INSTRUCCIÓN 3/2026, DE LA SECRETARÍA DE ESTADO DE SEGURIDAD, POR LA QUE SE APRUEBA EL PLAN ESTRATÉGICO INTEGRAL SOBRE CIBERCRIMINALIDAD, CIBERSEGURIDAD Y DESINFORMACIÓN DEL MINISTERIO DEL INTERIOR (PEICCD)

En el año 2021, ante el constatado y notable impacto negativo que el crecimiento sostenido de la cibercriminalidad suponía para los intereses nacionales, las instituciones, las empresas y los ciudadanos, la Secretaría de Estado de Seguridad aprobó, mediante la instrucción 1/2021, el Plan Estratégico contra la Cibercriminalidad (PECC).

Este plan, con vigencia de cuatro años y dotado de un millón de euros, se elaboró bajo el liderazgo de la Oficina de Coordinación de Ciberseguridad (OCC) y con la colaboración de una base amplia, plural y participativa de expertos de diferentes ámbitos e instituciones, públicas y privadas, relacionadas con la ciberseguridad.

Si bien puede considerarse que la aprobación de ese plan en 2021 supuso un importante avance en la gestión estratégica de la lucha contra la cibercriminalidad y sus efectos, el tiempo transcurrido desde su implantación, unido al hiperdinamismo del mundo tecnológico sobre el que se sustenta la evolución de este fenómeno, hacen aconsejable su revisión para adaptarlo a la nueva realidad de las amenazas procedentes del ciberespacio.

Esta tarea ha sido de nuevo liderada por la OCC, aprovechando la experiencia y conocimiento adquiridos con el plan de 2021 y contando con la participación activa de las Fuerzas y Cuerpos de Seguridad del Estado y autonómicas, la Unidad contra la Criminalidad Informática de la Fiscalía General del Estado y el CITCO.

En primer lugar, era necesario abrir el foco del plan, de manera expresa, a todas las áreas de responsabilidad del Ministerio del Interior en el entorno digital, para lograr así una visión completa y un marco estratégico global frente a las amenazas y riesgos que acompañan a las oportunidades de progreso que brinda el uso cada vez más global del ciberespacio. En consecuencia, el nuevo plan aborda, de manera específica, además de la lucha contra la cibercriminalidad, el reto estratégico de la ciberseguridad, particularmente de las entidades esenciales para el funcionamiento de la sociedad, y el de la monitorización de la desinformación como elemento de enorme potencial para perturbar la convivencia y socavar los valores, instituciones y procesos de los sistemas democráticos.

Como se explica en el nuevo plan, esta visión de abordaje global está alineada con otras estrategias, nacionales e internacionales, y resulta irrenunciable en un mundo en el que cada vez son más difusas las fronteras entre la cibercriminalidad convencional, de motivación tradicionalmente económica, y otras amenazas procedentes del ciberespacio, como el hacktivismo o los ataques a los sistemas de información de entidades críticas, cuyo objetivo es la quiebra de la seguridad pública y la confianza en el sistema.

Una de las principales novedades con respecto al plan anterior es una significativa simplificación estructural, primando su eficacia, utilitarismo y adecuación a la capacidad real de actuación de los organismos del Ministerio del Interior sobre la cibercriminalidad, la ciberseguridad y la desinformación. De este modo se pasa de los 5 vectores, 6 principios, un objetivo principal, 7 objetivos y 6 ejes, con sus 47 líneas de actuación del PECC a 3 objetivos generales, 4 ejes estratégicos y 25 líneas de acción en el nuevo plan.

También como novedad, este nuevo plan incluye indicadores de cumplimiento para cada una de las 25 líneas de acción, un elemento fundamental en un plan estratégico.

Cambia igualmente el procedimiento de dotación económica para la ejecución de las líneas que la requieran, que estará basado en un estudio anual de prioridad de las necesidades presentadas por los participantes en el plan, realizado por la OCC, supervisado por la Dirección General de Coordinación y Estudios y con participación, en todo caso, de la Subdirección General de Planificación y Gestión de Infraestructuras y Medios para la Seguridad y de la Subdirección General de Sistemas de la Información y las Comunicaciones para la Seguridad.

Por último, se incorpora la realización, dentro de los cuatro meses siguientes a la aprobación del plan, de un estudio exhaustivo de los recursos humanos de la Secretaría de Estado de Seguridad y sus organismos dependientes dedicados a labores directamente relacionadas con los objetivos de este plan.

