Si hay un objetivo cada vez más habitual entre los llamados cibercriminales es conseguir entrar a las bases de datos y plataformas de ciertas empresas y entidades públicas para conseguir rescates millonarios.
Aunque pueden parecer argumentos para cualquier película de espionaje, lo cierto es que la realidad suele superar la ficción y hay casos que han copado los principales titulares de la prensa nacional e internacional no sólo por la brecha de seguridad sino por lo delicado de los datos secuestrados.
Aunque se hablará de los cuatro más sonados, lo cierto es que ha habido otros muchos que han sido anunciados. Bancos como el BBVA, ING o Banco Santander han reportado este año brechas de datos, empresas de moda como Mango, la propia DGT. Hay pocos sectores que se libren de estos secuestros o bloqueos y que estén seguros.
Los 4 rescates más delicados de los últimos años
1) Iberia — noviembre 2025
A finales de noviembre, se detectó un acceso no autorizado a un repositorio de comunicaciones vinculado a Iberia, aparentemente a través de un proveedor externo.
Un grupo autodenominado Everest reivindicó la intrusión y publicó en la dark web reclamaciones relativas a la sustracción de datos de clientes. Las investigaciones iniciales informaron de una exfiltración masiva de información, es decir, la transferencia de datos a un sistema externo, aunque la aerolínea matizó que el incidente había afectado a sistemas de un proveedor y activó protocolos de seguridad y notificación.
Según las comunicaciones públicas, la filtración podía incluir nombres, apellidos, correos electrónicos, números de programas de fidelización y otros datos de contacto de miles de clientes de la aerolínea. Iberia señaló que no había indicios de acceso a contraseñas ni a datos bancarios que permitieran fraude directo con tarjetas, si bien los atacantes afirmaron disponer de grandes volúmenes de información.
Rescate exigido. Everest publicó una exigencia de rescate cifrada en 6 millones de dólares, equivalentes aproximadamente a 5,18 millones de euros.
Hospital Universitario de Torrejón de Ardoz (Madrid) — enero 2020
El 17–18 de enero de 2020 el Hospital Universitario de Torrejón de Ardoz, en Madrid, sufrió un incidente informático que dejó inaccesibles varios sistemas clínicos.
Las primeras informaciones apuntaron a un malware o ransomware que bloqueó el acceso a las historias clínicas y otras aplicaciones esenciales, obligando al personal a volver a procesos en papel y a activar planes de contingencia. El incidente precedió al pico de la pandemia en España y generó especial alarma por la dificultad añadida para la gestión clínica y de los quirófanos, ya que el ataque impidió consultar registros electrónicos de pacientes.
Las fuentes oficiales indicaron que no hubo una confirmación pública de “secuestro” o divulgación masiva de datos personales en ese momento, aunque el bloqueo afectó a información clínica y flujos de trabajo que contienen datos identificativos y médicos de los pacientes.
Aunque públicamente no se habló nunca de rescate, fue un caso representativo de un ataque sanitario que, difícilmente, se puede valorar en cifras ya que en juego estaba la salud de pacientes que tenían que recibir tratamientos o incluso ser intervenidos.
3) Hospital Clínic de Barcelona — marzo 2023
El 5 de marzo de 2023 el Hospital Clínic de Barcelona sufrió un ataque de tipo ransomware que afectó servicios críticos (urgencias, laboratorio, farmacia) y paralizó la práctica totalidad de sus sistemas informatizados.
El grupo, identificado en la prensa como RansomHouse, reclamó un rescate y, tras la negativa pública del Govern catalán a pagar, algunos datos comenzaron a ser anunciados por los atacantes.
El ataque implicó la exfiltración de archivos clínicos y documentos internos que podían contener información de pacientes: identificadores, historiales médicos, pruebas y comunicaciones internas. La doble extorsión — cifrar para bloquear y amenazar con publicar datos —, motivó advertencias de las autoridades sobre la probabilidad de que se divulgara información sensible.
Rescate exigido. Diferentes medios especializados y comunicados policiales recogieron la cifra de entre 4,2 y 4,5 millones.
4) Fresenius / QuirónSalud — mayo 2020
Era mayo de 2020 cuando se supo que el grupo sanitario Fresenius, propietario de QuirónSalud en España y uno de los principales operadores europeos, sufrió un incidente asociado al ransomware conocido como Snake.
El vector habitual de ese tipo de operaciones combinaba el robo de archivos y el cifrado masivo de dispositivos con el objetivo de exigir rescate y, en caso de negativa, filtrar datos en la dark web.
En meses posteriores, se registraron filtraciones y publicaciones parciales en entornos clandestinos en casos afines. En España, el impacto concreto sobre QuirónSalud se gestionó internamente y mediante comunicación a autoridades; algunos análisis posteriores apuntaron a la posibilidad de que datos de empleados y pacientes (en distintos grados) hubieran sido tocados en ataques similares.
Rescate exigido. Aunque no se llegó a saber cuáles fueron demandas, sí se habló de peticiones directamente negociadas en la dark web o incluso exigencias formuladas en criptomoneda.
¿Cómo se blindan este tipo de datos para evitar repeticiones?
Si algo se ha aprendido de estos casos es a escuchar a los expertos y mejorar las redes de seguridad y custodia de información y datos.
Las autoridades subrayan la necesidad de planes de contingencia, copias de seguridad inmutables, segmentación de redes, monitorización continua y protocolos de notificación a las autoridades de protección de datos cuando proceda.
El debate público sobre el pago de rescates persiste: pagar suele reducir el impacto inmediato pero incentiva futuras extorsiones; no pagar puede derivar en publicación masiva de datos y daño reputacional y operativo. Un dilema que, en algunos casos, puede incluso hacer que corra peligro la vida de algunos pacientes cuando se atacan los sistemas hospitalarios.
