El dijous 14 de maig de 2026, el web de la Comissió Nacional dels Mercats i la Competència (CNMC) va quedar fora de servei durant diverses hores després de detectar-se una recepció massiva i irregular de sol·licituds simultànies. El propi organisme ho va confirmar amb un comunicat oficial: “El web de la CNMC es troba temporalment fora de servei a causa de la recepció irregular de milers d’accessos simultànis.” Els usuaris trobaven un error 502 Bad Gateway en intentar accedir-hi. La causa: un atac de denegació de servei distribuït (DDoS). La CNMC és un dels organismes reguladors més rellevants de l’ecosistema econòmic espanyol: regula els mercats d’energia, telecomunicacions, transport, audiovisual i serveis postals, i és font de referència obligada per a milers d’empreses i mitjans. Que el seu web sigui tumbat durant hores no és un incident menor.

Què se sap de l’atac DDoS a la CNMC?

  • Data i hora: l’atac es va produir al matí del dijous 14 de maig de 2026.
  • Tipus d’atac confirmat: DDoS, segons va informar un portaveu de la institució.
  • Impacte: el web de la CNMC va romandre fora de servei durant diverses hores, mostrant un error 502 Bad Gateway.
  • Cita oficial: el comunicat de la CNMC detallava que els equips tècnics estaven treballant “per contenir l’atac, garantir la seguretat dels sistemes i restablir el servei lo abans possible”.
  • Sense atribució confirmada: la CNMC no ha comunicat públicament quin actor està darrere de l’atac.
  • Sense comproms de dades confirmat: un DDoS en principi no implica accés no autoritzat a sistemes ni robatori d’informació. No obstant això, en alguns atacs híbrids el DDoS actua com a distractor d’una intrusió simultània.

Per què els reguladors i organismes públics són objectius prioritaris de DDoS

  1. Alta visibilitat i màxim impacte reputacional. Tombar el web d’un regulador nacional genera cobertura mediàtica immediata i envia un missatge de vulnerabilitat institucional.
  2. Infraestructures digitals públiques històricament menys protegides. Els organismes públics solen tenir cicles de renovació tecnològica més lents i pressupostos de ciberseguretat més limitats.
  3. Dependència operativa de tercers. Milers d’empreses espanyoles depenen de les resolucions, informes i dades públiques de la CNMC per a les seves operacions diàries.
  4. Motivació geopolitíca i ideològica creixent. Grups hacktivistes com NoName057(16), UserSec o KillNet han convertit les institucions públiques europees en objectiu habitual de campanyes coordinades de DDoS.

Com funciona un atac DDoS d’aquestes característiques

  1. Atacs volumètrics: inunden la connexió de xarxa de l’objectiu amb trànsit massiu. L’ample de banda disponible s’esgota i el servei cau.
  2. Atacs de protocol: exploten debilitats en protocols de xarxa com TCP/IP per consumir els recursos de processament dels servidors.
  3. Atacs de capa d’aplicació (L7): generen peticions HTTP aparentment legítimes en volum massiu. L’error 502 Bad Gateway documentat a l’atac de la CNMC és consistent amb aquest tipus d’atac.

Lliçons clau per a CISOs i responsables IT a empreses espanyoles

  • Un DDoS pot no ser “només” un DDoS. En atacs híbrids, el DDoS és el soroll que oculta una intrusió simultània. Tota organització ha de tenir protocol específic per a aquest escenari.
  • Les institucions públiques de les quals dependeu són part de la vostra cadena de risc. La interrupció dels serveis de la CNMC, l’AEPD o l’INCIBE ha d’estar contemplada al vostre pla de continuïtat operativa.
  • La protecció DDoS no és opcional per a cap web corporatiu exposat. Els serveis de mitigació DDoS cloud (Cloudflare, Akamai, AWS Shield, Azure DDoS Protection) absorbeixen el trànsit maliciós abans que arribi a la infraestructura del servidor.
  • El DDoS va créixer un 30% el 2025. Espanya, com a país amb alta exposició digital i implicació a l’OTAN, és objectiu específic de campanyes de grups hacktivistes.
  • Comunicació transparent durant l’incident. La CNMC va emetre un comunicat reconeixent l’atac des del primer moment. Per a les empreses privades, la gestió de la comunicació durant un incident DDoS és tan important com la resposta tècnica.

La ciberseguretat com a prioritat estratègica

L’atac a la CNMC encaixa en un patró que el propi Govern espanyol va documentar a l’Informe de Seguretat Nacional 2025: les infraestructures crítiques i els organismes digitals espanyols estan al punt de mira. El DDoS és l’atac més accessible del cibercrim — barat, efectiu i difícil d’atribuir. Per a les empreses espanyoles, la pregunta no és si els seus serveis digitals poden ser objectiu d’un DDoS. La pregunta és si estarien operatius durant l’atac.

Apolo Cybersecurity: protecció davant DDoS i continuïtat de serveis digitals

A Apolo Cybersecurity ajudem empreses i organismes a avaluar la seva exposició davant atacs DDoS i a implementar les capes de protecció adequades: anàlisi d’arquitectura de xarxa i superfície d’exposició, configuració de serveis de mitigació DDoS cloud, plans de resposta a incidents que contemplen els escenaris de DDoS híbrid, protocols de comunicació durant incidents de disponibilitat i avaluació de dependències crítiques en tercers digitals.

Si la teva organització té serveis web exposats a internet i no disposa d’una capa de mitigació DDoS activa, l’incident de la CNMC és el senyal per revisar-ho.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity