orientada a determinar si procede informar a los afectados. Estas iniciativas reflejan un enfoque de regulación inteligente, en el que la autoridad no solo supervisa, sino que acompaña al sujeto obligado en la toma de decisiones conforme al marco normativo.

Finalmente, la AEPD insiste en la necesidad de adoptar medidas preventivas: minimización de datos, borrado temprano, anonimización y segmentación de sistemas. Desde una perspectiva de economía del compliance, la prevención sigue siendo, con diferencia, la opción más eficiente frente al coste jurídico, reputacional y operativo de una brecha de seguridad.