Ciberataques. Guía para la gestión y notificación de ataques informáticos

Unos pocos minutos de un ciberataque pueden poner en riesgo la reputación que has construido durante mucho tiempo.

Un ataque cibernético impacta tus finanzas y pone en peligro la confianza de tus clientes que has construido con años de servicio. Genera dudas sobre si las personas pueden confiar en tu organización con sus datos sensibles o no, lo que hace que la ciberseguridad sea una necesidad indispensable para tu negocio.

Es recomendable tener un programa de ciberseguridad estándar en tu organización equipado con tecnologías como SIEM, soluciones de aprovisionamiento de usuarios, herramientas de gestión de vulnerabilidades y otras para protegerse de las amenazas cibernéticas.

Profundicemos y exploremos las diversas dimensiones de los ciberataques.

Indice

Qué es un ciberataque o ataque informático

Un ciberataque es un intento ofensivo y poco ético lanzado desde una o más computadoras que tienen como objetivo redes o dispositivos personales para exponer, alterar, deshabilitar o robar los activos de una organización.

Por lo general, la entidad responsable de realizar el ataque se denomina atacante. Pueden ser estados soberanos, grupos específicos, individuos dentro de la sociedad u organizaciones.

Un ciberataque tiene como objetivo acceder al dispositivo pirateando un sistema susceptible. La intención puede variar desde la instalación de software espía en un dispositivo personal hasta la destrucción de la infraestructura digital de toda la empresa o incluso de la nación.

También puede ser parte de la guerra cibernética o el ciberterrorismo, donde el producto que facilita un ciberataque se conoce como un arma cibernética.

Utilizan una variedad de herramientas y prácticas para realizar los ataques, que incluyen kits de explotación, malware, ransomware, inyecciones de SQL, etc.

No es raro ver innumerables titulares sobre empresas que pierden dinero, comprometen los datos de los clientes y son multadas debido a los ciberataques.

Es un hecho, los ciberataques ocurren todos los días. Son cada vez más frecuentes y eficientes. Más del 62% de las empresas encuestadas de diferentes industrias experimentaron ataques diarios y el 15% de ellas tuvieron cortes completos.

¿Por qué ocurren los ciberataques?

Los ciberataques se han vuelto cada vez más sofisticados. El aumento de tales casos cada año apunta a algunos motivos comunes.

Algunas de las razones más informadas incluyen:

  • Rescate: los ataques cibernéticos tienen como objetivo obtener un rescate del propietario del dispositivo o la red.
  • Acceso a detalles financieros: el objetivo de estos ataques puede ser acceder a los detalles financieros de los clientes de una empresa o de la propia empresa. Esta información se puede publicar o utilizar para obtener beneficios monetarios personales. También se puede utilizar para piratear la cuenta bancaria de uno y drenar el efectivo.
  • Acceso a la propiedad intelectual: el motivo puede ser piratear el dispositivo o la red de una empresa para acceder al diseño de productos o secretos comerciales para implementarlos en la organización de uno o publicitarlos.
  • Terrorismo: se observa una tendencia común entre los grupos terroristas que piratean dispositivos personales para instalar software espía o utilizar servicios cifrados para comunicarse. Es una amenaza potencial para la seguridad de toda una nación.

Cómo prevenir un ataque informático

Mitigar las amenazas cibernéticas de un ataque requiere más que una instalación antivirus. Necesita vigilancia y conciencia constantes. Sin embargo, se puede simplificar siguiendo algunos trucos simples.

A continuación, te mostramos cómo puedes proteger tus redes corporativas de los ataques cibernéticos.

  • Limita el acceso de los empleados: reducir las posibilidades de errores humanos puede ser muy beneficioso para proteger los casos remotos de una violación de datos. Permite que tus empleados accedan solo a la información que necesitan para su tarea. Si un empleado deja la empresa o se traslada a otra parte, elimina toda su información de los sistemas.
  • Parcheo: es crucial parchear y actualizar cada uno de su software en todos los dispositivos utilizados por tus empleados. No demores la descarga de actualizaciones del sistema operativo, ya que generalmente tienen características de seguridad mejoradas.
  • Asegura todas las redes y puntos de acceso: asegúrate de optimizar cada red y punto de acceso inalámbrico para el uso de tu empresa. Cambia la contraseña administrativa en los dispositivos nuevos, configura WAP para evitar la transmisión a SSID y evita el uso de WEP.
  • Configura filtros: detecta a los piratas informáticos y evita el spam mediante el uso de filtros web y de correo electrónico en tus dispositivos. Descarga servicios de listas negras para impedir que los usuarios accedan a sitios web potencialmente peligrosos.
  • Capacitar a los empleados: el elemento más crucial para mantener la ciberseguridad es enseñar las mejores prácticas de ciberseguridad a los usuarios. Todo empleado debe conocer el uso comercial y personal del correo electrónico, el tratamiento de la información laboral en casa, el manejo de riesgos de ciberseguridad, etc.

Herramientas de monitoreo de seguridad contra ciberataques

Protegerse de todo el espectro de ciberataques es realmente un desafío. Aunque los sistemas operativos vienen con su propia seguridad, generalmente no es suficiente. Las herramientas de ciberseguridad y SIEM (Security Information and Event Management) son muy útiles cuando tu red es de tamaño mediano a grande.

La siguiente sección muestra algunas de las mejores herramientas de monitoreo de seguridad de red del mercado.

Administrador de eventos y registro de SolarWinds

SolarWinds desarrolla software de monitorización de redes. Su software de seguridad informática incluye “Patch Manager”, “Acces Patch Manager” y “Log and Event Manager”. La última es una increíble herramienta SIEM, que permite una fácil gestión de los registros de eventos por motivos de seguridad o cumplimiento.

La herramienta Log and Event Manager es capaz de identificar amenazas con un sistema de detección de actividades sospechosas en el momento del evento. También puedes utilizar la herramienta para realizar investigaciones de eventos y análisis forense de datos para mitigar los riesgos presentes y futuros.

Splunk

Es una herramienta de monitoreo de red ligera, rápida y flexible. Está diseñado para análisis de datos en tiempo real y navegación histórica. Indexa y compara los datos capturados en un archivo de búsqueda para crear informes, alertas y gráficos. Con esta herramienta, es muy fácil diagnosticar problemas y proporcionar información. Splunk se usa ampliamente para la administración de aplicaciones, la seguridad cibernética y el cumplimiento.

Aunque el producto principal está diseñado para analizar grandes volúmenes de datos de máquinas, Splunk también ofrece una herramienta de seguridad empresarial. Es una plataforma SIEM de gestión de eventos e información de seguridad, capaz de proporcionar información a partir de los datos de la máquina generados a partir de dispositivos de red como firewalls, puntos de acceso, enrutadores de borde, antivirus / malware, etc.

CyberBattleSim

CyberBattleSim es un simulador de ciberataques de Microsoft lanzado en 2021.

RSA NetWitness Suite

Es una popular herramienta de detección de amenazas y SIEM para grandes empresas de diferentes industrias. Esta solución utiliza tecnología avanzada para detectar amenazas y responder en consecuencia. Emplea análisis de comportamiento e inteligencia de amenazas para ayudar a los administradores de seguridad a encontrar y resolver ataques antes de que ocurran. También cuenta con aprendizaje automático y automatización con orquestación.

La complejidad de sus elementos e implementación limita esta plataforma para grandes empresas con auditores y equipos de seguridad de TI experimentados. Pero aquellas empresas capaces de implementarlo, pueden beneficiarse de su inteligencia de amenazas avanzada que incluye múltiples fuentes de amenazas.

ManageEngine

Ofrece una completa suite de cumplimiento de seguridad de TI que te ayuda a administrar la seguridad de TI, la actividad de auditoría y garantizar el cumplimiento normativo de TI. Ofrecen herramientas que realizan administración de registros, seguridad de firewall y administración de configuración, SIEM y mitigación de amenazas de red, y mucho más.

Para SIEM y mitigación de amenazas, ManageEngine ofrece Log360 , que es una solución SIEM completa que combina componentes de auditoría de AD y administración de registros en una sola interfaz. Con él, podrás auditar cambios en Active Directory, recopilar registros de dispositivos de red y examinar en profundidad diferentes servidores, todo desde una sola consola.

Morpheus

Nvidia es una empresa de tecnología multinacional estadounidense con sede en Santa Clara, California. La empresa es más conocida por sus unidades de procesamiento de gráficos (GPU) para los mercados de juegos y profesionales, así como por sus unidades de sistema en un chip (SoC) para el mercado de la informática móvil y la automoción.

Y lo que es menos conocido es que también incursiona en la industria de la inteligencia artificial y la ciberseguridad.

Ahora ha presentado la herramienta Morpheus. Es esencialmente un marco de aplicación «nativo de la nube» diseñado principalmente para proporcionar a los socios de ciberseguridad habilidades de IA que se pueden utilizar para detectar y mitigar los ataques de ciberseguridad.

Morpheus utiliza tecnología de aprendizaje automático para identificar, capturar y responder a amenazas y anomalías, incluidas fugas de datos confidenciales, intentos de phishing y malware.

Morpheus es un marco de aplicación de IA abierto que proporciona a los desarrolladores de ciberseguridad una canalización de IA optimizada y capacidades de IA previamente entrenadas. Con él y por primera vez, esto les permite inspeccionar instantáneamente todo el tráfico IP a través de la estructura de su centro de datos.

Tipos de ciberataques

Los principales ciberataques se pueden incluir en algunos de los siguientes tipos:

Contenido abusivo

Dentro de los ciberataques de contenido abusivo, destacamos:

    • SPAM: correo electrónico masivo no solicitado. El receptor del email no ha dado su autorización válida para recibir un mensaje colectivo.
    • Delito de odio: contenido difamatorio o discriminatorio. Por ejemplo, el racismo o el ciberacoso.
    • Pornografía infantil, contenido sexual o violento inadecuado: se incluye todo aquel material que incluya contenido relativo a pornografía infantil, apología de la violencia, etc.

Contenido dañino

Aquellos ciberataques con contenido dañino se dividen en:

    • Sistema infectado con malware. Ejemplo: ordenador o teléfono móvil infectado con un virus o ransomware.
    • Servidor C&C (Mando y Control): conexión con servidor de Mando y Control (C&C) a través de sistemas infectados o malware.
    • Distribución de malware: recurso utilizado para distribuir malware. 
    • Configuración de malware: recurso que aloje ficheros de configuración de malware. Dentro de todos los tipos de archivos que pueden contener malware, uno de los más comunes es el EXE.
    • Malware dominio DGA: nombre de dominio generado mediante DGA (Algoritmo de Generación de Dominio), utilizado por malware para contactar con un servidor de Mando y Control (C&C).

Obtención de información

      • Escaneo de redes (scanning): envío de peticiones a un sistema para descubrir posibles debilidades. Se incluyen también procesos de comprobación o testeo para recopilar información de alojamientos, servicios y cuentas. Ejemplos: escaneo de puertos, peticiones DNS, SMTP.
      • Análisis de paquetes (sniffing): observar y grabar el tráfico de redes.
      • Ingeniería social: recopilación de información personal sin el uso de la tecnología. Ejemplos: uso de amenazas, mentiras o sobornos.

Intento de intrusión

    • Explotación de vulnerabilidades conocidas: se intenta comprometer un sistema o interrumpir un servicio a través de la explotación de vulnerabilidades con un identificador estandarizado. Por ejemplo, desbordamiento de buffer, puertas traseras, cross site scripting (XSS).
    • Intento de acceso con vulneración de credenciales: se intenta acceder al sistema vulnerando las credenciales. Por ejemplo, ataques de fuerza bruta.
    • Ataque desconocido: cuando se usa un exploit desconocido.

Intrusión

    • Compromiso de cuenta con privilegios: El atacante adquiere privilegios para comprometer un sistema.
    • Comprometer la cuenta sin privilegios: se compromete un sistema usando cuentas sin privilegios.
    • Compromiso de aplicaciones: compromiso de una aplicación mediante la explotación de vulnerabilidades de software. Por ejemplo, la inyección SQL.
    • Robo: intrusión física. Ejemplo: acceso no autorizado a Centro de Proceso de Datos y sustracción de equipo.

Disponibilidad

    • DoS (Denegación de Servicio): con este ataque se envían peticiones a una aplicación web provocando la interrupción o ralentización en la prestación del servicio.
    • DDoS (Denegación Distribuida de Servicio): el ataque incluye inundación de paquetes SYN, ataques de reflexión y amplificación utilizando servicios basados en UDP.
    • Sabotaje: sabotaje físico. Por ejemplo, incendios intencionados o cortes de cables de equipos.
    • Interrupciones: interrupciones por causas externas. Ejemplo: inundaciones o terremotos.

Compromiso de la información

    • Acceso no autorizado a información: robo de credenciales de acceso interceptando el de tráfico o accediendo a documentos físicos.
    • Modificación no autorizada de información: modificación efectuada por un atacante usando credenciales robados de un sistema o aplicación o encriptado de datos usando ransomware.
    • Pérdida de datos: pérdida de información por robo físico o fallo de disco duro.

Fraude

    • Uso no autorizado de recursos: utilizar los recursos para fines inadecuados, incluyendo acciones con ánimo de lucro. 
    • Derechos de autor: instalar software que no tiene licencia u otro material protegido por derechos de autor.
    • Suplantación: ataque en el que se suplanta a una entidad para conseguir beneficios ilegítimos.
    • Phishing: suplantación de otra entidad con el objetivo de convencer al usuario para que facilite sus credenciales privadas.

Vulnerabilidad

    • Criptografía débil: servicios de acceso público que tienen una criptografía débil. 
    • Amplificador DDoS: servicios accesibles públicamente que pueden usarse para amplificar ataques DDoS.
    • Servicios con acceso potencial no deseado: servicios accesibles públicamente potencialmente no deseados. 
    • Revelación de información: acceso público a servicios a través de los que es posible revelar información sensible.
    • Sistema vulnerable: cuando hay una mala configuración de proxy en cliente (WPAD) o se usan versiones desfasadas de sistema.

Otros

    • Otros: todos los ciberataques que no puedan incluirse en ninguna categoría anterior.
    • APT: ataques dirigidos contra organizaciones concretas, usando mecanismos muy sofisticados de ocultación, anonimato y persistencia. Esta amenaza normalmente usa técnicas de ingeniería social para conseguir sus fines junto con el empleo de procedimientos de ataque conocidos o genuinos.
    • Ciberterrorismo: utilizar redes o sistemas de información con un objetivo terrorista.
    • Daños informáticos PIC: borrar, dañar, alterar, suprimir o hacer inaccesibles datos, programas informáticos o documentos electrónicos de una infraestructura crítica. 

Notificación del ciberataque

Un incidente cibernético es un evento que podría poner en peligro la confidencialidad, integridad o disponibilidad de los sistemas de información digital.

Los incidentes cibernéticos que causan daños importantes son motivo de especial preocupación para el Gobierno. En consecuencia, las víctimas deben ser informadas de todos los incidentes cibernéticos que puedan:

  • resultar en una pérdida significativa de datos, disponibilidad del sistema o control de los sistemas;
  • afectar a un gran número de víctimas;
  • indicar acceso no autorizado o software malicioso presente en sistemas de tecnología de la información críticos;
  • afectar la infraestructura crítica o las funciones gubernamentales básicas; o
  • impactar la seguridad nacional, la seguridad económica o la salud y seguridad públicas.

Un incidente cibernético se puede informar en varias etapas, incluso cuando la información completa puede no estar disponible. La información útil podría incluir quién lo notifica, quién experimentó el incidente, qué tipo de incidente ocurrió, cómo y cuándo se detectó inicialmente el incidente, qué acciones de respuesta ya se han tomado y a quién se ha notificado.

En la LOPDGDD y el RGPD se exige la notificación de las brechas de seguridad a la AEPD y a los afectados en caso de que esa brecha suponga un alto riesgo para los derechos y libertades de las personas físicas.

Para realizar esa notificación, la AEPD ha creado una herramienta que ofrece como respuesta tres posibles escenarios: que se debe notificar la brecha de seguridad a las personas afectadas al apreciarse un riesgo alto; que no es necesaria dicha comunicación, o que no se puede determinar el nivel de riesgo.

Usar Comunica-Brecha RGPD facilita la toma de decisiones ante la obligación de comunicar brechas de seguridad a las personas interesadas.

Criterios para la notificación

Para notificar un ciberataque, deben tenerse en cuenta una serie de criterios:

Peligrosidad

El indicador de peligrosidad determina la potencial amenaza que supondría la materialización de un incidente en los sistemas de información o comunicación del ente afectado, así como para los servicios prestados o la continuidad de negocio. Este indicador se fundamenta en las características intrínsecas a la tipología de amenaza y su comportamiento.

Los niveles de peligrosidad pueden ser: Crítico, muy alto, alto, medio o bajo.

Impacto

El indicador de impacto de un ciberataque se determinará evaluando las consecuencias que el mismo ha tenido en las funciones y actividades de la organización afectada, en sus activos o en los individuos afectados. Según esto, se tienen en cuenta aspectos como las consecuencias potenciales o materializadas que provoca una determinada amenaza en un sistema de información y/o comunicación, así como en la propia entidad afectada.

Los criterios usados para determinar el nivel de impacto de un ciberataque tienen en cuenta los siguientes parámetros:

  • Impacto en la Seguridad Nacional o en la Seguridad Ciudadana.
  • Efectos en la prestación de un servicio esencial o en una infraestructura crítica.
  • Tipología de la información o sistemas afectados.
  • Grado de afectación a las instalaciones de la organización.
  • Posible interrupción en la prestación del servicio normal de la organización.
  • Tiempo y costes propios y ajenos hasta la recuperación del normal funcionamiento de las instalaciones.
  • Pérdidas económicas.
  • Extensión geográfica afectada.
  • Daños reputacionales asociados.

Los niveles de impacto se dividen en: Crítico, muy alto, alto, medio o bajo.

Niveles con notificación obligatoria asociada

Los incidentes se asociarán a uno de los niveles de peligrosidad e impacto establecidos, teniendo en cuenta la obligatoriedad de notificación de todos aquellos que se categoricen con un nivel Crítico, Muy alto o Alto para todos aquellos sujetos obligados. En ese caso, deberán comunicar, en tiempo y forma, los incidentes que registren en sus redes y sistemas de información y estén obligados a notificar por superar los umbrales de impacto o peligrosidad
establecidos.

¿Dónde notificar el ciberataque? Aviso al CSIRT

Los pasos a seguir en caso de notificación de un ciberataque son:

  • El sujeto afectado remitirá un correo electrónico al CSIRT de referencia (INCIBE-CERT o CCN-CERT) comunicándole el incidente.
  • El CSIRT, según el tipo de incidente, lo comunicará al organismo receptor implicado o a la autoridad nacional competente.
    • Si afecta a la Defensa Nacional, al CSIRT de referencia ESP-DEF-CERT.
    • Cuando afecta a una Infraestructura Crítica, al CNPIC
    • Si afecta al RGPD, a la AEPD.
    • Cuando es un incidente de AAPP bajo el ENS de peligrosidad alta, muy alta o crítica, al CCN-CERT
  • El Organismo receptor implicado o Autoridad Nacional competente contactará con el afectado para recabar información
  • El sujeto afectado comunica los datos necesarios al Organismo receptor implicado o Autoridad Nacional competente.
  • Si procede, desde la Oficina de Coordinación Cibernética (CNPIC), se pone la información a disposición de las Fuerzas y Cuerpos de Seguridad del Estado y Ministerio Fiscal para iniciar la investigación policial y judicial.

CCN-CERT

El CCN-CERT es el Centro de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN, adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre.

Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopera y ayuda a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de los distintos Centros de Operaciones de Ciberseguridad existentes.

INCIBE-CERT

INCIBE-CERT es el centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España perteneciente al Instituto Nacional de Ciberseguridad (INCIBE), dependiente del Ministerio de Asuntos Económicos y Transformación Digital.

Es uno de los equipos de respuesta de referencia ante incidentes que se coordina con el resto de los equipos nacionales e internacionales para mejorar la eficacia en la lucha contra los delitos que involucran a las redes y sistemas de información, reduciendo sus efectos en la seguridad pública.

ESP-DEF-CERT

ESP DEF CERT es la denominación del Centro de Respuesta ante Incidentes del Ministerio de Defensa. Se encuentra enmarcado en el Mando Conjunto del Ciberespacio. Su ámbito de actuación son las redes y los sistemas de información y telecomunicaciones de las Fuerzas Armadas, así como aquellas otras redes y sistemas que específicamente se le encomienden y que afecten a la Defensa Nacional.

Apertura del incidente

Cuando se notifica al CSIRT un posible ciberataque, el equipo técnico realiza un análisis inicial para determinar si el caso es susceptible de ser gestionado por el mismo.

Esta apertura puede producirse por una notificación del afectado, por una detección del CSIRT como parte de las labores de detección que realizan o por un tercero que reporta al CSIRT un incidente que afecta a su comunidad de referencia.

En caso de ser competente el CSIRT para gestionar el incidente, registrará la información facilitada y se asignarán una clasificación y unos valores iniciales de peligrosidad e impacto que serán comunicados al remitente. Después, se iniciarán las acciones necesarias para la resolución del ciberincidente.

El CSIRT puede contactar en cualquier momento con el remitente o con terceros para solicitar información adicional que ayude a la resolución de ese incidente.

¿Qué información hay que notificar?

Para gestionar y tratar correctamente el incidente registrado, es necesario tener los datos e información completa sobre el mismo.

El sujeto obligado debe notificar todas las cuestiones sobre las que tenga conocimiento en ese momento. Dentro de la información que debe comunicarse está:

  • Asunto: Frase que describa de forma general el incidente.
  • Denominación del operador de servicios esenciales o proveedor de servicios digitales que notifica.
  • Sector: estratégico Energía, transporte, financiero, etc.
  • Fecha y hora del incidente.
  • Fecha y hora de detección del incidente
  • Describir con detalle lo sucedido.
  • Recursos tecnológicos afectados: número y tipo de activos afectados por el ciberincidente, incluyendo direcciones IP, sistemas operativos, aplicaciones, versiones, etc.
  • Origen del incidente
  • Posible clasificación y tipo de ciberincidente en función de la taxonomía descrita.
  • Nivel de Peligrosidad
  • Nivel de Impacto
  • Impacto transfronterizo: Indicar si el incidente tiene impacto transfronterizo en algún Estado miembro de la
    Unión Europea.
  • Plan de acción y contramedidas: Actuaciones realizadas hasta el momento en relación al ciberincidente.
  • Afectación: Indicar si el afectado es una empresa o un particular y las afectaciones.
  • Medios necesarios para la resolución
  • Impacto económico estimado (Si se conoce)
  • Extensión geográfica (Si se conoce)
  • Daños reputacionales (Si se conocen)
  • Adjuntos: Indicar la relación de documentos adjuntos que se aportan para ayudar a conocer la causa del problema o a su resolución (capturas de pantalla, ficheros de registro de información, correos electrónicos, etc.)
  • Regulación afectada: ENS / RGPD /NIS / PIC / Otros
  • Se requiere actuación de FFCCSE: Si / No

Ventana temporal del reporte

Todos aquellos sujetos obligados afectados por un incidente de obligada notificación a la autoridad competente remitirán, en tiempo y forma, aquellas notificaciones inicial, intermedia y final requeridas.

  • La notificación inicial es la comunicación de que se ha producido un ciberataque.
  • Notificación intermedia se denomina a la comunicación de datos actualizados sobre ese incidente.
  • La notificación final es la comunicación de los datos definitivos referentes al ciberataque comunicado.

La comunicación se realizará siempre por escrito mediante el uso de correo electrónico o sistema proporcionado por el CSIRT de referencia del operador.

Estados y valores de cierre

Los diferentes estados que puede tener un ciberincidente y los distintos tipos de cierre son los siguientes:

  • Resuelto y sin respuesta: No hay respuesta por parte del organismo afectado en un periodo
    determinado. No obstante, el incidente parece estar resuelto.
  • Resuelto y con respuesta: El organismo afectado ha solventado la amenaza y notifica a su CSIRT de
    referencia el cierre del ciberincidente.
  • Sin impacto: La detección ha resultado positiva pero el organismo no es vulnerable o no se ve afectado por el ciberincidente.
  • Falso positivo: La detección ha sido errónea.
  • Sin resolución y sin respuesta: Si el ciberincidente no ha sido resuelto por el organismo afectado y este no ha comunicado con el CSIRT de referencia, es cerrado con este estado.
  • Sin resolución y con respuesta: No se ha alcanzado una solución al problema o el afectado indica que no sabe solventarlo incluso con las indicaciones proporcionadas por el CSIRT.
  • Abierto: Estado que va desde que el organismo afectado notifica la amenaza al CSIRT de referencia, o bien este último lo comunica al afectado, hasta que se produce el cierre del mismo por alguna de las causas anteriormente descritas.

¿Cómo gestionar un ataque informático?

La seguridad cibernética afecta a todas las empresas e industrias. Lidiar con los ataques cibernéticos es un problema de “todo el negocio”, que afecta a todos los equipos dentro de una organización. También es una cuestión de personas y operativa, más que una cuestión técnica.

En el entorno moderno actual, donde cada organización depende hasta cierto punto de la tecnología y las telecomunicaciones, no se trata de «si» se produce una violación de la seguridad cibernética, sino más bien de «cuándo».

Cuando se descubre una infracción, es esencial actuar de manera integral y rápida, o puede exponer a la empresa a una mayor responsabilidad. Hay seis pasos críticos que la organización debe tomar para enfrentarlo.

Preparación

Es una fase inicial en la que toda entidad debe estar preparada para cualquier incidente que pudiera ocurrir. Una buena anticipación y entrenamiento previo es clave para realizar una gestión eficaz de un incidente, para lo que hace falta tener en cuenta tres pilares fundamentales: las personas, los procedimientos y la tecnología.

Algunas de las cuestiones más relevantes a tener en cuenta en esta fase son:

  • Tener una información de contacto actualizada, tanto de personal interno como externo.
  • Mantener las políticas y procedimientos actualizados. Sobre todo los referidos a gestión de incidentes, recogida de evidencias, análisis forense o recuperación de sistemas.
  • Herramientas a utilizar en todas las fases de gestión de un ciberincidente.
  • Formar al equipo humano para mejorar las capacidades técnicas y operativas.
  • Efectuar análisis de riesgos que permita disponer de un plan de tratamiento de riesgos para controlarlos pudiendo ser mitigados, transferidos o aceptados.
  • Ejecutar ejercicios para entrenar las capacidades y procedimientos técnicos, operativos, de gestión y coordinación.

Identificación

Muévete rápidamente para identificar el tipo de ataque cibernético al que se enfrenta tu empresa a fin de comprender el origen de la infracción, su alcance y su impacto. Esto te permitirá implementar el plan de acción más eficaz.

Por ejemplo, en el caso de un ataque de ingeniería social en el que un pirata informático ha obtenido información de acceso de un empleado, consulta al empleado para identificar exactamente qué información se compartió. O si el atacante es un empleado descontento, identifica el nivel de acceso a la red que probablemente tenga y cuáles podrían ser sus motivos.

Una correcta identificación o detección se basa en los siguientes principios:

  • Registrar y monitorizar los eventos de las redes, sistemas y aplicaciones.
  • Recopilar información situacional que permita detectar anomalías.
  • Tener capacidades para descubrir ciberincidentes y comunicarlos a los contactos apropiados.
  • Recopilar y almacenar de forma segura todas las evidencias.
  • Compartir información con otros equipos internos y externos.

Contención

Una vez identificado un ciberataque, el siguiente paso es contener su impacto en la empresa para evitar que se extienda a otros servicios o redes y cause una fuga de información.

Aquí se analizará toda la información disponible para clasificar el incidente y priorizarlo según el tipo y criticidad de los sistemas e información afectados.

También deben identificarse posibles impactos en el negocio y, en función de los procedimientos, se trabaja en la toma de decisiones con las unidades de negocio apropiadas y/o a los responsables de los servicios potencialmente afectados.

Mitigación

Las medidas de mitigación dependerán del tipo de ciberataque. En algunos casos será necesario contar con apoyo de proveedores de servicios, como en el caso de un ataques de denegación de servicio distribuido (DDoS), y en otros
puede suponer incluyo el borrado completo de los sistemas afectados y recuperación desde una copia de seguridad.

Como medidas de mitigación podemos destacar:

  • Establecer las causas y los síntomas del ciberincidente para determinar las medidas de mitigación más eficaces.
  • Identificar y eliminar todo el software utilizado por los atacantes.
  • Recuperar la última copia de seguridad limpia.
  • Identificar servicios usados durante el ataque.

Recuperación

En la fase de recuperación debe devolverse el nivel de operación a su estado normal y las áreas de negocio afectadas recuperarán su actividad.

Es importante buscar cualquier síntoma de actividad sospechosa e implantar medidas adicionales de monitorización durante un periodo de tiempo.

Actuaciones posteriores al ataque

Una vez controlado el ciberataque y recuperada la actividad, debemos pararnos a analizar las lecciones aprendidas.

Debemos analizar las causas del problema, cómo se ha llevado a cabo la actividad durante la gestión del ciberincidente y todos los problemas asociados. El fin de este proceso es aprender de lo ocurrido y que se puedan tomar las medidas adecuadas para evitar que se vuelva a repetir una situación similar, además de mejorar los procedimientos.

Finalmente, redactaremos un informe del ciberincidente detallando la causa y coste del mismo, así como las medidas que la organización debe tomar para prevenir futuros ciberincidentes similares.

Métricas e indicadores

Para evaluar la implantación, eficacia y eficiencia del proceso de gestión de ciberincidentes por la autoridad competente existen una serie de métricas e indicadores que vamos a ver a continuación.

Implantación

Las métricas de implantación son:

  • Alcance del sistema de gestión de incidentes: permite saber si todos los sistemas de información están adscritos al servicio. Se cuentan cuántos servicios están bajo control.

Resolución de ataques

Las métricas de resolución de ataques son:

  • Resolución de ciberincidentes de nivel de impacto alto / muy alto / crítico. Se mide el tiempo que se tarda en resolver un incidente con un alto impacto en sistemas de la organización: desde que se notifica hasta que se resuelve.
  • Resolución de ciberincidentes de nivel de impacto bajo / medio. Se mide el tiempo que se tarda en resolver un incidente con un impacto en sistemas de la organización: desde que se notifica hasta que se resuelve.

Recursos

Dentro de las métricas de recursos están:

  • Recursos consumidos: Estimación del número de horas-hombre dedicadas a resolver incidentes de seguridad. Se pretende averiguar si debe aumentarse la fuerza de trabajo.

Gestión de ataques

Como métricas de gestión de ataques están:

  • Estado de cierre los incidentes: Se mide el número de incidentes que han sido cerrados sin respuesta.
  • Estado de cierre los incidentes de peligrosidad muy alta/ crítica. El objetivo es ser capaces de gestionar incidentes de seguridad de alta peligrosidad.

Ciberataques a empresas y organismos

En tiempo real

En la web www.fireeye.com/cyber-map/threat-map.html puedes consultar los ciberataques se están produciendo en el mundo a tiempo real

Mundial

Los ciberataques se han vuelto cada vez más frecuentes a medida que el mundo está cada vez más conectado por la tecnología. Cada año se producen millones de ataques cuando los ciberdelincuentes se dirigen a datos y finanzas críticos. Muy a menudo, los ataques se dirigirán a individuos, pero ¿qué pasa con aquellos a mayor escala?

El ataque informático mas grande de la historia ha sido a realizado contra Yahoo. La infracción ocurrió en agosto de 2013. Esta no es la primera vez que Yahoo ha experimentado una infracción. De hecho, tuvieron una violación de datos en 2014, pero creen que las dos violaciones no están relacionadas. Yahoo reveló la infracción de 2014 en septiembre de ese año y se cree que la infracción solo ha afectado a 500 millones de cuentas, la mitad de lo que se espera con esta última infracción. El descubrimiento de la infracción de 2014 llevó a la empresa a descubrir esta infracción como parte de la investigación. Yahoo cree que los atacantes accedieron a su código propietario y aprendieron a falsificar cookies para poder acceder al sistema.

En ese ataque se tomaron nombres, números de teléfono, direcciones de correo electrónico, fechas de nacimiento e incluso contraseñas hash. Incluso han descubierto que es posible que se haya accedido a preguntas y respuestas de seguridad cifradas y no cifradas.

Los ciberataques más destacados en el mundo por años:

2019

Estos son los principales ciberataques ocurridos en 2019:

  • DoorDash
    • Mayo 2019
    • Intrusión: un tercero no autorizado había obtenido acceso a los datos de más de 4,9 millones de usuarios.
    • La información a la que se accedió incluía nombres de perfil, direcciones de correo electrónico, direcciones de entrega, historial de pedidos y números de teléfono. También se obtuvieron contraseñas encriptadas, pero el tercero no las podría descifrar. DoorDash también confirmó que los últimos cuatro dígitos de los números de tarjetas de crédito de algunos usuarios estaban expuestos, pero que no se vieron comprometidos los CVV ni los números completos de tarjetas.
  • Quest Diagnostics
    • Mayo 2019
    • Intrusión: registros de sus 12 millones de clientes expuestos a una parte desconocida, a través de una violación de datos de terceros que involucró a uno de sus proveedores.
    • Quest Diagnostics vio la información de más de 12 millones de pacientes expuestos a un usuario que tenía acceso no autorizado a la red. El usuario tenía acceso a la información médica de los pacientes, ciertos datos financieros y algunos números de la Seguridad Social. La filtración de datos de un tercero afectó a la Agencia de Cobranza Médica Estadounidense (AMCA) de Nueva York, un proveedor de cobros de facturación que brinda servicios a Quest Diagnostics.
  • Canva
    • Mayo 2019
    •  Intrusión: Robo de datos de los usuarios de la empresa de diseño gráfico global.
    • La información de más de 139 millones de usuarios quedó expuesta cuando un hacker irrumpió en los servidores del sitio web de diseño gráfico Canva. El hacker accedió a los nombres de usuario, contraseñas y otra información, que estaba encriptada. Los números de tarjetas de crédito y los diseños de los usuarios no fueron expuestos, según Canva.
  • Facebook
    • abril/2019
    • Intrusión: fugas de datos de usuarios de Facebook
    • Se expusieron alrededor de 540 millones de registros sobre usuarios de Facebook . Fueron publicados en el servicio de computación en la nube de Amazon por dos desarrolladores de aplicaciones de terceros. Por otro lado, Facebook involuntariamente hizo públicos más de un millón de correos electrónicos de usuarios. Estas dos filtraciones muestran la escala de información con la que trabajan las grandes corporaciones como Facebook y lo fácil que puede ser que un simple error en la gestión de datos se convierta en un gran problema de privacidad para millones de personas.
  • Capital One
    • Marzo 2019
    • Intrusión: acceso a dato de clientes de la compañía.
    • Un pirata informático obtuvo acceso a la red segura de Capital One y a más de 100 millones de cuentas de clientes y aplicaciones de tarjetas de crédito. El hacker también accedió a más de 100,000 números de Seguro Social, 80,000 cuentas bancarias y varias direcciones, puntajes de crédito y saldos que Capital One se negó a revelar.

2020

En 2020, destacamos los siguientes ciberataques:

  • Software AG
    • Octubre 2020
    • Disponibilidad: ataque de ransomware que interrumpió una parte de la red interna de la empresa.
    • Software AG, el segundo proveedor de software más grande de Alemania y el séptimo más grande de Europa, se ha visto afectado por un ataque del ransomware Clop y la banda de delincuentes cibernéticos ha exigido un rescate de más de 20 millones de dólares. Los servicios a sus clientes, incluidos los servicios basados ​​en la nube, no se vieron afectados. La empresa también intentó negociar con los atacantes, pero todo fue en vano.
  • Sopra Steria
    •  Octubre 2020
    • Disponibilidad: ataque de ransomware que inutilizó los servicios de la compañía.
    • El gigante francés de servicios de TI Sopra Steria fue atacado por ransomware. Su negocio de tecnología financiera, Sopra Banking Software, identificó el virus, que es una nueva versión del ransomware Ryuk y previamente desconocido para los proveedores de seguridad cibernética. Sopra Steria afirmó que pudo confinar el ataque a una parte limitada de su marco de TI, a pesar de que detectó el ataque después de unos días. Sin embargo, luego de una investigación en profundidad, la compañía no identificó ningún dato filtrado o daño causado a sus clientes.
  • Telegram
    • Septiembre 2020
    • Intrusión: acceso a los datos de mensajería y correo electrónico de Telegram de algunos grandes nombres en el negocio de las criptomonedas.
    • Los piratas informáticos utilizaron Signaling System 7 (SS7), que se utiliza para conectar redes móviles en todo el mundo, para piratear los datos. Según los expertos en seguridad cibernética, lo más probable es que los piratas informáticos buscaran códigos de inicio de sesión de autenticación de dos factores (2FA). Se cree que este ataque ocurrió para obtener criptomonedas.
  • Seyfarth Shaw
    • Octubre 2020
    •  Disponiblidad: el ciberataque derribó por completo el sistema de correo electrónico de la empresa.
    • Seyfarth Shaw LLP, la firma legal líder mundial con sede en Chicago, se convirtió en víctima de un ataque de «malware agresivo». Este ataque fue posteriormente confirmado por la empresa como un ataque de ransomware. La firma afirmó en su declaración que no había evidencia de acceso o eliminación no autorizados de datos de clientes o datos de la firma. Sin embargo, muchos de sus sistemas se encontraron cifrados, tras lo cual la empresa cerró todos ellos como medida de precaución.
  • Carnival Corporation
    • Agosto 2020
    •  Intrusión: robo de datos confidenciales de clientes, empleados y miembros de la tripulación.
    • Carnival Corporation, el operador de líneas de cruceros más grande del mundo, informó de una violación de datos debido a un ataque de ransomware. Tras el ataque, el operador de la línea de cruceros notificó a la policía y contrató asesores legales y expertos en seguridad cibernética y lanzó una investigación.

2021

En el 2021, estos son los principales ciberataques:

    • Foxtons Group
      • Febrero 2021
      • Intrusión: acceso a datos financieros de clientes.
      • La agencia inmobiliaria Foxtons recibió un ciberataque que ha comprometido los detalles financieros de 16.000 clientes. A pesar de que Foxtons confirmó que no se habían robado «datos confidenciales», algunos clientes han expresado su enojo por el hecho de que la empresa no les informó de la violación y dijeron que Foxtons les había dicho que sus sistemas estaban siendo mejorados.
  • Laboratorio COVID-19 de la Universidad de Oxford
    • Febrero 2021
    •  Intrusión: Acceso a datos sobre la investigación del covid-19 y credenciales de acceso a los sistemas.
    • Uno de los laboratorios de biología más importantes del mundo, uno cuyos profesores de renombre han estado investigando cómo contrarrestar la pandemia de Covid-19, ha sido pirateado en febrero. Los piratas informáticos mostraron interfaces para lo que parecía ser un posible equipo de laboratorio, con la capacidad de controlar bombas y presión. Las máquinas comprometidas en el ataque eran utilizadas para la preparación y purificación de muestras bioquímicas que son creadas en el laboratorio para investigarlas. Dichas muestras se han utilizado como parte del proceso de investigación para la vacuna contra el COVID-19.
  • Npower
    • Febrero 2021
    • Intrusión: acceso a nombres, direcciones, códigos bancarios y los últimos cuatro dígitos de las cuentas bancarias de sus clientes.
    • El gigante de la energía del Reino Unido, Npower, cerró permanentemente su aplicación móvil, después de descubrir que los piratas informáticos la habían utilizado para robar información confidencial de los clientes. Se accedió a cuentas de clientes utilizando datos de inicio de sesión robados de otro sitio web. Esto se conoce como relleno de credenciales. La compañía informó a los clientes para que modificaran sus contraseñas.
  • Ciudad francesa de Houilles
    • Enero 2021
    • Disponibilidad: El ciberataque paralizó el sitio web y los servicios municipales informáticos y digitales.
    • Este virus de tipo «ransomware» podría provenir de piratas informáticos de Corea del Sur cuyo objetivo es bloquear información esencial de la comunidad. Los archivos y las bases de datos, así como el software comercial, están encriptados impidiendo que el sistema funcione normalmente. No podían enviarse correos electrónicos ni procesarse solicitudes y procedimientos sin papel. Pero no se produjo robo de datos.

EEUU

Estos son los ciberataques más importantes ocurridos en EE.UU.

  • Zoom
    • Abril 2020
    • Intrusión: robo de contraseñas de usuarios de la aplicación de videollamadas.
    • Más de medio millón de credenciales, nombres de usuario y contraseñas de cuentas de Zoom se pusieron a disposición en foros de delitos de la web oscura. En primer lugar, se recopilaron bases de datos de varios foros de delitos en línea y supermercados de la web oscura que contenían nombres de usuario y contraseñas comprometidas. El segundo paso implica escribir un archivo de configuración para una herramienta de prueba de estrés de la aplicación, muchas de las cuales están disponibles para propósitos legítimos. Luego se realiza el ataque de relleno de credenciales que emplea múltiples bots para evitar que se detecte la misma dirección IP al verificar múltiples cuentas de Zoom. Zoom contrató a varias empresas de inteligencia para encontrar estos volcados de contraseñas y las herramientas utilizadas para crearlos, así como una empresa que ha cerrado miles de sitios web que intentan engañar a los usuarios para que descarguen malware.
  • Magellan Health
    • Abril 2020
    • Fraude / Phising: acceso a datos personales de aproximadamente 1,7 millones de clientes y personal interno de la empresa.
    • Un sofisticado ataque de ingeniería social que se hizo pasar por un cliente de Magellan Health permitió a los piratas informáticos obtener acceso a los servidores del plan de salud. Luego lanzaron un ataque de ransomware contra el proveedor. Así obtuvieron el acceso a los datos personales, como nombres, información de contacto, números de identificación de empleados, números de seguro social y números de identificación de contribuyentes.  Magellan contrató a la firma forense de ciberseguridad Mandiant para ayudar a investigar el incidente.
  • Departamento de defensa
    • Diciembre 2020
    • Disponibilidad: ataque de espionaje masivo dirigido al gobierno federal por un estado nación violando sus sistemas.
    • Se accedió a los sistemas del Departamento de defensa a través de un ataque realizado a la compañía SolarWinds, proveedor de dicho departamento. Un grupo de piratería de inteligencia militar rusa conocido como «Cozy Bear» sería el responsable. El mismo grupo fue acusado anteriormente de piratear el Departamento de Estado durante la administración Obama y de apuntar a la investigación de la vacuna COVID-19 a principios de 2020.

China

  • Grupos minoritarios chinos
    • Julio 2020
    • Phising: acceso a datos mediante la inyección de malware usando señuelos de phishing centrados en temas directamente relevantes para sus víctimas objetivo.
    • Mustang Panda es un grupo de amenazas patrocinado por el estado chino con un historial de atacar a varias ONG, grupos minoritarios y entidades políticas dentro de la región del sudeste asiático. También se ha observado que el grupo apunta a los think tanks occidentales y las ONG con un nexo con los grupos minoritarios chinos. Utilizan documentos de apariencia oficial escritos en el idioma nativo del objetivo y que contienen información que induciría a la víctima a abrir el documento adjunto. Estos documentos señuelo con frecuencia contienen un archivo .zip que ejecuta un cargador malicioso cuando se abre. Esto conduce a la instalación de malware PlugX o un Cobalt Strike Beacon.
  • Agencias nacionales
    • Abril 2020
    • Disponibilidad: ataque a los sistemas del Gobierno chino mediante ataques de día cero como mecanismo de ciberespionaje.
    • DarkHotel APT ha aprovechado la oportunidad de apuntar a las VPN del Gogierno en un ataque de día cero. Los ataques comenzaron contra un proveedor de VPN chino llamado SangFor, utilizado por varias agencias gubernamentales chinas. Al menos 200 servidores VPN que se conectan a múltiples puntos finales se vieron comprometidos. Una vez que las VPN estén controladas por los actores de amenazas, los activos internos de muchas empresas e instituciones estarán expuestos a la red pública.

Irán

  • Natanz
    • Julio 2020
    • Disponibilidad: el ataque afectó a la red de distribución de energía en Natanz, lo que provocó un apagón hasta que se activaron los sistemas de energía de emergencia.
    • En Israel, algunos informes han sugerido que un ciberataque podría haber sido el responsable, pero Irán ha hablado de «infiltrados» en medio de informes de una explosión relacionada con el generador de energía. La vulnerabilidad de los sistemas ICS y la denominada «tecnología operativa» similar utilizada en procesos industriales y grandes plantas de infraestructura, desde redes eléctricas hasta plantas de tratamiento de acero, sustancias químicas y agua, quedó demostrada hace más de una década.
  • Puerto de Shahid Rajai
    • Mayo 2020
    • Disponibilidad: ataque que provocó una suspensión temporal de las operaciones en el puerto iraní.
    • Los ordenadores que regulan el tráfico de los buques, camiones y bienes sufrieron un fallo técnico que provocó problemas de distribución en las instalaciones, lo que fue confirmado un día después por las autoridades iraníes.

Israel

  • Ministerio de Defensa
    • Enero 2014
    • Disponibilidad: ataque que bloqueó los ordenadores de la oficina de Coordinación de las Actividades del Gobierno en los Territorios palestinos.
    • El troyano fue implantado en un mensaje de correo electrónico que supuestamente enviaba el servicio de seguridad general interior israelí. El correo electrónico que expandió el virus Xtreme RAT procedía de una cuenta de gmail e incluía varios documentos adjuntos sobre actividades terroristas en la última década.
  • Mekorot
    • Abril 2020
    • Disponibilidad / Robo: ataque que bloqueó los sistemas informáticos de la compañía nacional de aguas de Israel y robó datos confidenciales.
    • El ataque afectó a seis estaciones de la red de bombeo y depuración, varias de las cuales quedaron desconectadas del sistema informático que las regula mientras que otras sufrieron alteraciones en sus datos. En una de ellas, los hackers se apoderaron de la información almacenada en el sistema.

Rusia

  • Kyivoblenergo
    • Diciembre 2015
    • Disponibilidad: ataque a los sistemas de la compañía eléctrica ucraniana que causó un apagón en la región.
    • Es el primer proveedor de red eléctrica del mundo en ser derribado en un ciberataque. Todo comenzó cuando su centro de control de Prykarpattyaoblenergo fue víctima de una ciberintrusión. La computadora de la empresa y los sistemas SCADA fueron atacados, desconectando 30 subestaciones durante tres horas. Hasta 230.000 clientes se quedaron sin electricidad, aproximadamente la mitad de los hogares en la región de Ivano-Frankivsk en Ucrania. Los funcionarios del gobierno ucraniano afirmaron que los cortes fueron causados ​​por un ataque cibernético, culpando directamente a los servicios de seguridad rusos.

Japón

  • Mitsubishi Heavy Industries
    • Septiembre 2011
    • Robo / Fraude: robo de información confidencial como direcciones IP de la mayor empresa de defensa de Japón.
    • Los piratas informáticos lograron acceder a sus ordenadores y accedieron a la información almacenada por la empresa. Se encontraron alrededor de 80 ordenadores infectados con virus en la sede de la compañía en Tokio, así como en otras sedes de fabricación, investigación y desarrollo. Y al menos ocho tipos diferentes de virus informáticos, incluyendo troyanos, que roban información clave del hardware del ordenador infectado.
  • Autoridad Regulatoria Nuclear
    • Octubre 2020
    • Disponibilidad: se registró un acceso no autorizado al sistema de redes de NRA. Los especialistas hallaron rastros de intrusión externa en algunos servidores de esa autoridad regulatoria.
    • Los especialistas investigan las circunstancias del incidente y si se ha filtrado información importante relacionada con materiales nucleares. La entidad regulatoria está llevando a cabo una investigación detallada.

Europa

España

Aquí podrás ver los ciberataques que se han producido a organismos y empresas españolas

Grecia

Dentro de los ciberataques realizados en Grecia, destacamos los siguientes:

  • Webs oficiales del Gobierno y la policía
    • Enero 2020
    • Disponibilidad: ataque a las páginas web oficiales que ocasionó que estas dejaran de funcionar.
    • Ataque DDoS que provocó el mal funcionamiento de ciertos sitios web de los ministerios de orden público, interior, relaciones exteriores y marina mercante, así como la policía y los bomberos griegos. El ataque provocó la caída de las páginas web y el Gobierno indicó que se aplicaron contramedidas rápidamente.
  • Honda Grecia
    • Mayo 2018
    • Disponibilidad: ataque contra la web de Honda Grecia que provocó su caida.
    • El sitio web del fabricante de automóviles en Grecia fue infiltrado con un mensaje condenando al país por «asociarse» con terroristas. Ello provocó la caida de la web. Se atribuyó el ataque a hackers turcos que acusaban a Grecia de albergar a terroristas al negarse a entregar a los ocho agentes que solicitaron asilo en Grecia.

Irlanda

Estos son los principales ciberataques producidos en Irlanda:

  • Gobierno irlandés
    • Julio 2020
    • Intrusión: acceso a datos personales del personal y ex empleados del Departamento de Asuntos Laborales y Protección Social de Irlanda.
    • La filtración provino del sistema de administración de tiempo y asistencia del departamento, que detalla las horas de trabajo del personal y los problemas de recursos humanos, incluidos los antecedentes médicos de los empleados. En un comunicado, el departamento confirmó la violación, pero no reveló cuántas personas se vieron afectadas. Sin embargo, confirmó que los datos del cliente no estaban involucrados.
  • Asociación de Futbol de Irlanda (FAI)
    • Junio 2019
    • Disponibilidad: ataque a los sistemas informáticos de la Asociación de Futbol de Irlanda que provocó la caída de sus servidores.
    • Los servidores informáticos de la FAI fueron objeto de piratería externa pero se aseguró a todo su personal actual y anterior que no se filtraron datos de los empleados. Al enterarse del incidente, la FAI inmediatamente contrató a expertos forenses informáticos externos para ayudar con la investigación del incidente. Estas investigaciones encontraron malware en un servidor de nómina.

Francia

Los ciberatques más famosos en Francia son los siguientes:

  • Hospital de Villefranche-sur-Saône
    • Febrero 2021
    • Intrusión: ataque de ransomware que bloqueó los sistemas de hospital pidiendo un rescate para recuperarlos.
    • El ataque se realizó a través del ransomware RYUK bloqueando datos en un sistema informático que luego se hace accesible después de un pago de rescate. El equipo del hospital estableció de inmediato procedimientos limitados para garantizar el intercambio de información necesaria para la atención del paciente, así como una unidad de crisis para organizar el funcionamiento de los tres sitios.
  • Renault
    • Mayo 2017
    • Intrusión: ataque de ransomware con virus Wannacry  los sistemas informáticos de varias fábricas de Renault en Francia.
    • El ciberataque provocó el cierre temporal de varias fábricas en Francia de Renault.  La producción fue detenida como parte de las medidas de protección que fueron tomadas para evitar la propagación del virus informático.

Italia

Estos son los principales ciberataques que se han producido en Italia:

  • Leonardo S.P.A.
    • Abril 2021
    • Intrusión: A través de un troyano de última generación, introducido en las computadoras mediante un pendrive, robaron datos e informaciones de gran relevancia empresarial.
    • La empresa italiana Leonardo S.P.A, que trabaja en los sectores de defensa, seguridad y espacio aéreo fue víctima de un grave ciberataque. Se introdujo un troyano en los sistemas de la empresa con el que los piratas informáticos interceptaban todo lo que se escribía en teclados y pantallas táctiles. Se detuvo como causantes del ataque a un directivo y un exempleado de la empresa italiana.
  • Seguridad Social
    • Marzo 2020
    • Disponibilidad: ataque a la web de la Seguridad social en Italia que ocasionó una paralización de sus servicios.
    • Los piratas informáticos atacaron el sitio web de la seguridad social de Italia, lo que obligó a cerrar justo cuando la gente comenzaba a solicitar los beneficios del coronavirus. Los usuarios que intentaron iniciar sesión en el sitio de INPS informaron una interrupción grave. Algunos dijeron que los datos personales de otras personas se mostraban en sus pantallas mientras intentaban completar sus solicitudes.

Alemania

A continuación te indicamos los principales ciberataques realizados en Alemania.

  • Funke Media Group
    • Diciembre 2020
    • Disponibilidad: ataque a la empresa de noticias que encriptó sus sistemas informáticos y los dejó inhabilitados.
    • Unas 6.000 de sus computadoras fueron potencialmente infectadas en el ataque, que afectó a varios sistemas informáticos centrales en todas sus ubicaciones en Alemania. Todos los sistemas de TI tuvieron que apagarse para evitar daños mayores, lo que significa que todos los sistemas editoriales y toda la tecnología para la producción de periódicos se habían apagado, e incluso el trabajo remotamente normal fue imposible. Funke dijo que ha reunido a un equipo de expertos en TI para construir una «red de cuarentena» de computadoras no contaminadas y un sistema de TI esqueleto para seguir funcionando.
  • Hospital universitario de Düsseldorf
    • Septiembre 2020
    • Disponibilidad: ataque que provocó la caída del sistema informático del hospital de Düsseldorf.
    • El fallo de seguridad fue detectado en un software común en el mercado y que se puede comprar en todo el mundo. Transcurrió el suficiente tiempo para penetrar en el sistema y que se produjera un acto de sabotaje. El ataque afectó a 30 servidores del centro médico. El servicio de Urgencias estuvo cerrado durante 13 días. Durante ese tiempo, no se pudo acceder a la información almacenada en el sistema. Las máquinas de rayos X, resonancias, etc. funcionaban, pero las imágenes no se podían enviar a los ordenadores de los médicos.

Bélgica

En Bélgica, estos son los principales ciberataques:

  • Laboratorio Médico General (AML) de Amberes
    • Diciembre 2020
    • Disponibilidad: ransomware que paralizó los sitemas del laboratorio.
    • La AML, una empresa privada, maneja alrededor de 3,000 pruebas Covid-19 por día. Como tal, es el laboratorio privado más grande del país que se ocupa de la crisis de Covid-19. Los piratas informáticos instalaron ransomware en el sitio web del laboratorio y lo paralizaron. Como es típico en un caso de ataque de ransomware, los piratas informáticos exigen un rescate antes de liberar el sitio del cautiverio. No está claro si el ataque también tuvo como objetivo el robo de datos. El laboratorio informó del ataque a la oficina del fiscal de Amberes, y el caso está en manos de la Unidad federal de delitos informáticos.
  • Nyrstar
    • Enero 2019
    • Disponibilidad: ataque de ransomware que bloqueó los servidores de la empresa metalúrgica Nyrstar.
    • El ataque fue una variante de ransomware, por lo que la base de datos de correo electrónico y algunos de los servidores destinados al trabajo administrativo han sido bloqueados por piratas informáticos. Las operaciones de procesamiento de metales y minería no resultaron dañadas. El ataque fue contenido mediante la implementación de un plan de continuidad comercial. La compañía implementó todas las medidas de precaución para continuar las operaciones de sus sitios.

Portugal

Aquí tienes los principales ciberataques ocurridos en Portugal.

  • EDP
    • Abril 2020
    • Intrusión: ataque de ransomware que originó una intrusión en los sistemas informáticos de la empresa eléctrica EDP.
    • La empresa fue víctima de un ataque de ransomware ‘Ragnar Locker’  y los delincuentes obtuvieron acceso a los sistemas y exigieron el pago dentro de los 20 días para evitar la divulgación de información. El suministro de energía no se vió afectado y la empresa adoptó las medidas de seguridad para recuperar los sistemas sin pagar el rescate.
  • PLMJ Abogados
    • Enero 2019
    • Intrusión: robo de datos de clientes del mayor bufete de abogados de Portugal.
    • Varias computadoras de la empresa se vieron afectadas y se cree que se publicaron cuatro gigabytes de datos confidenciales en el blog de fútbol llamado ‘Mercado de Benfica’. PLMJ evaluó el impacto de este acceso ilícito a la información y, junto con un equipo de especialistas, ha definido de inmediato medidas preliminares de protección y contención.

Reino Unido

Principales ciberataques en Reino Unido:

  • British Mensa
    • Enero 2021
    • Disponibilidad: acceso a la web de Mensa, un club de miembros para aquellos con un coeficiente intelectual de 148 o más, dejándola indisponible.
    • Se accedió al sitio de British Mensa utilizando las credenciales de uno de los directores de la organización. Esto se produce después de que dos directores renunciaron a sus funciones debido a preocupaciones de que Mensa no estaba procesando las contraseñas de los miembros. En esa web se almacenan datos como los puntajes de coeficiente intelectual de los miembros y los solicitantes fallidos, conversaciones de mensajería instantánea en su sitio web, números de tarjetas de pago, contraseñas, detalles de correo electrónico y direcciones de domicilio.
  • Headlam Group
    • Noviembre 2020
    • Intrusión: robo de datos en la empresa de revestimiento de suelos Headlam Group.
    • Un ciberataque a esta empresa del Reino Unido ha dado como resultado la exposición de algunos datos. Ciertos sistemas de back office se vieron afectados, incluido el sistema de correo electrónico. Pero no se accedió al sistema que contiene información de clientes y proveedores y la violación ha tenido un impacto mínimo en las operaciones. La empresa designó expertos forenses externos en ciberseguridad para investigar el ataque.

Finlandia

En Finlandia destacamos los siguientes ciberataques:

  • Parlamento de Finlandia
    • Noviembre 2020
    • Intrusión: ataque en el que varias cuentas de correo electrónico parlamentarias se vieron comprometida, algunas de las cuales pertenecían a parlamentarios.
    • Partes aún desconocidas pueden haber podido obtener información a través de la piratería, ya sea en beneficio de un estado extranjero o para dañar a Finlandia. Existe una cooperación del NBI con el Servicio de Inteligencia de Seguridad de Finlandia (Supo) en su investigación, así como con varios organismos internacionales.
  • TietoEVRY
    • Febrero 2021
    • Disponibilidad: ataque de ransomware contra la empresa de TI TietoEVRY que provocó la caída de sus sistemas informáticos.
    • El ataque de ransomware obligó a la empresa a desconectar algunos servicios e infraestructura en una interrupción para los clientes, mientras tomaba medidas de recuperación. No parece que los atacantes hayan accedido o robado ningún dato crítico o personal. La empresa amplió el equipo de seguridad y está trabajando con socios relevantes para manejar la situación.

Suecia

Principales ciberataques en Suecia:

  • Gunnebo
    • Agosto 2020
    • Intrusión: filtración de miles de documentos confidenciales de la empresa Gunnebo.
    • Alrededor de 38.000 archivos han sido expuestos públicamente como resultado de un ciberataque a la empresa especializada en seguridad mejorada para edificios. Los datos que incluyen planos de bóvedas bancarias, equipos de monitorización y alarma y funciones de seguridad para cajeros automáticos. La compañía empleó a especialistas en TI que apagaron los servidores para aislar el ataque. También tomó medidas para mejorar su postura de seguridad.
  • Confederación Deportiva Sueca
    • Diciembre 2017 – Mayo 2018
    • Intrusión: acceso a datos personales de los mejores deportistas de Suecia, incluidos sus historiales médicos.
    • Los ciberataques formaban parte de una campaña rusa dirigida a organizaciones antidopaje nacionales e internacionales, como la Agencia Mundial Antidopaje (AMA) o la Agencia de los Estados Unidos (USADA). Se atribuyen estos ataques al grupo Fancy Bears, que se sabe que ya han trabajado en el deporte, en particular al revelar una lista de decenas de atletas que se benefician de autorizaciones de uso con fines terapéuticos que les permiten utilizar productos prohibidos. La investigación judicial tuvo que abandonarse debido a la falta de las condiciones previas necesarias para iniciar un proceso judicial en el extranjero o la extradición a Suecia.

Países Bajos

Principales ciberataques en Países Bajos:

  • Staring College de Gelderland
    • Febrero 2021
    • Disponibilidad: ataque de ransomware que cifró los archivos de la escuela de secundaria Staring College provocano su inaccesibilidad.
    • Los empleados de la escuela notaron que los datos estaban encriptados y los archivos ya no eran accesibles. Esto puso en peligro la continuidad de la educación y los exámenes. Por esa razón, la escuela decidió cumplir con la demanda de rescate.
  • Universidad de Maastricht
    • Febrero 2019
    • Disponibilidad: ataque de ransomware que encriptó todos los archivos de la web de la Universidad.
    • El ciberataque de malware basado en cifrado de archivos fue reconocido en el sitio web y las autoridades del instituto educativo aseguraron que los datos científicos no se vieron afectados por el ransomware. Pero también confirmaron que la restauración de datos podría llevar varios días. El ataque de ransomware tuvo lugar en servidores DHCP, servidores de intercambio, controladores de dominio y unidades de red.

Austria

Ciberataques más famosos en Austria:

  • A1 Telekom
    • Mayo 2020
    • Intrusión: acceso a información confidencial de A1 Telekom, el mayor proveedor de servicios de Internet en Austria.
    • El malware solo infectaba computadoras en la red de su oficina, pero no todo su sistema de TI. El atacante supuestamente tomó el control manual del malware e intentó expandir este punto de apoyo inicial en algunos sistemas a toda la red de la empresa. Logró comprometer algunas bases de datos e incluso realizó consultas en la base de datos para conocer la red interna de la empresa. Pero no consiguió ningún dato personal de los clientes. La empresa expulsó a los piratas informáticos de su red y cambió las claves de acceso a todos sus servidores.
  • Ministerio de Relaciones Exteriores
    • Enero 2020
    • Disponibilidad: ataque que provocó la caída de la web del Ministerio de Relaciones Exteriores de Austria.
    • El ciberataque tuvo lugar el mismo día en que el Partido Verde de Austria apoyó la formación de una coalición con los conservadores, el Partido Popular, en un congreso en Salzburgo. El ministerio dijo que el ataque se detectó temprano y que se tomaron contramedidas de inmediato. Las firmas y el patrón del ataque sugieren que podría ser obra de un actor de amenazas patrocinado por el estado.

Bulgaria

Principales ciberataques en Bulgaria:

  • Agencia Nacional de Ingresos
    • Julio 2019
    • Intrusión: robo de datos datos personales de más de 5 millones de ciudadanos búlgaros.
    • Los piratas informáticos penetraron en uno de los servidores del Ministerio de Hacienda. La NRA opera alrededor de 60 bases de datos y los datos personales se almacenan en varios servidores. El ataque aparentemente solo se infiltró en una de esas bases de datos, pero como los datos están interconectados, los piratas informáticos obtuvieron acceso a conjuntos de datos más amplios. Los piratas informáticos enviaron partes de los datos robados a las agencias de noticias y, según se informa, incluyen nombres de personas y empresas, números de identificación personal y corporativa, direcciones de correo electrónico, información de atención médica y detalles de ingresos.

Croacia

Estos son los ciberataques más importantes en Croacia.

  • INA Group
    • Febrero 2020
    • Disponibilidad: el  ataque paralizó algunas operaciones comerciales en INA Group, la mayor compañía petrolera de Croacia y su mayor cadena de estaciones de servicio.
    • Infección de ransomware que infectó y luego cifró algunos de los servidores backend de la empresa. El incidente no afectó la capacidad de la empresa para proporcionar gasolina a sus clientes, ni su capacidad para manejar los pagos. Sin embargo, sí afectó su capacidad para emitir facturas, registrar el uso de tarjetas de fidelización, emitir nuevos vales móviles, emitir nuevas viñetas electrónicas y permitir a los clientes pagar las facturas de servicios de gas.
  • Agencias gubernamentales
    • Julio 2019
    • Fraude / Phising: los piratas informáticos lanzaron una campaña de spear-phishing contra las agencias gubernamentales croatas para insertar malware en sus sistemas informáticos.
    • Los mensajes se presentaban como notificaciones de entrega del servicio postal croata u otros servicios minoristas, e incluían un Microsoft Excel guardado en el antiguo formato .xls. El documento fue armado con una macro maliciosa. Una vez que la víctima lo ha habilitado, el código malicioso descargará y ejecutará el malware en la máquina objetivo. El malware se conoce como SilentTrinity: puede tomar el control de una computadora infectada y permite ejecutar comandos arbitrarios.

Dinamarca

Ciberataques más famosos en Dinamarca:

  • Ritzau
    • Noviembre 2020
    • Disponibilidad: El servicio de cable Ritzau quedó desconectado luego de un ataque de ransomware. El incidente infectó aproximadamente una cuarta parte de los 100 servidores de la agencia con malware, lo que provocó el cierre de los sistemas editoriales.
    • La agencia de noticias dijo que fue golpeada por un grave ataque de piratas informáticos que provocó la caída de sus servidores. La empresa se vió obligada a transferir su distribución de emergencia a los clientes a seis blogs en vivo. Ritzau contrató a una empresa externa de informática forense para ayudar al departamento de TI de la empresa a recuperarse de la interrupción causada por el ataque.
  • Demant
    • Septiembre 2019
    • Disponibilidad: ataque de ransomware que afectó a la producción y las clínicas de la empresa de salud auditiva Demant.
    • El ataque resultó en un impacto en los procesos comerciales clave. Los sitios de producción en Polonia, México, Dinamarca y Francia se vieron afectados, al igual que las clínicas de la compañía en todo el mundo, lo que provocó que no pudieran atender a los usuarios finales de manera regular, ya que no pudieron generar nuevas citas. La empresa indicó que, gracias a su rápida respuesta, la copia de seguridad de los datos estaba intacta en general, lo que les permitió recuperarse de forma estructurada y eficiente.

Rumanía

Principales ciberataques en Rumanía:

  • Hospital Municipal Dimitrie Castroian de Husi
    • Abril 2019
    • Disponiblidad: ataque que encriptó el servidor del hospital y provocó la pérdida de datos.
    • Se trata de un nuevo tipo de ataque cibernético, llamado Scranos, que roba todas las contraseñas e información bancaria de las víctimas y compromete su actividad en las redes sociales. Después exige un rescate para desencriptar la información.

Latinoamérica

México

Los ciberataques más famosos en México:

  • PEMEX
    • Noviembre 2020
    • Intrusión: robo de datos confidenciales de clientes de la empresa petrolera PEMEX.
    • Los piratas informáticos exigieron casi $ 5 millones (por valor de 565 en bitcoins) con un plazo de 48 horas a la compañía petrolera estatal del país, PEMEX . La compañía se vio obligada a apagar sus computadoras en todo el país, así como a congelar los sistemas de pago. Una nota de rescate enviada a PEMEX mostró un sitio web darknet vinculado a DoppelPaymer, un tipo de ransomware. El mensaje indicaba la intención de los atacantes de filtrar los nombres y datos de las víctimas si no se cumplía con la demanda de rescate.
  • Ministerio de Economía
    • Febrero 2020
    • Disponibilidad: ataque a los sistemas informáticos del Ministerio de Economía que provocó la caída de los mismos.
    • El Ministerio de Economía detectó una intrusión en algunos de sus servidores. Afortunadamente, no se comprometió ninguna información confidencial. Sin embargo, algunos proveedores de servicios de Internet tuvieron que aislar temporalmente sus redes y servidores. Además, se suspendió momentáneamente la tramitación de algunos formularios para proteger su estatus legal.

Colombia

Los ciberataques en Colombia más destacados:

  • Fiscalía General de la Nación
    • Enero 2021
    • Fraude / Phishing: suplantación de identidad de la Fiscalía General de la Nación mediante phising para acceder a información confidencial de empresas de energía.
    • Los objetivos se abordan con correos electrónicos que conducen a la descarga de archivos maliciosos. En la mayoría de los casos, estos correos electrónicos tienen un documento PDF adjunto, que contiene un enlace en el que el usuario debe hacer clic para descargar el malware. Los archivos descargados son archivos RAR regulares que tienen un archivo ejecutable en su interior. Estos archivos se alojan en servicios de alojamiento de archivos legítimos, como OneDrive o MediaFire. El objetivo tiene que extraer manualmente el archivo y ejecutarlo para que se ejecute el malware.
  • Padrón electoral nacional
    • Marzo 2018
    • Intrusión: acceso a la información personal de los votantes previamente a las elecciones en Colombia.
    • Colombia podría ser el objetivo más reciente de una serie de intentos rusos de interferir en las elecciones en todo el mundo a través de la piratería electrónica.  Los ciberataques que bombardearon Colombia tenían como objetivo interferir en la página web del registro nacional, que contiene los datos de identificación de más de 35 millones de votantes.

Brasil

Principales ciberataques en Brasil:

  • Eletrobras
    • Enero 2021
    • Disponibilidad: ataque de ransomware que provocó la caída de los servidores de la compañía eléctrica brasileña Eletrobras.
    • La red que fue atacada por ransomware no está relacionada con los sistemas operativos de las plantas de energía nuclear Angra 1 y Angra 2. La subsidiaria Eletronuclear suspendió el uso de parte de su software administrativo para proteger sus datos. El incidente fue investigado por entidades gubernamentales responsables de la seguridad de la energía nuclear.
  • Tribunal Superior de Justicia
    • Noviembre 2020
    • Intrusión: ataque de ransomware que secuestró archivos importantes de su sistema.
    • Los delincuentes se pusieron en contacto con el Tribunal Superior de Justicia para solicitar un valor por la «redención» de archivos que involucran procesos y correos electrónicos. Los archivos se cifraron con la extensión «.stj888», que parece ser un patrón de ataque. Los sistemas del TSJ estuvieron totalmente fuera de servicio durante 26 horas. El trabajo en torno al restablecimiento del acceso a la red, los sistemas y las copias de seguridad, así como la configuración mejorada de ciberseguridad, involucró a un equipo de más de 50 profesionales de TI de su propio equipo.

Chile

Principales ciberataques en Chile:

  • BancoEstado
    • Septiembre 2020
    • Disponibilidad: el ransomware cifró la gran mayoría de los servidores internos y las estaciones de trabajo de los empleados, provocando una interrupción de los servicios.
    • La banda criminal REvil infectó la red interna del banco con su ransomware. El ransomware se originó a partir de un documento de Office malicioso abierto por un empleado de BancoEstado. Este documento, una vez abierto, instaló una puerta trasera en la red del banco. El sitio web, el portal bancario, las aplicaciones móviles y los cajeros automáticos del banco salieron ilesos del ataque. BancoEstado denunció el ataque a la policía chilena.
  • Banco de Chile
    • Mayo 2018
    • Disponibilidad: ataque de ransomware que inutilizó los servicios y los piratas informáticos robaron más de $ 10 millones del segundo banco más grande del país.
    • Este ataque obligó al banco a detener casi todas las operaciones en casi 400 sucursales en todo el país. Lo que originalmente se creía que era un virus resultó ser un malware MBR Killer. El banco tomó medidas de protección para salvaguardar las cuentas de los consumidores desconectando 9,000 estaciones de trabajo que se creía estaban infectadas, dejando a los atacantes capaces de robar millones de dólares del banco.

Venezuela

  • Ejército
    • Agosto 2019
    • Intrusión: acceso a datos personales de miembros de ejército venezolano.
    • La información robada se relaciona principalmente al posicionamiento y movimiento de tropas. La información robada se orienta a documentos militares y diplomáticos. Se ha usado el malware “Machete”, un software malicioso dañino y delictivo, que penetra en los dispositivos sin el consentimiento del usuario. Es un Virus Informático con fines de espionaje, de robar y borrar información, saturar una red, controlar las funciones del sistema operativo, infectar otros archivos ejecutables y disco duro.

Organismos públicos

A diferencia del sector privado, las organizaciones del sector público no pueden justificar el gasto en TI para proteger la inversión, las ganancias futuras y los dividendos de los accionistas. No están necesariamente impulsados ​​por las ganancias y están allí para brindar un servicio en lugar de recompensar a los accionistas, por lo que a menudo puede parecer que hay menos en juego. Esto puede manifestarse en forma de una toma de decisiones lenta y una capacitación inadecuada, así como una infraestructura de TI obsoleta que a menudo se considera demasiado costosa de actualizar.

Ayuntamientos

Los ayuntamientos han sido frecuentemente objetivo de los ciberdelincuentes. Estos son los principales ciberataques a ayuntamientos:

  • Hackney (Londres)
    • Noviembre 2020
    • Intrusión: robo de datos de ciudadanos y personal del Ayuntamiento del distrito de Hackney, en Londres.
    • El ataque afectó a los servicios en los que dependían los residentes, incluso al interrumpir la capacidad del consejo para procesar solicitudes de búsqueda de tierras para quienes compraban propiedades. Un grupo de delincuentes cibernéticos ha publicado los datos personales robados. El Ayuntamiento colaboró estrechamente con la policía y otros socios para evaluar cualquier acción inmediata a tomar.
  • Marsella
    • Marzo 2020
    • Disponibilidad: ataque de ransomware que provocó la paralización de los sistemas informáticos del Ayuntamiento de Marsella.
    • El ataque paralizó unas 300 máquinas en la metrópoli de Aix-Marsella-Provenza. Los servidores fueron encriptados hasta en un 90% contra una nota de rescate. Esto afectó a servicios como la telefonía, sitios web y servicios a los usuarios. El Ayuntamiento trabajó con los servicios de seguridad TI para restaurar el sistema lo antes posible.

Correos

  • Enero 2020
  • Phising: SMS que suplanta a Correos que incluye un enlace para instalar una aplicación apk con apariencia de ser la oficial de la entidad.
  • Al aceptar la descarga, además de la mencionada apk simulada, se instalará un software de acceso remoto que solicitará los permisos para recibir, leer y modificar SMS. Tras analizar el malware, los agentes han detectado que tiene un «tremendo potencial dañino» con capacidad para acceder a la agenda y mandar a todos los contactos mensajes análogos para maximizar su propagación, además de poder otorgar a los atacantes un virtual control total sobre el dispositivo infectado.

DGT

  • Marzo 2021
  • Phising: campaña de phishing ha suplantado la identidad de la Dirección General de Tráfico (DGT) con el objetivo de descargar malware en los equipos mediante el cebo del envío de multas de tráfico falsas por correo electrónico.
  • El usuario recibe un email que, fingiendo ser del Ministerio del Interior, le informa de que ha recibido una multa (mediante el asunto Bloqueo del Vehiculo – Multa no pagada) y de que pinchando en un enlace que se adjunta puede acceder a la notificación. El enlace que facilita el correo electrónico lleva a una página web que proporciona un archivo comprimido .zip que simula ser la multa. Si se descarga, recibiremos ese malware.

Foro Económico mundial

El Foro Económico mundial enumera los delitos cibernéticos junto con COVID-19, el cambio climático y la crisis de la deuda como las mayores amenazas que enfrenta la sociedad en la próxima década.

Su Informe de Riesgos Globales de 2021 dice que los ataques cibernéticos representan un riesgo inmediato mayor que el terrorismo y son potencialmente catastróficos tanto a corto como a largo plazo.

Las empresas privadas son las más afectadas por los ciberataques, pero el daño palidece en comparación con los incidentes que tienen como objetivo los gobiernos, los partidos políticos y la infraestructura crítica.

En esos casos, la amenaza de que las personas estén expuestas al fraude es mayor que la de una organización que quiebra.

Para mitigar la amenaza, pide la adopción generalizada de la privacidad por diseño en las nuevas tecnologías y servicios digitales, así como una regulación más estricta de las tecnologías digitales.

Ministerios

Son varios los ciberataques sufridos por los Ministerios del distintos Gobiernos. Descamos el último producido contra los Ministerios de Economía, Educación y Justicia en España.

  • Abril 2021
  • Disponibilidad: ataque que provocó la caída de los sistemas informáticos del Ministerio de Economía y de los Ministerios de Educación y Justicia.
  • En cuanto se detectó la presencia de código malicioso en algunos servidores del Ministerio, se abordaron las medidas necesarias para contener el incidente. La afectación a los datos ha resultado inexistente y el servicio, tras las comprobaciones pertinentes, se ha restablecido en el plazo de pocas horas.

ONU

  • Julio 2019
  • Disponibilidad: los servidores de la infraestructura central de la ONU se vieron comprometidos durante un ciberataque exitoso.
  • Los piratas informáticos utilizaron una vulnerabilidad conocida en un servidor Microsoft SharePoint orientado a Internet, una plataforma de colaboración basada en la web integrada con Microsoft Office. 42 servidores en total estaban comprometidos y otros 25 clasificados como sospechosos y se violaron «algunas cuentas de administrador». Al darse cuenta del ataque, la ONU tomó medidas para cerrar los servidores de desarrollo afectados.

Policía Nacional

  • Octubre 2012
  • Intrusión: ransomware que accede a los ordenadores de las víctimas y les envía un mensaje simulando ser la policía nacional.
  • En la pantalla de los ordenadores aparece un aviso de la Policía Nacional en el cual se les comunica, incluyendo datos personales del usuario y su equipo, que el ordenador ha sido bloqueado porque se ha cometido una infracción de uso de Internet y debe pagarse una multa. A partir de ese momento el PC queda inoperante, incluso aunque se proceda a su reinicio. Es necesario recordar que ni la Policía Nacional, ni la Brigada de Delitos Tecnológicos ni ninguna de las entidades de transferencias y pagos online que aparecen en la ventana del virus tiene que ver con su propagación.

Pentágono

  • Julio 2015
  • Intrusión: ataque a un sistema de correo electrónico del Pentágono no clasificado utilizado por el Estado Mayor Conjunto que provocó su caída.
  • El Pentágono ha eliminado su red no clasificada que maneja el correo electrónico del Estado Mayor Conjunto debido a «actividad sospechosa». Las autoridades dicen que no está claro si el ataque fue sancionado por el gobierno ruso o fue obra de individuos. Los funcionarios dijeron que no se incautó ni comprometió información clasificada y que solo se piratearon cuentas y correos electrónicos no clasificados.

Universidad

  • Enero 2021
  • Intrusión: La Universidad de Burgos (UBU) ha sido víctima de un ciberataque que afectó a los datos personales de determinados usuarios.
  • La Universidad confirmó que no se han visto comprometidas contraseñas de acceso a cuentas de correo, ni a datos relacionados con tarjetas de crédito, ni cuentas bancarias. Se activó el plan de contingencia y se ha evaluado el alcance del incidente en cumplimiento del procedimiento previsto. La Universidad de Burgos efectuó actuaciones de bloqueo de la máquina afectada y la retirada del acceso a Internet.

Adif

  • Julio 2020
  • Intrusión: Adif ha sido hackeada por el grupo REvil, cuya amenaza consiste en la publicación de los datos robados.
  • Los piratas informáticos afirman haber sustraído 800 GB de información de los servidores de la compañía y entre los datos hay contratos e información contable de Adif. Amenazaron con publicar la información si no se pagaba un rescate. El ataque fue controlado por los servicios internos de seguridad, y en ningún momento se han visto afectadas las infraestructuras.

Ejército

  • Mayo 2021
  • Robo: acceso a información personal de miembros del ejército de Colombia.
  • A través de la cuenta de Twitter, Anonymous compartió un listado de 168 correos y contraseñas de miembros del Ejército Nacional. Indicaron también que “sabotearán cualquier tendencia que no sea relevante o que intente desviar la atención de la sistemática violación de los derechos humanos que se está produciendo hoy en Colombia”. Hasta el momento, el Ejército no se ha pronunciado sobre el hecho.

Aseguradoras

Aquí tienes los ciberataques más destacados a empresas aseguradoras:

Adeslas

    • Septiembre 2020
    • Disponibilidad: ataque de ransomware que bloqueó la estructura informática de la empresa.
    • Sistemas informáticos, como los que gestionan las autorizaciones de pruebas médicas y las pólizas de los usuarios, dejaron de funcionar de un día para otro. Oficialmente, la empresa garantiza que no ha pagado ningún rescate y que ninguna información sensible está en poder de los cibercriminales. El ransomware responsable del ataque fue Revil, perteneciente a una nueva familia de ransomware utilizado por el cibercrimen ruso. La empresa adoptó las medidas necesarias para evitar una propagación mayor del ataque.

Mapfre

    • Agosto 2020
    • Disponibilidad: ataque de ransomware que provocó la encriptación de la información de los equipos pidiendo un rescate a cambio de las claves de desencriptación.
    • El ciberataque hizo que se bloquearan los sistemas informáticos de la compañía, aunque se confirmó que en ningún caso estaba comprometida la seguridad de la información de la corporación o de sus clientes. Mapfre adoptó todas las medidas para recuperar su actividad lo antes posible.

CNSF

  • Noviembre 2020
  • Intrusión: los ciberdelincuentes tuvieron acceso a los sistemas de este organismo regulador del sector asegurador en México, con el fin de vulnerar 448 servidores de esta institución.
  • Un ciberdelincuente expuso en la Dark Web haber robado más de 10 Gigabytes (GB) de datos confidenciales de la Comisión Nacional de Seguros y Fianzas (CNSF) en México. La vulneración se pudo dar por medio de un ransomware, un programa que sirve para el secuestro de la información, de nombre LockBit. La CNSF aplicó los protocolos correspondientes.

AXA

  • Mayo 2021
  • Intrusión/Robo: Ransomware que provocó el acceso a los sistemas informáticos de las divisiones de Axa en Asia y el robo de datos de clientes.
  • Los hackers piratearon las operaciones de la firma en varios países asiáticos y robaron tres terabytes de datos confidenciales. Los datos comprometidos sustraídos incluirían informes médicos de sus clientes, copias de tarjetas de identificación, extractos bancarios, formularios de reclamaciones, registros de pagos y contratos, entre otros. El responsable del ataque fue un ransomware llamado Avaddon. Tras conocerse el problema, se informó pertinentemente a los reguladores y socios comerciales.

Telecomunicaciones

Telecom Argentina

    • Julio 2020
    • Disponibilidad: ransomware que cifró hasta 18.000 estaciones de trabajo del principal proveedor de servicios de telecomunicaciones de Argentina usando credenciales de administración robadas.
    • Los atacantes demandaban el pago en Monero de alrededor de 7,5 millones de USD, e incluso amenazaban con aumentar la cuantía del rescate a 15 millones si no se abonaba en tres días. Tras el ataque, Telecom Argentina recomendó a sus empleados no conectarse a la red VPN interna, no abrir correos electrónicos con archivos y limitar sus interacciones en la red corporativa. No se vieron afectados servicios críticos de la empresa y los responsables de TI lograron contener el secuestro de datos.

Vodafone

    • Octubre 2015
    • Intrusión: acceso a datos bancarios, nombres y teléfonos de clientes de Vodafone.
    • El ataque se realizó por criminales utilizando direcciones de email y contraseñas conseguidas a través de una fuente externa a Vodafone. La información filtrada si deja a 1.827 clientes vulnerables ante posibles intentos de fraude o suplantación de identidad.

Cadena Ser

  • Noviembre 2019
  • Disponibilidad: ataque de ransomware que bloqueó el sistema informático de la empresa de radio.
  • La Ser fue víctima de un ransomware que se introdujo en sus sistemas y los encriptó provocando su caída. La compañía tuvo que desconectar todos sus sistemas informáticos operativos. La emisión de la SER quedó garantizada desde su sede central en Madrid, apoyada en equipos autónomos y los técnicos comenzaron a trabajar para recuperar progresivamente la programación de sus emisoras.

Google

  • Abril 2012
  • Robo: Google sufrió un ‘hackeo’ en algunas de sus cuentas de correo electrónico de Gmail.
  • Los ciberdelincuentes robaron las contraseñas de cientos de poseedores de cuentas de Gmail, incluyendo las de los altos cargos del Gobierno de Estados Unidos, activistas chinos y periodistas. Los piratas enviaban correos a sus víctimas desde una dirección falsa, haciéndose pasar por una persona cercana para ganarse su confianza. El mensaje contenía un vínculo o un archivo adjunto. Cuando las víctimas pinchaban en el vínculo, se les incitaba a introducir sus credenciales en una página de inicio de Gmail falsa creada para hacerse con los nombres de usuario y las contraseñas, tras lo cual los piratas tenían pleno acceso a sus cuentas.

