techcatalonia.catDiari · català · criteri
← Arxiu
CiberseguretatCatalunya

25 milions d'atacs al dia als sistemes catalans: l'Agència celebra l'èxit mentre els incidents es dupliquen

25 milions d'atacs al dia als sistemes catalans: l'Agència celebra l'èxit mentre els incidents es dupliquen

L'Agència de Ciberseguretat de Catalunya ha publicat la seva memòria del 2025 amb to de satisfacció: 9.100 milions d'amenaces detectades, el 80% bloquejades automàticament, i casos greus —ransomware i segrestos de dades— a la baixa, de 33 a 26. Un relat de victòria que aguanta fins que mires les xifres que no surten al titular: els incidents gestionats s'han gairebé duplicat en un sol any, passant de 3.372 a 6.544. L'èxit i el fracàs viuen a la mateixa taula de dades, i l'Agència ha triat explicar-ne només una meitat.

La part que no surt al comunicat oficial

De tots els intents d'atac diaris, 2.200 van aconseguir burlar tots els sistemes de defensa i van acabar generant incidents reals. La directora Laura Caballero ho embolcalla bé: "Gestionem més incidents perquè hi ha més amenaces, però també hem augmentat la capacitat de protecció." Cert. I alhora: el nombre d'incidents s'ha duplicat. Ambdues coses poden ser veritat, però la narrativa triomfalista fa molt per enfosquir la segona.

El que realment diu la memòria és que els hospitals catalans van ser el sector més afectat, amb 2.931 incidents registrats el 2025. Les universitats públiques, segones, amb 2.162. L'administració central de la Generalitat, tercera amb 1.962. Són exactament els entorns amb més personal, major rotació i, per tant, menor maduresa digital homogènia. Caballero ho reconeix sense embuts: "Fins al 80% dels incidents que tenim són provocats per error humà." Dit d'una altra manera: el problema principal no és tècnic, és de cultura organitzativa i formació. I això no es resol amb 18 milions d'euros ni amb criptografia quàntica.

18 milions d'euros de fons europeus i després, què?

La inversió rècord de l'Agència —18 milions d'euros en 27 accions durant el 2025— ve dels fons europeus RETECH. Bona notícia. Però és un finançament temporal i condicionat, no una partida estructural del pressupost de la Generalitat. Quan aquests fons s'esgotin, quina serà la dotació ordinària? La pregunta és pertinent perquè el volum d'amenaces augmenta un 32% anual i els atacants no fan servir fons europeus per créixer.

Entre les respostes més ambicioses, l'Agència esmenta iniciatives de criptografia quàntica per blindar les comunicacions davant ordinadors quàntics que podrien trencar el xifratge actual. És una aposta correcta i necessària a llarg termini. Però posar-ho en un comunicat del 2025 com a mesura de defensa present és, si més no, optimista: la computació quàntica amb capacitat per trencar RSA és, ara mateix, una amenaça del futur proper, no d'aquesta setmana.

El sector privat, al seu compte

L'Agència de Ciberseguretat protegeix 331 entitats, totes del sector públic. Hospitals, universitats, departaments de la Generalitat. Les PIMEs, autònoms i empreses tech catalanes que no treballen directament amb l'administració no existeixen en aquest esquema de protecció. Estan soles.

Això té una lectura directa per a qualsevol empresa o dev que desenvolupa sistemes per a institucions públiques catalanes: els requisits de seguretat van a l'alça de manera accelerada i sense fre. Dissenyar APIs, backends o aplicacions per a l'administració catalana o el sector sanitari ja no és opcional complir amb estàndards de seguretat —és la condició d'entrada. L'Agència és cada cop més exigent amb les entitats que protegeix, i per extensió, amb tot el que hi connecta.

Per als equips que construeixen producte per a institucions i volen integrar la seguretat des del disseny —no com a capa de vernís final—, la diferència entre un proveïdor que entén aquest context i un que no és cada cop més determinant. Plataformes com reddev.es treballen en aquest nínxol: construcció de sistemes tècnics a mida on la seguretat és arquitectura, no afterthought.

La frase que resumeix-ho tot

La directora Caballero, al final del comunicat, diu una cosa que mereix ser subratllada: "El risc zero no existeix i també s'ha de treballar en la recuperació." Traduit: la defensa total és una ficció i el pla B —recuperar-se ràpid quan et toquen— és tan important com no deixar-los entrar. Que una directora d'agència de ciberseguretat digui això en públic és, en realitat, el titular més honest de tota la memòria.