La CNMV se suma a la formación en ciberseguridad del sector público ante la oleada de hackeos
- Una respuesta al aumento de los ataques
- Phishing, ingeniería social y errores humanos
- Formación adaptada a cada perfil
- Directivos y consejeros, en el foco
- Materiales, campañas y cultura corporativa
- Medir para mejorar
- Un movimiento que se extiende en el sector público
- Un escenario cada vez más hostil
El organismo supervisor del mercado de valores pondrá en marcha un plan integral de concienciación y capacitación interna, diseñado para reducir riesgos, mejorar hábitos digitales y elevar el nivel de protección de toda la organización.
Una respuesta al aumento de los ataques
La decisión no llega en el vacío. Los datos recopilados por el Centro Criptológico Nacional revelan que el 34% de los ciberataques registrados en España tienen como objetivo a las administraciones públicas. Una cifra que evidencia la especial vulnerabilidad del sector público ante amenazas cada vez más sofisticadas.
Las estadísticas confirman una escalada sostenida. En 2022, los sistemas públicos españoles sufrieron 55.000 ciberataques, una cifra que prácticamente se duplicó en 2023, cuando se contabilizaron 107.000 incidentes.
El arranque de 2024 fue aún más preocupante: solo en los dos primeros meses del año se registraron 25.000 agresiones digitales, lo que supone un incremento del 190% respecto al mismo periodo del año anterior.
Phishing, ingeniería social y errores humanos
En este contexto, la CNMV ha optado por reforzar el eslabón más vulnerable de la cadena de seguridad: las personas.
El plan contempla simulaciones periódicas de campañas de phishing, con correos electrónicos diseñados para imitar ataques reales y poner a prueba la reacción de los empleados.
El objetivo no es sancionar errores, sino detectar debilidades, corregir hábitos y mejorar la capacidad de respuesta ante intentos de fraude.
Estas simulaciones no se limitarán al phishing tradicional. También se desplegarán ejercicios de ingeniería social avanzada, como campañas de smishing (mensajes fraudulentos por SMS), vishing (llamadas telefónicas falsas) o ataques mediante códigos QR maliciosos, una técnica cada vez más utilizada por los ciberdelincuentes.
Formación adaptada a cada perfil
Uno de los ejes del plan es la segmentación de la plantilla.
Antes de lanzar las acciones formativas, se realizará un análisis del personal, teniendo en cuenta los distintos roles, responsabilidades y niveles de exposición al riesgo. No todos los empleados se enfrentan a las mismas amenazas ni manejan la misma información sensible.
A partir de ese diagnóstico, la CNMV desplegará programas específicos para cada colectivo. La plantilla general recibirá contenidos prácticos sobre phishing, suplantación de identidad, uso seguro del correo electrónico, redes públicas o protección de datos.
El personal técnico abordará escenarios más complejos, vinculados a la gestión de incidentes o el ransomware.
Directivos y consejeros, en el foco
El plan dedica un capítulo específico a directivos, consejeros y altos cargos, perfiles especialmente atractivos para los atacantes.
Para ellos se han diseñado sesiones presenciales diferenciadas, centradas en su responsabilidad estratégica y legal en materia de ciberseguridad, así como en los riesgos asociados a la toma de decisiones, el uso de dispositivos móviles o la gestión de información confidencial.
Estas acciones buscan implicar a la cúpula de la organización, reforzar el liderazgo interno y evitar que la seguridad digital quede relegada a un ámbito puramente técnico.
Materiales, campañas y cultura corporativa
Más allá de los cursos y simulaciones, la iniciativa apuesta por construir una auténtica cultura de ciberseguridad.
El plan incluye la elaboración de infografías, píldoras formativas, vídeos animados y contenidos divulgativos, así como una revista digital interactiva dirigida a toda la plantilla y otra publicación física orientada a perfiles sensibles, como la dirección.
Además, se desarrollará una campaña especial durante el Mes de la Ciberseguridad, con actividades participativas, comunicaciones internas y materiales diseñados para fomentar la implicación de los empleados y mantener la atención sobre los riesgos digitales.
Medir para mejorar
Otro de los pilares del programa es la evaluación continua.
La CNMV medirá periódicamente el nivel de madurez de sus empleados mediante cuestionarios y métricas de participación, analizará los resultados de las campañas de phishing y elaborará informes de seguimiento para ajustar las acciones formativas en función de los resultados obtenidos.
Este enfoque permitirá adaptar la estrategia con el paso del tiempo, corregir desviaciones y reforzar aquellos ámbitos donde se detecten mayores carencias.
Un movimiento que se extiende en el sector público
La iniciativa de la CNMV se enmarca en una tendencia creciente dentro de la Administración.
Como adelantó Confidencial Digital, Loterías del Estado ha puesto en marcha recientemente un programa obligatorio de formación en ciberseguridad para toda su plantilla, con cerca de 600 empleados, ante el uso fraudulento de su marca y el aumento de los ataques digitales.
En la misma línea, Aena adjudicó a Deloitte –en plena oleada de ciberataques contra aeropuertos europeos– una auditoría interna de ciberseguridad que incluye simulaciones de intrusión en sus sistemas y entre sus empleados.
Un escenario cada vez más hostil
Los incidentes registrados en 2025 confirman que la amenaza es constante y transversal: brechas de datos, ataques de ransomware, filtraciones masivas y accesos indebidos han afectado tanto a administraciones como a grandes empresas y entidades financieras.
Desde universidades y ayuntamientos hasta operadores estratégicos, ningún sector queda al margen.