Por todo lo anterior, conforme a las atribuciones que me confieren los artículos 8 y 62 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y el artículo 2 del Real Decreto 734/2020, de 4 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior, he acordado dictar las siguientes

PLAN ESTRATÉGICO INTEGRAL SOBRE CIBERCRIMINALIDAD, CIBERSEGURIDAD Y DESINFORMACIÓN DEL MINISTERIO DEL INTERIOR — 2026

1. ACTUALIZACIÓN DEL PLAN ESTRATÉGICO CONTRA LA CIBERCRIMINALIDAD 2021

Por medio de la Instrucción 1/2021 de la Secretaría de Estado de Seguridad se aprobó el Plan Estratégico contra la Cibercriminalidad del Ministerio del Interior. Ese plan de 2021 vino a desarrollar, a través de las competencias legales y las capacidades de los organismos del Ministerio del Interior, aspectos relativos a la lucha contra la cibercriminalidad y la promoción de la ciberseguridad que ya habían sido expuestos por otras estrategias europeas y nacionales.

Ese plan fue concebido con el ambicioso objetivo de potenciar las capacidades del Ministerio del Interior para la detección, prevención, protección, respuesta y persecución de la cibercriminalidad, de modo que permitiese la convergencia entre los ámbitos cibernético y físico, generando un impulso operativo y técnico eficaz que garantizase la protección de los derechos y libertades y de la seguridad ciudadana.

El principal reto que afrontaba ese plan inicial era responder adecuadamente a la doble interacción de las tecnologías de la información y las comunicaciones (TIC) y la criminalidad que, por un lado, se aprovecha de esas como medio para la comisión de delitos tradicionales y, por otro, convierte los sistemas informáticos en objeto de ataque.

Para llevar a efecto ese objetivo, la inversión asociada a proyectos relacionados con el plan fue aumentando cada año, adaptando así las capacidades a los nuevos retos y necesidades.

Si bien puede considerarse que ese plan ha supuesto un avance en este objetivo principal, su revisión programada a los cuatro años de su aprobación proporciona una oportunidad para una actualización sustancial acorde a la nueva situación tecnológica y social. Por último, cabe señalar que en la elaboración del presente plan se ha contado con la participación de organismos dependientes de la Secretaría de Estado de Seguridad y la colaboración de la Unidad de Criminalidad Informática de la Fiscalía General del Estado, así como de las Policías Autonómicas.

2. CONFLUENCIA ENTRE CIBERCRIMINALIDAD, CIBERSEGURIDAD Y DESINFORMACIÓN

El anterior Plan Estratégico contra la Cibercriminalidad ya contemplaba entre sus retos no solo cuestiones sobre cibercriminalidad, sino también respecto a la ciberseguridad y la desinformación. No obstante, en el tiempo que ha transcurrido, las relaciones entre estos tres ámbitos y las ciberamenazas de carácter desestabilizador se han hecho si cabe más evidentes, por lo que resulta del todo necesario acometer, desde las funciones del Ministerio del Interior, acciones debidamente coordinadas que propicien una respuesta más ágil y eficaz. Todo ello, teniendo en cuenta aspectos comunes a esos ámbitos, como pueden ser su componente internacional, la afectación a multitud de personas o entidades con una única acción maliciosa, la inmediatez de las acciones, el uso para fines delictivos de técnicas y herramientas que facilitan el anonimato o un incremento incesante en la superficie de exposición a proteger de los ciberdelincuentes y actores hacktivistas.

Además, en el tiempo transcurrido desde la aprobación del plan ahora revisado, se ha multiplicado la explotación del ciberespacio como ámbito de desarrollo de las ciberamenazas, siendo una extensión de los conflictos internacionales, donde grupos hacktivistas, actores estatales, no estatales y proxys desarrollan su actividad con un claro objetivo de desestabilización e impacto estratégico.

Esta visión está alineada con las consideraciones realizadas por otras estrategias que refuerzan la ciberseguridad y la lucha contra la cibercriminalidad y las campañas de desinformación.

Entre estas, primero cabe mencionar la última Estrategia de Seguridad Nacional, aprobada en el Real Decreto 1150/2021 de 28 de diciembre. Esta estrategia subraya el papel primordial de la tecnología en la mayoría de las amenazas y riesgos, así como la prominencia de las estrategias híbridas, que incluyen campañas de desinformación y ciberataques, entre otros.

Del mismo modo, se ha tenido en cuenta la vigente Estrategia Nacional de Ciberseguridad 2019, que establece las directrices para fortalecer la seguridad en el ciberespacio y proteger los intereses nacionales frente a amenazas digitales.

