Detallamos mes a mes, los ciberataques a entidades más sonados y las ciberamenazas a usuarios más destacadas durante 2023.
La ciberseguridad se ha convertido en un requisito fundamental tanto para organizaciones públicas como privadas. La protección de datos, servidores y sistemas es esencial en un entorno donde la digitalización es omnipresente. Esto no solo salvaguarda la integridad del negocio, sino también la privacidad de los grupos de interés, que incluyen empleados, clientes, accionistas y proveedores. Sin embargo, según estudios recientes, se estima que se producen en promedio 1,250 ciberataques cada semana en España. El país se sitúa como el tercer país con mayor incidencia de delitos cibernéticos, después de Estados Unidos y Rusia.
Algunos de estos ataques se materializan exigiendo cuantiosos rescates para recuperar información robada, utilizando tácticas como el ransomware, una de las amenazas más recurrentes. Otros se limitan a amenazas simples, empleando técnicas como el phishing, que implica suplantar la identidad de una organización para engañar al usuario y hacerse con sus datos mediante la manipulación.
El phishing se ejecuta principalmente a través de correo electrónico, pero también tiene variantes que utilizan mensajes SMS (smishing) o extorsión telefónica (vishing) como canales. En estos casos, las entidades más afectadas suelen ser organismos públicos como la Seguridad Social o la Agencia Tributaria, entidades bancarias y, debido al auge de las compras en línea, también los servicios de Correos y paquetería.
ENERO’23: Un total de 107 ayuntamientos en la provincia de Vizcaya experimentaron un intento de ciberataque. A modo de ejemplo, el Ayuntamiento de Durango requirió más de una semana para restablecer sus sistemas. La principal amenaza fue la suplantación de identidad de la Seguridad Social, utilizando una campaña de phishing que descargaba malware en el dispositivo de aquellos que caían en la trampa y hacían clic en el enlace correspondiente.
FEBRERO’23: La empresa Telepizza sufrió un ataque de ransomware, mientras que los servidores de la Agencia Tributaria fueron atacados con el objetivo de obtener datos fiscales de los ciudadanos. Las suplantaciones de identidad de este mes afectaron a tres entidades bancarias: BBVA, Santander y WiZink.
MARZO’23: El Hospital Clínic de Barcelona fue víctima de un ataque de ransomware que encriptó sus sistemas, provocando varias semanas de interrupción en sus operaciones y ocasionando pérdidas económicas y de datos personales significativas. Además, varias páginas web del Estado, incluida la del Ministerio de Hacienda, sufrieron ataques en cadena. La Agencia Tributaria fue suplantada mediante la técnica del smishing (vía SMS), solicitando la actualización de la información de pago para recibir una ayuda económica del Gobierno de 200€. También se recibieron mensajes fraudulentos a través de WhatsApp suplantando la identidad de la cervecera Mahou.
ABRIL’23: La compañía de telefonía y fibra óptica Yoigo sufrió un ciberataque a gran escala con acceso a información personal de sus clientes. Nuevamente, a través de smishing, la Agencia Tributaria solicitó a los usuarios información de la tarjeta bancaria bajo el pretexto de reembolsar un impuesto o la declaración de la renta de 2022.
MAYO’23: La Agencia Estatal de Meteorología (AEMET) fue víctima de un ciberataque que obligó a suspender temporalmente sus servicios como medida preventiva. Las campañas de suplantación de identidad fueron numerosas, afectando a la empresa de paquetería FedEx, a la energética Endesa y, una vez más, a la Agencia Tributaria y a la Seguridad Social (solicitando la actualización de la tarjeta sanitaria).
JUNIO’23: Un ataque de ransomware afectó al Ayuntamiento de Cangas (Pontevedra), dejando sin funcionar la mitad de los ordenadores y afectando a más de 200 funcionarios. También se registraron varias campañas de smishing suplantando la identidad de diversas entidades bancarias.
JULIO’23: Durante las Elecciones Generales, un ciberataque de denegación de servicio (DoS) colapsó los servidores y páginas web de diferentes entidades, incluyendo el Ayuntamiento de San Fernando de Henares, el Metro Ligero Oeste de Madrid, la Sede Electrónica del Ministerio del Interior y el Consorcio Regional de Transportes de Madrid. En este caso, las suplantaciones de identidad mediante correos electrónicos fraudulentos se dirigieron a la Policía Nacional y Guardia Civil, buscando extorsionar a la víctima acusándola de delitos relacionados con pornografía.
AGOSTO’23: Este mes se desató una campaña de sextorsión en la que los usuarios fueron amenazados con la publicación de videos íntimos si no pagaban una cantidad determinada en bitcoins. Nuevamente, la identidad de la Seguridad Social fue suplantada en una campaña de smishing, solicitando a los usuarios fotos de su DNI y un selfie para confirmar un supuesto expediente, datos que posteriormente se venderían en la dark web para realizar ciberestafas.
SEPTIEMBRE’23: El ciberataque más destacado fue el dirigido a la página web del Ayuntamiento de Sevilla, que dejó a los ciudadanos de la capital andaluza sin acceso a numerosos servicios y trámites telemáticos durante varias semanas. El costo estimado del ataque rondó los 5 millones de euros. La Agencia Tributaria repitió como protagonista de otra campaña de smishing que solicitaba al usuario acceder a una web para resolver una incidencia en su declaración de la renta.
OCTUBRE’23: Air Europa advirtió a sus clientes sobre una filtración de datos de tarjetas de crédito asociadas a las compras de billetes debido a un ciberataque. Las amenazas de suplantación de identidad afectaron a organismos públicos como el Instituto Nacional de Ciberseguridad (INCIBE), utilizando métodos de ingeniería social como phishing y su versión por llamada telefónica (vishing). También se vieron afectadas la Fábrica Nacional de Moneda y Timbre y la Agencia Tributaria.
NOVIEMBRE’23: Se detectó un acceso no autorizado a los datos de un colaborador de Vodafone, comprometiendo datos personales y bancarios de un número limitado de clientes. La web del sindicato Comisiones Obreras (CCOO) también sufrió un ciberataque. Durante el Black Friday, los intentos de fraude estuvieron relacionados con las compras en línea y las entregas de paquetería, suplantando la identidad de compañías como Correos o DHL.
DICIEMBRE’23: El despacho de abogados CMS Albiñana y Suárez de Lezo, que cuenta entre sus clientes con grandes empresas como Iberdrola o el Santander, fue víctima de un ciberataque a sus servidores. Los ciberdelincuentes obtuvieron una gran cantidad de archivos confidenciales y solicitaron un rescate millonario para recuperar la documentación sustraída.
Fuente: Watch&Act Protection Services
