El 79% de los expertos senior del sector de la construcción consultados en el informe De los planos a las brechas de seguridad señala que el ransomware en la construcción es la amenaza con mayor probabilidad de tener un impacto significativo en las empresas de esta industria. El estudio señala además que cada incidente de ransomware genera una media de 24 días de inactividad.
El informe, que ha sido elaborado por QBE, aseguradora especialista en riesgos empresariales, y Control Risks, consultora internacional de gestión de riesgos, corrobora que la transformación digital del sector de la construcción está impulsando mejoras en eficiencia, coordinación y planificación, pero también está elevando de forma significativa su exposición al riesgo cibernético.
El informe publicado en este 2026 llega en un momento en el que el sector afronta una transformación digital acelerada. BIM, sensores de obra conectados e inteligencia artificial forman ya parte del día a día de proyectos de construcción e infraestructuras en toda Europa. Esa digitalización mejora la coordinación entre equipos y reduce errores, pero también multiplica los puntos por los que un atacante puede entrar.
En un sector donde los plazos son ajustados y los contratos suelen fijarse a precio cerrado, ese parón no se queda en un simple problema informático. Se convierte en retrasos, en penalizaciones contractuales y en sobrecostes que arrastran a toda la cadena de subcontratistas.
Los sectores de la edificación, construcción e inmobiliario, los más atacados
El informe también revela que edificación, construcción y sector inmobiliario fueron los sectores más atacados por ransomware en 2025, con el 20% de los incidentes registrados a nivel global, por delante de tecnologías de la información, sector farmacéutico, logística e industria manufacturera, todos ellos en el 9%.
Al respecto, el trabajo argumenta que la digitalización del sector amplía la superficie de ataque, especialmente en la integración entre sistemas informáticos y tecnología operativa que gestiona maquinaria y procesos físicos en obra. Es un fenómeno que se produce con la confluencia de tecnologías como BIM, IoT o la presencia de sensores en obra, cuya presencia multiplica también la vulnerabilidad y los riesgos de sufrir un ransomware en la construcción.
Sectores más atacados por Ransomware en 2025
Los datos del informe de Control Risks sitúan a la construcción en el primer lugar de una lista que incluye sectores tradicionalmente considerados de mayor riesgo:
| Edificación, construcción y sector inmobiliario | 20% |
| Tecnologías de la información y telecomunicaciones | 9% |
| Industria manufacturera | 9% |
| Sector farmacéutico, suministros médicos y sanidad | 9% |
| Logística y transporte | 9% |
| Servicios jurídicos | 7% |
| Energía y suministros | 5% |
Según un informe especializado en ciberseguridad industrial citado en el estudio, 119 grupos de ransomware atacaron organizaciones industriales en 2025, un incremento del 49% respecto al año anterior, afectando en conjunto a 526 organizaciones del sector de la construcción.
Ataques que paralizan una obra durante 24 días de media
Un ataque de ransomware en la construcción puede llegar a bloquear el acceso a la documentación crítica del proyecto: planos, modelos BIM, cronogramas y sistemas de coordinación entre equipos. Sin esa información, la obra no puede avanzar con normalidad, y el tiempo de recuperación se acumula día tras día, retrasando la ejecución del mismo proyecto.
Este tiempo de parálisis resulta revelador, ya que un estudio de 2023 ya advertía que el 77% de las empresas del sector empieza a sufrir problemas operativos graves si pasa más de 5 días sin acceso a la documentación de sus proyectos.
Dos años después, la media real de inactividad tras un ataque de ransomware se sitúa en 24 días, casi cinco veces por encima de ese umbral crítico que las propias empresas identificaban como límite tolerable.
Como ejemplos, el informe documenta varios casos que ilustran esa magnitud.
- La constructora británica Lagan Specialist Contracting Group sufrió en febrero de 2023 un ataque de doble extorsión atribuido al grupo LockBit, con robo de datos sensibles de empleados que terminaron filtrados en la dark web.
- La estadounidense Skender Construction sufrió un ataque similar en marzo de 2024: los atacantes robaron datos de más de 1.000 personas y cifraron sus sistemas de IT. No obstante, la empresa logró restaurar la operativa con rapidez gracias a que contaba con copias de seguridad preparadas.
Qué hay detrás del ataque: cadenas de suministro y sistemas heredados
Control Risks identifica tres factores que explican por qué los atacantes eligen la construcción como objetivo:
- La baja madurez en ciberseguridad que perciben en el sector
- La complejidad de las cadenas de suministro con múltiples subcontratistas y proveedores digitales
- La débil protección de los sistemas inteligentes que gestionan edificios y obras.
Esa dependencia de terceros multiplica los puntos de entrada posibles para un atacante. En este sentido, cada subcontratista conectado a la plataforma BIM del proyecto, cada proveedor con acceso remoto a los sistemas de obra, representa una puerta de entrada que hay que proteger.
De este modo, esto se convierte en un problema estructural, con sus implicaciones contractuales y económicas.
Qué pueden hacer las constructoras frente al ransomware
El informe sobre ransomware en la construcción no se limita a diagnosticar el problema. Propone cinco ejes de actuación y de defensa:
- Reforzar la gobernanza del riesgo cibernético a nivel directivo
- Actualizar los planes de respuesta ante incidentes con pruebas periódicas
- Evaluar la madurez cibernética de los proveedores antes de contratarlos
- Reforzar medidas técnicas como la segmentación entre sistemas informáticos y tecnología operativa
- Desarrollar programas de formación para toda la plantilla.
Natalio García, Head of Construction en QBE, resume el cambio de perspectiva que atraviesa el sector: «en construcción, hablar de riesgo ciber es hablar directamente de riesgo operativo». Por ello, el ransomware ha dejado de ser un problema exclusivo de los departamentos de sistemas para convertirse en un riesgo que condiciona directamente los plazos y el presupuesto de cualquier obra.
En la actualidad, datos como que el 20% de los incidentes globales de 2025 se concentraron en la construcción, y cada ataque paraliza una obra durante 24 días de media son cifras que ya no pueden tratarse como una posibilidad remota, sino como una variable más dentro de la gestión de cualquier proyecto.
Preguntas frecuentes sobre el ransomware en la construcción
¿Qué es el ransomware en la construcción y cómo afecta a las obras?
Es un ciberataque que cifra y bloquea el acceso a documentación crítica del proyecto, como planos, modelos BIM y cronogramas de trabajo. Al impedir que los equipos coordinen sus tareas operativas cotidianas, la actividad física en la obra se detiene por completo, generando retrasos en las entregas y penalizaciones contractuales.
¿Por qué el ransomware es la principal amenaza para las empresas de construcción?
Porque bloquea el acceso a documentación crítica de obra —planos, modelos BIM, cronogramas— y detiene la actividad. El 79% de los expertos consultados por Control Risks lo sitúa como el riesgo con mayor probabilidad de impacto significativo en el sector, por delante de otras amenazas cibernéticas.
¿Cuánto tiempo de inactividad genera de media un ataque de ransomware en construcción?
Según el informe de QBE y Control Risks, la media de inactividad tras un ataque de ransomware en 2025 fue de 24 días. Esa cifra multiplica casi por cinco el umbral de 5 días que las propias empresas del sector identificaban como límite crítico en un estudio de 2023.
¿Por qué la construcción es el sector más atacado por ransomware en 2025?
Concentró el 20% de los incidentes globales de ransomware en 2025, el porcentaje más alto entre todos los sectores analizados. Los expertos de Control Risks atribuyen esto a la baja madurez percibida en ciberseguridad, la complejidad de las cadenas de suministro y la débil protección de los sistemas inteligentes de obra.
¿Qué relación hay entre BIM y el riesgo de ciberataques?
BIM facilita la colaboración remota entre equipos, pero también crea infraestructuras compartidas que son objetivo frecuente de atacantes que buscan robar información sensible o acceder a sistemas corporativos. El mercado global de BIM alcanzará los 17.720 millones de dólares en 2034, lo que amplía también la superficie de ataque.
¿Qué pueden hacer las constructoras para reducir el riesgo de ransomware?
El informe recomienda cinco medidas: reforzar la gobernanza del riesgo a nivel directivo, actualizar los planes de respuesta ante incidentes, evaluar la ciberseguridad de los proveedores, mejorar la segmentación entre sistemas informáticos y tecnología operativa, y formar a toda la plantilla en concienciación digital



















You must be logged in to post a comment Login