Por otra parte, la Estrategia Nacional contra el Terrorismo 2023, aprobada en la Orden PJC/406/2024 de 7 de mayo, destaca que para combatir el terrorismo resulta esencial la protección del ciberespacio de los ciberataques, así como evitar la difusión de contenidos terroristas y extremistas violentos.

Abundando en la relevancia y transversalidad de la cibercriminalidad, el Consejo de Seguridad Nacional, en el acuerdo de elaboración de la nueva Estrategia Nacional contra el Crimen Organizado y la Delincuencia Grave, considera la ciberdelincuencia como una "amenaza tangible a la seguridad nacional".

Asimismo, el Informe Anual de Seguridad Nacional 2024 (IASN 2024) destaca la estrecha vinculación entre el entorno cibernético, el auge de las amenazas híbridas y la desinformación, identificando un ecosistema en el que se concentran estructuras técnicas comunes, así como sinergias operativas compartidas entre ellas, destacando la desinformación como una amenaza estratégica de primer orden.

A su vez, la Unión Europea también ha dejado constancia de la interrelación entre la cibercriminalidad, la ciberseguridad y la desinformación. Así, la vigente Estrategia de Ciberseguridad de la UE para la Década Digital establece que una de las principales amenazas para la ciberseguridad de los Estados miembros son las amenazas híbridas.

Siguiendo esta línea, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), en su informe ENISA Threat Landscape 2025, incluye, entre el abanico de diferentes amenazas a la ciberseguridad, no solo la cibercriminalidad, sino también la desinformación.

Además, el informe ENISA Foresight Cybersecurity Threats for 2030 identifica y analiza las principales amenazas emergentes en ciberseguridad para 2030, destacando veintiún riesgos clave. Entre las principales amenazas se encuentran la manipulación de la cadena de suministro de software; las campañas avanzadas de desinformación; los ataques dirigidos y potenciados por dispositivos inteligentes, y el abuso de la inteligencia artificial.

Más concreto es el estudio que realiza Europol a través del informe anual sobre la Evaluación de la Amenaza de la Delincuencia Organizada en Internet (IOCTA), que en sus últimas ediciones de 2024 y 2025 pone el foco en promover medidas preventivas de ciberseguridad como una de las principales herramientas en la lucha contra la cibercriminalidad.

Igualmente interesante resulta el Informe final del Grupo de Alto Nivel sobre el Acceso a los Datos para una Aplicación Eficaz de la Ley en la UE de noviembre de 2024, que destaca la importancia del acceso legal a datos para investigaciones criminales en la UE, señalando desafíos como la encriptación, la falta de normativas armonizadas y la cooperación limitada con la industria tecnológica.

En estos años, de forma paralela a estas estrategias y estudios, se ha dado una profusión legislativa notabilísima. Sin pretender glosar aquí todas esas normas, sí es oportuno reseñar por su novedad y trascendencia internacional la Convención de las Naciones Unidas contra la Ciberdelincuencia adoptada por la Asamblea General de la ONU el 26 de diciembre de 2024, pendiente actualmente de su firma y ratificación.

Esta convención parte de premisas ya consolidadas en el Convenio sobre la Ciberdelincuencia emanado del Consejo de Europa (más conocido como el Convenio de Budapest). Asimismo, la convención contempla una serie de medidas dirigidas a la prevención de las que se pueden destacar aquí las siguientes:

• Reforzar la colaboración público-privada.
• Promover la conciencia pública sobre los ciberdelitos mediante programas de alfabetización mediática e informacional y planes de estudio.
• Alentar que los proveedores de servicios adopten medidas eficaces para reforzar la seguridad de sus productos y servicios.
• Elaborar actividades para disuadir a los jóvenes de convertirse en ciberdelincuentes.
• Prevenir y erradicar la violencia de género que se produce mediante la utilización de las TIC.
• Adoptar medidas respecto a personas en situación de vulnerabilidad en el contexto de la ciberdelincuencia.
• Emprender esfuerzos específicos para garantizar la seguridad de los niños en línea, especialmente en relación a los contenidos de abuso sexual infantil.
• Confeccionar programas de apoyo a las víctimas de ciberdelitos.
• Prevenir y detectar las transferencias del producto y de bienes relacionados con del ciberdelito.

Consecuencia de todo lo anterior, el Ministerio del Interior ha llevado a cabo importantes iniciativas, siendo solo una de ellas los cambios en sus organismos, a través del Real Decreto 207/2024 por el que se desarrolla la estructura orgánica básica del Ministerio del Interior, constituyendo en el seno de la OCC el Centro de Respuesta a Incidentes Cibernéticos del Ministerio del Interior de apoyo y coordinación a la Policía Judicial (CSIRT-MIR-PJ); así como el Observatorio de la Cibercriminalidad del Ministerio del Interior. También se establece la Unidad Nacional de Retirada de Contenidos Ilícitos en Internet (UNECI), dependiente del CITCO; y se amplían las funciones de la Dirección General de Política Interior en materia de ciberseguridad, en la Red de coordinación para la Seguridad y la lucha contra la desinformación, todo ello en relación con los procesos electorales.

3. OPORTUNIDADES Y DESAFÍOS DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN

Las tecnologías de la información y las comunicaciones son objeto de una vertiginosa evolución y su uso está cada vez más extendido en nuestra sociedad y organizaciones. Este desarrollo tecnológico es sin duda enriquecedor. No obstante, conlleva que los delincuentes cuenten con nuevas herramientas para sus actividades criminales. Del mismo modo, esta proliferación en el uso de dispositivos electrónicos y la hiperconectividad entre redes y equipos informáticos ha incrementado notablemente la superficie de exposición y las posibles vulnerabilidades, multiplicando así los riesgos, algo de lo que se hace eco expresamente la Estrategia Nacional contra el Crimen Organizado y la Delincuencia Grave 2025.

Más allá de las manifestaciones convencionales de la ciberdelincuencia, debe contemplarse el auge de ciberamenazas con un marcado potencial desestabilizador, muchas de ellas asociadas a actores no estatales, que utilizan el ciberespacio como un vector de proyección estratégica y presión política. Este tipo de amenazas (que podrían incluirse dentro del concepto más amplio de amenazas híbridas) incluyen campañas de ciberataques contra infraestructuras críticas y estratégicas.

REDES SOCIALES

Han adquirido un creciente interés para los ciberdelincuentes de toda índole, ya que son un entorno ideal para cometer delitos de forma masiva, intercambiar información de contenido ilícito y favorecerse de un anonimato casi garantizado, además de soslayar las fronteras y jurisdicciones nacionales.

Por esas características, los delitos cometidos en estas plataformas son de muy diversa naturaleza, destacando las diferentes modalidades de fraude en línea, el tráfico de todo tipo de sustancias nocivas para la salud, la propagación de discursos de odio, la comisión de violencia de género en línea, el acoso o acoso sexual a menores y adultos (cyberbullying y grooming respectivamente en el caso de los menores), contenidos de abuso sexual infantil (CSAM, child sexual abuse material), extorsiones, revelaciones de secretos.

Destaca asimismo la intensificación de la radicalización violenta a través de las redes sociales y las aplicaciones de mensajería cifradas, según destaca el informe TE-SAT 2025.

El fenómeno es de tal naturaleza que se ha apreciado una migración de actividades ilegales desde la web oscura hacia plataformas de mensajería instantánea.

Para dar en parte una respuesta a esta situación, entró en vigor el Reglamento (UE) 2022/2065 relativo a un mercado único de servicios digitales, conocido como el Reglamento de Servicios Digitales, actuando la Comisión Nacional de los Mercados y de la Competencia (CNMC) como Coordinador de Servicios Digitales. Asimismo, el Reglamento (UE) 2021/784 sobre la lucha contra la difusión de contenidos terroristas en línea, que establece la retirada rápida en un plazo máximo de una hora.

WEB OSCURA (DARK WEB)

La web oscura es aquella parcela de internet que no solo no está indexada por los motores de búsqueda tradicionales, como ocurre con la web profunda, sino que, además, requiere navegadores específicos para acceder a las páginas allí alojadas y está diseñada para ocultar la identidad y ubicación de sus usuarios y administradores.

Este funcionamiento faculta el anonimato del usuario, lo que, junto a herramientas como el uso de proxys y VPNs, hace de la web oscura una plataforma idónea para realizar y albergar actividades ilegales de toda naturaleza. Por su relevancia, se pueden señalar el ransomware, cada vez más extendido y accesible, y la explotación sexual en línea de menores o el crimen como servicio.

CRIPTOMONEDAS

Las criptomonedas son activos digitales que utilizan la criptografía y tecnologías de registro distribuido, como la cadena de bloques (blockchain), funcionando de manera descentralizada y fuera del control directo de los bancos centrales.

En el plano legal hay que tener en cuenta el Reglamento (UE) 2023/1114 relativo a los mercados de criptoactivos, más conocido como Reglamento MiCA, que define los criptoactivos como una representación digital de un valor o un derecho que puede transferirse y almacenarse electrónicamente utilizando tecnología de registro distribuido (DLT).

Entre los usos delictivos se señalan infraestructuras descentralizadas cada vez más complejas, como exchanges sin custodia (DEX), mezcladores (mixers), puentes interblockchain (bridges) o servicios de anonimización, facilitando el blanqueo de capitales.

También hay que reseñar el rug pulling (promotores de negocios aparentemente legítimos sobre criptomonedas que atraen inversores para desaparecer repentinamente con los fondos acumulados).

INTELIGENCIA ARTIFICIAL

La inteligencia artificial está llamada a ser una revolución en sí misma, por lo que la Unión Europea ya publicó el Reglamento (UE) 2024/1689 por el que se establecen normas armonizadas en materia de inteligencia artificial, entre las que destaca el establecimiento de una gobernanza europea en esta materia, la obligación de transparencia de los modelos de inteligencia artificial, los posibles riesgos y las prohibiciones de ciertos usos.

La inteligencia artificial está suponiendo para la cibercriminalidad un salto cualitativo de tal calado que ha modificado o creado nuevos modus operandi, como puede ser mediante la generación de malware o la utilización de imágenes, vídeos o audios falsos o manipulados (los conocidos como deepfakes). Esta casuística ya se ha referenciado en el último informe EU-SOCTA-2025 elaborado por Europol.

El informe de Ciberamenazas y tendencias 2025 del CCN-CERT señala que la tendencia alcista en ciberataques registrada en el año 2024 se debió en gran medida a la implantación de la inteligencia artificial en las diferentes etapas.

DISPOSITIVOS ELECTRÓNICOS (IoT)

La democratización de estos dispositivos es uno de los retos a los que nos enfrentamos, siendo conocido como el internet de las cosas o IoT (Internet of Things). El número de estos dispositivos superó los 10.000 millones en 2022 y se prevé que para 2030 esta cifra alcance los 25.000 millones.

En el ámbito legislativo, se ha abordado con el reciente Reglamento (UE) 2024/2847 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, conocido como Reglamento de Ciberresiliencia.

IDENTIDAD DIGITAL

La Unión Europea, con el Reglamento (UE) 2024/1183, referido como Reglamento eIDAS 2, avanza hacia un refuerzo cada vez mayor de la seguridad de la identidad digital, de modo que cada Estado miembro proporcionará al menos una cartera europea de identidad digital.

COMPUTACIÓN CUÁNTICA

El Centro Criptológico Nacional señaló en su Guía CCN-TEC 009 que una estimación razonable se encontraría en un plazo de 20 a 25 años para que esta tecnología estuviera disponible.

Esto ha devenido en un nuevo concepto: almacena ahora y descifra luego (store now, decrypt later), que consiste en que atacantes capturen información encriptada en estos momentos para que en un futuro ésta pueda desencriptarse mediante ordenadores cuánticos.

Ya se están desarrollando soluciones: la llamada criptografía postcuántica.

SERVICIOS EN LA NUBE

La Directiva 2022/2555 (NIS2) define los servicios de computación en la nube como servicios digitales "que hacen posible la administración bajo demanda y el acceso remoto amplio a un conjunto modulable y elástico de recursos informáticos que se pueden compartir".

CIFRADO DE DATOS Y DE LAS COMUNICACIONES

Entre los métodos de anonimización y encriptación que hacen uso del cifrado de extremo a extremo (E2EE) destacan las redes privadas virtuales (VPN) y las bulletproof VPN, diseñadas específicamente para impedir cualquier medida de interceptación.

4. TENDENCIAS OBSERVADAS EN LA CIBERCRIMINALIDAD, LA CIBERSEGURIDAD Y LA DESINFORMACIÓN

CIBERCRIMINALIDAD

Las cifras correspondientes a 2024 reflejaron, por primera vez, una interrupción de esta tendencia alcista, con un total de 464.801 infracciones penales en el ámbito cibernético, lo que supuso un descenso del 1,6% respecto al año anterior. Sin embargo, los datos de 2025 muestran una reanudación del crecimiento, alcanzando las 488.426 infracciones penales.

