116.498 ciberataques en doce meses, uno cada cinco minutos. Este es el balance de 2025 en Italia, donde la exposición a las amenazas cibernéticas supera en un 17% la media global. En las primeras semanas de 2026, la escalada continuó con el ataque de ransomware a la Universidad La Sapienza de Roma (se solicitó un rescate de millones de euros en criptomonedas) y los ataques DDoS del colectivo filorruso NoName057(16) contra la infraestructura de los Juegos Olímpicos de Invierno de Milán-Cortina. Dos episodios diferentes en naturaleza y objetivo, pero unidos por un elemento común: el papel central de las criptomonedas en la financiación del cibercrimen.
Las cifras: un ataque cada cinco minutos
Los datos del Threat Landscape 2025 delinean una emergencia estructural. La Agencia para la Ciberseguridad Nacional (ACN) detectó en el primer semestre de 2025 un incremento del 53% en los eventos cibernéticos en comparación con el mismo período del año anterior, con un total de 1.549 eventos, de los cuales 346 fueron clasificados como incidentes con impacto confirmado, lo que representa un aumento del 98%. El promedio semanal de 2.249 episodios sitúa a Italia entre los países europeos más expuestos.
Solo en el mes de enero de 2026, según datos de Ransomfeed, se reivindicaron 17 ataques de ransomware contra empresas italianas, casi uno al día, que afectaron a sectores heterogéneos: manufacturero (Cressi, Labeltex, Casadei), consultoría de TI (Softlab SpA), transporte y logística (Saplog, Sita Sud), hasta la Autoridad Portuaria Adriática. Estos datos confirman que el ransomware, el modelo de negocio más rentable del cibercrimen, continúa creciendo, con las criptomonedas como herramienta de cobro preferida.
| Indicador | Dato |
| Ataques censados en Italia (2025) | 116.498 (1 cada 5 minutos) |
| Media semanal | 2.249 episodios |
| Exposición vs media global | +17% |
| Incidentes con impacto confirmado (H1 2025) | 346 (+98% sobre H1 2024) |
| Ataques ransomware en Italia (ene. 2026) | 17 reivindicados (casi 1 al día) |
| Ataques DDoS NoName057 vs Italia (oct 2024–ene 2026) | 487 reivindicados |
| Objetivos olímpicos censados (4–8 feb 2026) | 52 objetivos, 711 peticiones DDoS |
El caso Sapienza: ransomware y rescate en Bitcoin
El ataque más resonante a principios de 2026 golpeó a la Universidad La Sapienza de Roma el 2 de febrero. Ciberdelincuentes de presunta procedencia rusa introdujeron en el sistema el ransomware BabLock, bloqueando el sitio web oficial, la plataforma Infostud (exámenes, calificaciones, pagos) y toda la red de la universidad más grande de Italia. La solicitud de rescate, de millones de euros a pagar en criptomonedas, llegó junto con la amenaza de publicar los datos personales contenidos en las bases de datos universitarias.
La Agencia para la Ciberseguridad Nacional intervino inmediatamente con un grupo de trabajo técnico para analizar la extensión del incidente e iniciar los procedimientos de limpieza, confiando en los sistemas de respaldo no comprometidos. Las clases y los exámenes continuaron regularmente, pero la restauración completa de los servicios tardó días. Según informes de la prensa, los ciberdelincuentes ya habían infiltrado la red durante algún tiempo, extrayendo datos antes de activar el ransomware, una técnica conocida como “doble extorsión”, en la que se amenaza tanto con el bloqueo operativo como con la publicación de los datos robados.
El caso ilustra perfectamente el modelo económico del ransomware: el software malicioso bloquea los sistemas, el rescate se solicita en Bitcoin u otras criptomonedas porque son más difíciles de rastrear que las transferencias bancarias (aunque no son anónimas, como vimos en el artículo sobre la trazabilidad DAC8), y el pago financia el próximo ataque. Es un círculo vicioso en el que las criptomonedas actúan como una “infraestructura financiera” del cibercrimen.