HECHOS CONOCIDOS	2021	2022	2023	2024	2025
ACCESO E INTERCEPTACIÓN ILÍCITA	5.342	5.578	7.367	9.773	13.753
AMENAZAS Y COACCIONES	17.319	15.982	17.472	17.738	18.194
CONTRA EL HONOR	1.426	1.191	1.174	1.128	1.173
CONTRA PROPIEDAD INDUST./INTELEC.	137	114	117	227	145
DELITOS SEXUALES	1.628	1.646	1.804	1.676	2.031
FALSIFICACIÓN INFORMÁTICA	10.476	12.569	15.137	19.492	21.690
FRAUDE INFORMÁTICO	267.011	335.995	427.448	412.850	429.677
INTERFERENCIA DATOS Y EN SISTEMA	2.138	1.662	1.741	1.917	1.763
TOTAL HECHOS CONOCIDOS	305.477	374.737	472.260	464.801	488.426

Estafas a través de las TIC

Dentro de la cibercriminalidad, las estafas informáticas siguen siendo la modalidad delictiva predominante, representando casi el 88% del total de infracciones con un total de 429.677 hechos conocidos en 2025.

El phishing continúa siendo el vector de ataque más frecuente (con un impacto efectivo que ronda el 25% de los intentos). En particular, el smishing (fraude cometido a través de mensajes cortos de texto) fue el tipo de phishing más comúnmente utilizado, destacándose también el quishing (a través de códigos QR). Otro fenómeno al alza es el vishing, que se apoya en técnicas de ingeniería social por vía telefónica.

Como respuesta específica al vishing y al smishing, en marzo de 2025 se ha publicado la Orden TDF/149/2025 por la que se establecen medidas para combatir las estafas de suplantación de identidad a través de llamadas telefónicas y mensajes de texto fraudulentos.

Mientras que las anteriores modalidades suelen darse de forma colectiva, el correo electrónico empresarial comprometido (BEC) es un tipo de fraude dirigido específicamente a un empleado de una empresa. Ejemplos clásicos son el fraude al CEO (whaling) o el cambio fraudulento de cuentas de pago.

Otro tipo de fraude destacado es la "sextorsión", en el que las víctimas son contactadas a través de las redes sociales para realizar cibersexo, grabándose la misma y extorsionando con su publicación.

Crimen como servicio

El crimen como servicio (CaaS, crime as a service) no ha dejado de crecer en los foros de la web oscura. Consiste en que ciberdelincuentes ofrecen a otros delincuentes, con o sin conocimientos técnicos, la comisión de diferentes tipos de ciberdelitos. Modalidades ofertadas:

• Ransomware como servicio (RaaS): creadores ofrecen su malware a "afiliados" que lo despliegan contra objetivos.
• Ataques de denegación de servicio distribuido como servicio (DDoSaaS): se alquilan botnets para lanzar ataques masivos.
• Malware como servicio (MaaS): se venden kits de malware prefabricados.
• Phishing como servicio (PhaaS): kits completos para campañas de phishing.
• Robo de credenciales como servicio.
• Explotación de vulnerabilidades como servicio (EaaS): se venden o alquilan exploits.
• Infraestructura como servicio (IaaS) para actividades maliciosas: alquiler de servidores anónimos, VPN o alojamiento seguros.

Delitos de odio

La Agencia de los Derechos Fundamentales de la Unión Europea (FRA) publicó en junio de 2025 su Informe sobre los Derechos Fundamentales 2025, destacando un incremento de mensajes de odio en línea.

En España, la Oficina Nacional de Lucha Contra los Delitos de Odio (ONDOD) señala que los delitos de odio cometidos a través de internet y redes sociales suponen un 10,99% del total. Un 67,4% del total de víctimas ha sufrido amenazas en línea en 5 o más ocasiones entre 2019 y 2024. Se estima que solo se denuncian alrededor de un 7% de los hechos cometidos.

El último III Plan de Acción de Lucha contra los Delitos de Odio 2025-2028, aprobado a través de la Instrucción 6/2025 de la Secretaría de Estado de Seguridad el 24 de marzo de 2025.

Propaganda terrorista y extremista violenta en línea

Según el TE-SAT 2025 de Europol, las organizaciones terroristas emplean plataformas en línea, redes sociales, aplicaciones de mensajería cifrada (E2EE), foros en videojuegos y metaversos.

Concretamente entre el año 2023 y 2025 se pasó de 45 a 78 detenidos por propaganda terrorista en línea, siendo 100 el total de detenciones por terrorismo en 2025.

España, a través de la Unidad Nacional de Retirada de Contenidos Ilícitos en Internet (UNECI), órgano dependiente del CITCO, ha sido especialmente activa en la aplicación del Reglamento (UE) 2021/784 (Reglamento TCO), que obliga a las plataformas a eliminar contenidos terroristas en el plazo máximo de una hora.

Contenidos de abuso sexual infantil y otras amenazas contra los menores

El contenido de abuso sexual infantil (CSAM, child sexual abuse material) es diverso:

• Producción mediante la agresión directa del menor y posterior difusión.
• Creación de imágenes virtuales sexuales de menores (sintéticas), infantilización de imágenes reales de adultos o modificación con aplicaciones "nudificadoras" deepfake empleando inteligencia artificial generativa.
• Mediante la autogeneración por el propio menor que es extorsionado.
• El mero consumo y/o intercambio de ese material, además de su visionado en streaming.
• Supuestos de inducción online a la prostitución de menores.

Hay que mencionar el Plan de Acción contra el Ciberbullying de la UE (2026), que pone de relieve que uno de cada seis menores en Europa reconoce haber sido víctima de ciberacoso, mientras que uno de cada ocho admite haberlo ejercido.

Finalmente, el legislador ha incluido nuevos delitos específicos por medio de la Ley Orgánica 8/2021 de protección integral a la infancia y la adolescencia frente a la violencia.

CIBERSEGURIDAD

El ENISA Threat Landscape Report 2025 señala que ha habido un incremento en el número de ataques de denegación de servicio. Por otro lado, el ransomware sigue siendo una amenaza crítica.

El EU Cybersecurity Index 2024 resalta la madurez de España en el desarrollo de políticas de ciberseguridad.

Cadena de suministro

Los ataques a la cadena de suministro han evolucionado en su complejidad. Los atacantes persiguen insertar código malicioso en fases tempranas del ciclo de vida de los productos.

Como refiere el ENISA Threat Landscape 2025, se desvelaron 42.595 nuevas vulnerabilidades durante el período del informe, un aumento del 27%. De estas, el 7% eran críticas (2.981) y el 26% altas (11.074).

Denegación distribuida de servicio (DDoS)

El DDoS, a diferencia del DoS, es un tipo de ataque que para interrumpir el funcionamiento normal del servicio se vale de múltiples fuentes para sobrecargar la red con un gran número de peticiones, llegando a colapsarlo. Estas fuentes pueden ser equipos de terceros controlados mediante un malware (botnets).

Los DDoS suponen el 96,2% de los ataques sufridos por las administraciones públicas, el 87,6% del sector transportes y el 83,5% del sector financiero.

Ransomware

Como define el Real Decreto 43/2021, el ransomware es aquel malware que infecta un sistema de información, de modo que el usuario es incapaz de acceder a los datos almacenados, para recibir una comunicación en la que se le coacciona para pagar una recompensa. En la actualidad, la práctica totalidad llevan aparejada una exfiltración de información previa y doble extorsión.

Según los datos del Sistema Estadístico de Criminalidad, en 2023 fueron 326 casos, mientras que en 2024 y 2025 se han mantenido en 260.

Ciberataques a infraestructuras críticas y operadores de servicios esenciales

En la Unión Europea, los sectores más afectados son la administración pública (38,2%), el sector del transporte (7,5%), el de la infraestructura y los servicios digitales (4,8%) y el sector financiero (4,5%).

En España, según la OCC, el mayor porcentaje corresponde al compromiso de la información (32%), seguidos por los relativos a la disponibilidad (31%). Los sectores más atacados son el sector del transporte (42%) y de las TIC (16%).

Se ha publicado el Esquema Nacional de Seguridad de redes y servicios 5G por medio del RD 443/2024.

DESINFORMACIÓN

La desinformación es definida por la Comisión Europea como "información verificablemente falsa o engañosa que se crea, presenta y divulga con fines lucrativos o para engañar deliberadamente a la población y que pueda causar un perjuicio público".

Se complementa con el concepto de Manipulación e Interferencia de Información Extranjera (FIMI), propuesto por el Servicio Europeo de Acción Exterior.

La Orden PCJ/248/2025, de 13 de marzo, contempla medidas para proteger a las democracias de las amenazas de la desinformación, en consonancia con la Orden PCM/1030/2020, de 30 de octubre, que regula el Procedimiento de actuación contra la desinformación.

Entre las tácticas, técnicas y procedimientos (TTP) de campañas desinformativas de alto nivel:

• Suplantación de medios fidedignos de noticias y sitios web gubernamentales.
• Publicación de vídeos manipulados (deepfake) que suplantan la identidad de gobernantes o personas influyentes.
• Despliegue de grandes redes de dominios falsos que imitan a medios legítimos.
• Empleo de redes masivas de bots automatizadas.

5. OBJETIVOS DEL PLAN ESTRATÉGICO

Se han fijado los siguientes tres objetivos generales:

• Mejorar la ciberseguridad del conjunto de la ciudadanía y, especialmente, de las entidades que se hallan bajo el ámbito competencial de autoridad del Ministerio del Interior.
• Reducir la cibercriminalidad mediante un enfoque fuertemente preventivo, potenciando así mismo su persecución eficaz.
• Mejorar el conocimiento de las campañas de desinformación facilitando la evitación o mitigación de sus efectos desestabilizadores.

6. EJES ESTRATÉGICOS Y LÍNEAS DE ACCIÓN

Se establecen veinticinco líneas de acción incardinadas en cuatro ejes estratégicos.

EJE UNO. ADQUISICIÓN Y DESARROLLO DE CAPACIDADES TIC PARA EL FORTALECIMIENTO DE LA CIBERSEGURIDAD, LA MEJORA DEL TRATAMIENTO DE LA INFORMACIÓN Y EL REFUERZO DE LA INVESTIGACIÓN

EJE DOS. FORMACIÓN Y ESPECIALIZACIÓN DE LOS MIEMBROS DE LAS FUERZAS Y CUERPOS DE SEGURIDAD

EJE TRES. CONCIENCIACIÓN DE LOS CIUDADANOS Y EMPRESAS PARA PREVENCIÓN DE LA CIBERCRIMINALIDAD, LA DESINFORMACIÓN Y REFORZAR LA CIBERSEGURIDAD

EJE CUATRO. COORDINACIÓN, COLABORACIÓN Y COOPERACIÓN ENTRE ORGANISMOS Y ENTIDADES

7. DIRECCIÓN, EJECUCIÓN Y EVALUACIÓN

El Ministro del Interior es el máximo responsable y director del Plan. La persona titular de la Secretaría de Estado de Seguridad es responsable del impulso y supervisión, recayendo su coordinación en la Dirección General de Coordinación y Estudios (DGCE), a través de la Oficina de Coordinación de Ciberseguridad (OCC).

La responsabilidad en la ejecución por los organismos dependientes de la SES, entre los que se encuentran la Policía Nacional, la Guardia Civil, el CITCO y la OCC.

Se constituye la Comisión de Seguimiento para asistir a la persona titular de la SES. En esa comisión participarán:

• La jefatura de la OCC.
• La persona titular de la SGPGIMS.
• La persona titular de la SGSICS.
• Un representante del CITCO.
• Dos representantes de la Policía Nacional y dos de la Guardia Civil.

Se invitará a participar a la Unidad contra la Criminalidad Informática de la Fiscalía General del Estado, así como a representantes de las Policías Autonómicas.

La Comisión de Seguimiento se reunirá, al menos, anualmente. Los organismos cumplimentarán un formulario estandarizado y lo remitirán anualmente, antes del 15 de febrero, a la OCC.

8. RECURSOS HUMANOS Y ECONÓMICOS NECESARIOS PARA LA EJECUCIÓN DEL PLAN

Las medidas y actuaciones contarán, en los presupuestos de inversión de la Secretaría de Estado de Seguridad, con una dotación económica de cinco millones de euros anuales, que podrá modificarse en función de las circunstancias presupuestarias.

Dicha dotación presupuestaria podrá ser complementada por otras vías de cofinanciación, como Fondos Europeos, dotaciones presupuestarias adicionales de Policía Nacional o Guardia Civil, derivados de convenios de colaboración, etc.

Anualmente, antes del 15 de septiembre, los organismos remitirán a la OCC una relación priorizada de inversiones y adquisición de las capacidades a financiar. Las necesidades anuales de financiación aprobadas deberán ser remitidas a la SGPGIMS antes del día 15 de octubre del año anterior.

A los cuatro meses de la publicación del presente plan, las FCSE facilitarán a la DGCE una relación, exclusivamente numérica, del personal dedicado a labores de ciberseguridad, lucha contra la cibercriminalidad o contra la desinformación, así como un estudio de necesidades en esas materias.

9. VIGENCIA Y ACTUALIZACIÓN DEL PLAN

El Plan Estratégico Integral sobre Cibercriminalidad, Ciberseguridad y Desinformación del Ministerio del Interior entrará en vigor una vez sea publicado mediante Instrucción de la Secretaría de Estado de Seguridad, en la Orden General de la Dirección General de la Policía y en el Boletín Oficial de la Guardia Civil. Asimismo, se le dará difusión general mediante publicación en la página web de la OCC: https://occ.ses.mir.es/.

El presente plan permanecerá en vigor, si no se determina lo contrario, hasta 2029, y durante el mismo se regirá por el principio de mejora continua que permita la adaptación constante a las realidades que afectan a la cibercriminalidad, la ciberseguridad y la desinformación.