Olimpiadas bajo ataque: NoName057 y la guerra híbrida
Paralelamente al caso Sapienza, el colectivo hacktivista filorruso NoName057(16) lanzó una campaña masiva de ataques DDoS contra la infraestructura digital de los Juegos Olímpicos de Invierno de Milán-Cortina 2026. Entre el 4 y el 8 de febrero, la semana inaugural de los Juegos, se censuraron al menos 52 objetivos con 711 peticiones DDoS distintas, afectando al sitio web oficial del evento, la Fundación Milán-Cortina, municipios anfitriones, hoteles de Cortina, comités olímpicos de varios países europeos e incluso patrocinadores como Leonardo y Esselunga.
El ministro de Asuntos Exteriores Antonio Tajani confirmó haber frustrado ataques contra sedes del Ministerio y estructuras relacionadas con los Juegos, atribuyendo su origen a Rusia. En su canal de Telegram, NoName057(16) justificó las acciones como respuesta a la posición pro-ucraniana de Italia, publicando también imágenes de cámaras de vigilancia para demostrar el acceso a sistemas públicos y privados. El colectivo presume de 487 ataques DDoS contra Italia entre octubre de 2024 y enero de 2026, con 894 concentrados en los últimos 90 días.
A diferencia del ransomware, los ataques DDoS no tienen como objetivo robar datos ni pedir rescates: el objetivo es la perturbación y la propaganda. Sin embargo, la conexión con las criptomonedas también existe aquí: la botnet DDosia utilizada por NoName057 remunera a sus voluntarios con criptomonedas, creando un modelo de “hacktivismo remunerado” que explota la cadena de bloques para distribuir pagos pseudoanónimos a los participantes de los ataques.
Qué significa para el inversor cripto italiano
La escalada de ataques de ransomware y su conexión con las criptomonedas no quedan sin consecuencias para quienes invierten en el sector. Hay cuatro impactos concretos que hay que vigilar.
| ⚠️ Impactos para el inversor cripto 1. Riesgo reputacional — Cada ataque de ransomware que llega a la primera página con la frase “rescate en Bitcoin” refuerza la narrativa negativa sobre las criptomonedas. Para los inversores, esto se traduce en presión bajista a corto plazo y en un freno a la adopción institucional, que es la principal palanca para el crecimiento del mercado a medio y largo plazo. 2. Mayor presión regulatoria — El cibercrimen alimenta la demanda política de normas más estrictas. No es casualidad que MiCA, DAC8 y CARF hayan entrado en vigor precisamente en un contexto de aumento de los ataques: la trazabilidad completa de las transacciones también es una respuesta a la financiación ilícita. Quien invierte debe esperar obligaciones KYC/AML cada vez más estrictas en todas las plataformas. 3. Endurecimiento sobre el anonimato y los mezcladores — Las autoridades europeas están intensificando las acciones contra los servicios de mezcla y los protocolos orientados a la privacidad utilizados por los ciberdelincuentes para reciclar los ingresos de los rescates. Esto puede tener efectos secundarios en las monedas de privacidad (Monero, Zcash), los servicios no custodiales y las plataformas DeFi que no implementan controles de identidad. 4. Oportunidades en el sector de la ciberseguridad — El otro lado de la moneda: la demanda de soluciones de seguridad informática está creciendo rápidamente. Para los inversores diversificados, el sector de la ciberseguridad (empresas cotizadas, ETF temáticos) representa una cobertura natural frente al riesgo de que el cibercrimen cree volatilidad en el mercado cripto. |
Para profundizar en cómo proteger sus posiciones y navegar por un mercado en el que la regulación y la seguridad están cada vez más entrelazadas, las previsiones Bitcoin 2026-2030 de Finaria ofrecen escenarios actualizados que también tienen en cuenta los factores normativos y de riesgo.