Movistar

  • Septiembre 2017
  • Intrusión: hackeo a la red intranet de la empresa en Argentina para robar smartphones de alta gama y venderlos en Internet.
  • Para robar los teléfonos, los acusados habrían utilizado empleados falsos que aparentaban ser vendedores de Movistar. Sus nombres eran introducidos en la base de datos de la empresa a través de una técnica llamada SQL injection, que permite introducir códigos informáticos al aprovechar una vulnerabilidad del sistema. Así, recibían el alta como personal de la compañía y la correspondiente autorización para retirar aparatos.

Netflix

  • Septiembre 2019
  • Robo: los ciberdelincuentes han robado los datos de tarjetas de crédito de más de 110 millones de suscriptores de Netflix.
  • Un correo electrónico falso emite una alerta a los clientes de Netflix de que su cuenta de visualización en línea se ha suspendido hasta que se proporcionen algunos detalles financieros, como la información de la tarjeta de crédito. El email falso también proporciona un enlace donde los usuarios son llevados a una página web falsa de «House of Cards» y se les pide que completen los detalles como nombre completo, fecha de nacimiento, dirección y detalles de pago.

Orange

  • Julio 2020
  • Robo: ataque de ransomware que provocó la filtración de datos de clientes de empresa de la operadora.
  • Orange confirmó que sufrieron un ataque de ransomware dirigido a su división de «Orange Business Services» en el que robaron datos de clientes. Como parte de la filtración, publicaron un archivo de 339 MB que contenía datos que supuestamente robaron a Orange durante el ataque.

Promecal

  • Abril 2021
  • Disponibilidad: ataque que ha impedido la salida de tres de los periódicos del grupo Promecal debido a una caída de sus sistemas informáticos.
  • El sabotaje, que ha afectado a otras estructuras del grupo, dificulta las actividades de redacción, edición, impresión y distribución, provocando importantes pérdidas económicas. La empresa lamentó las molestias ocasionadas a los lectores y pidió disculpas. Además, se realizaron los trabajos para restaurar todo el sistema informático lo antes posible.

Telefónica

  • Mayo 2017
  • Disponibilidad: ataque con ransomware Wannacry que provocó el bloqueo de los sistemas informáticos de Telefónica.
  • Los autores del ciberataque habrían pedido a la operadora un rescate para eliminar las restricciones a los archivos y equipos secuestrados. El pago se exige en bitcoin y, los ciberdelincuentes habrían solicitado en un principio un pago de 300 dólares por ordenador hackeado. La operadora desconectó los sistemas afectados y el código malicioso en particular que se utilizó para el ciberataque fue neutralizado.

Sony

  • Noviembre 2014
  • Robo: ciberataque significativo que provocó la filtración en línea de la propiedad intelectual y los datos personales de los empleados de Sony.
  • Los piratas informáticos, que se cree que trabajan con Corea del Norte, robaron enormes cantidades de información de la red de Sony. Filtraron la información a los periodistas, quienes escribieron sobre cosas vergonzosas que los empleados de Sony se habían dicho entre sí. Luego, los piratas informáticos, utilizando uno de sus comunicados casi diarios a través del sitio web Pastebin, amenazaron con cometer actos de terrorismo contra las salas de cine , exigiendo que Sony cancelara el lanzamiento previsto de la película The Interview.

Comercio online

Avon

  • Junio 2020
  • Disponibilidad: ataque que provocó la caída de los sistemas informáticos de Avón en casi todos sus centros de distribución.
  • Avón sufrió un incidente cibernético en torno a su tecnología de la información, el cual interrumpió algunos de sus sistemas y afectó parcialmente sus operaciones. La empresa trabajó diligentemente para mitigar sus efectos, haciendo todo lo posible para normalizar sus operaciones.

Wallapop

  • Noviembre 2019
  • Fraude/Phising: ataque que provocó la caída de los sistemas de Wallapop y el envío a los usuarios de correos de phising para robar sus datos.
  • El ciberdelincuente se hace pasar por un contacto interesado en comprar un producto en Wallapop, después, redirige la comunicación hacia el email y ahí intenta engañar al vendedor para que le envíe dinero a través de tarjetas prepago o conseguir los datos bancarios mediante un caso de phishing. La compañía asegura que no tiene evidencia de que ninguno de los datos se hayan visto comprometidos o haya existido un uso fraudulento de los mismos. Ha pedido a sus usuarios que modifiquen su contraseña de acceso.

Cencosud

  • Noviembre 2020
  • Disponibilidad: un ciberataque conocido como Egregor, exigía un rescate de millones de dólares a cambio de la información clave de los clientes de la compañía Cencosud.
  • El hackeo comprometió diferentes dispositivos de la compañía: impresoras en locales ubicados en Chile y Argentina comenzaron a imprimir el rescate. El ataque paralizó las ventas en múltiples lugares, en diferentes países donde cuenta con operaciones. Cencosud inició un proceso para seguir operando mientras se reestablece la situación.

Ebay

  • Marzo 2014
  • Robo: ataque que provocó el robo de contraseñas y datos personales de usuarios de ebay.
  • Una serie de credenciales de inicio de sesión de los empleados se vieron comprometidas, lo que permitió a los atacantes cibernéticos obtener acceso a la red corporativa de eBay. La información comprometida incluye contraseñas cifradas, nombres de clientes, direcciones de correo electrónico, direcciones postales, números de teléfono y fechas de nacimiento. La compañía dijo que no hay evidencia de actividad no autorizada para los usuarios de eBay. Tampoco hay evidencia de acceso no autorizado o compromisos a la información personal o financiera de los usuarios de PayPal.

Target

  • Diciembre 2013
  • Robo: Acceso a datos de tarjetas bancarias de clientes de Target.
  • Se cree que alrededor de 40,000 de los 60,000 terminales de punto de venta del minorista estaban infectados con un archivo ejecutable, probablemente malware que fue automáticamente descargado de un servidor pirateado. Una vez infectados, los dispositivos recibieron instrucciones de almacenar y reenviar los datos de banda magnética recopilados durante las transacciones en el punto de venta. Los hackers robaron los nombres de los clientes, los números de tarjetas de crédito y débito, así como las fechas de vencimiento de la tarjeta y los valores de verificación de la tarjeta. A Target se le impuso una multa de de 18,5 millones de dólares.

Bancos

BBVA

BBVA es la entidad que más intentos de ataque sufre a través de phising que suplanta su página web para engañar a los usuarios.

Los ciberdelincuentes han encontrado en la digitalización y el trabajo en remoto nuevas oportunidades para cometer fraudes y ciberataques para los que tanto el banco como sus trabajadores deben estar preparados.

El aumento de los ataques y fraudes ‘online’ ha situado a la ciberseguridad como herramienta básica para afrontar la nueva realidad. Por otra parte, la mayor dependencia de la tecnología ha provocado que la sociedad se conciencie de la necesidad de proteger su forma de actuar con los dispositivos digitales en su faceta personal, pero sobre todo en la profesional.

Banco Santander

  • Marzo 2017
  • Disponibilidad: ataque que provocó la caída de los sistemas en más de 839 oficinas de toda España del Banco Santander.
  • Un trabajador de una empresa de servicios informáticos que, al saber que iba a ser despedido, provocó un ciberataque utilizando una bomba lógica, consistente en una aplicación que va incrustada en otros códigos y cuyo principal objetivo es realizar un ataque informático al ordenador para borrar ficheros e incluso inhabilitar por completo el sistema operativo de un PC.

Bankia

  • Diciembre 2020
  • Disponibilidad: ataque DDoS que provoca la caída de los sistemas informáticos de Bankia.
  • Bankia sufre un ataque de denegación de servicios que origina fallos en su web y aplicaciones. Uno de los errores de los que alertaron los usuarios de Bankia en redes sociales fue la imposibilidad de acceder a sus cuentas online. Los informáticos de la entidad bancaria consiguieron rechazar la amenaza rápidamente.

Kutxabank

  • Octubre 2020
  • Phishing: Campaña de correos falsos que suplantan a Kutxabank para acceder a datos personales.
  • Campaña fraudulenta a través de un correo electrónico falso, que los malhechores emplean para simular un mensaje procedente de Kutxabank. En concreto, en este mensaje fraudulento aparece la imagen corporativa de Kutxabank, y se advierte de que la tarjeta ha sido «desactivada debido a una actividad sospechosa en la cuenta». Desde Kutxabank informan que ya han bloqueado los sitios webs a los que se redirecciona.

La Caixa

  • Septiembre 2020
  • Disponibilidad: ataque de ransomware que bloqueó los sistemas de SegurCaixa Adeslas aunque no llegó a afectar a la entidad bancaria.
  • El malware bloqueó los archivos o dispositivos de la empresa y luego reclamó un pago online anónimo. Se ajustaron los procesos que tienen que ver con los asegurados para seguir prestando servicio mientras su equipo de atención al cliente continó gestionando las peticiones y consultas, para así poder identificar otras posibles afectaciones.

Banco de Crédito BCP

  • Agosto 2018
  • Robo/Intrusión: acceso a los servidores del Banco de Crédito de Perú y robo de datos personales de los clientes.
  • El BCP sufrió un ataque informático que permitió a «terceros» acceder a datos de identificación personal de un grupo de clientes y, en algunos casos, números de tarjetas, cuentas y saldos. Sin embargo, los «hackers» no robaron claves ni dinero de sus clientes. El banco cerró la brecha que permitió esa intrusión y todos sus sistemas de seguridad fueron reforzados en ese momento.

Cajeros automáticos

  • Julio 2018
  • Robo: ataque que conlleva la clonación de tarjetas junto con un hackeo en el procesador de pagos del banco con el fin de facilitar el retiro fraudulento de los fondos de los clientes.
  • El Banco Nacional de Blacksburg en EE.UU. sufrió este tipo de ataque que vulneró cientos de cajeros en varios meses y le supuso pérdidas de más de 2,4 millones de dólares. Esta estafa es posible gracias a una brecha de seguridad desconocida en las tarjetas de los cajeros.

Sistema de Pagos Electrónicos Interbancarios (SPEI)

  • Abril 2018
  • Intrusión: acceso a los sistemas del SPEI y robo de unos 300 millones de pesos.
  • Se registraron cinco participantes en el SPEI con vulneraciones de ciberseguridad, y todos los ataques que se han observado han sido dirigidos hacia los bancos, casas de bolsa y otros participantes del sistema de pagos. Se llevaron a cabo pruebas forenses para determinar el origen del ciberataque y conocer si fue interno o externo, aunque su objetivo fue pecuniario, es decir, para extraer recursos y obtener algún beneficio.

Sanidad

Vastaamo

  • Mayo 2021
  • Intrusión / Robo: La clínica de psicoterapia sufrió una gran filtración de datos, y se expuso toda la información de los pacientes al público.
  • Los pacientes recibieron un correo electrónico donde el ‘Asunto’ indicaba su nombre completo, número de seguro social, el nombre de la clínica (Vastaamo) y las notas escritas por los terapeutas. El mensaje indicaba que tenían 24 horas para ingresar 200 euros en Bitcoin para que su información fuese eliminada de los servidores. Vastaamo reaccionó ante al ataque para poner remedio y terminó ofreciendo a los pacientes una sesión de terapia gratuita como compensación.

Dexeus

  • Marzo 2021
  • Disponibilidad: ataque que provocó el bloqueo de los sistemas informáticos del centro médico Dexeus Dona.
  • El ataque informático ha afectado a su operativa diaria y han tenido que cancelar pruebas a unas 2.000 pacientes. El centro confirma que no se han perdido ni trascendido datos sanitarios de las pacientes. El ataque informático fue denunciado ante los Mossos d’Esquadra y la Agencia Catalana de Ciberseguridad.

Fresenius

  • Mayo 2020
  • Intrusión: ransomware llamado Snake accede al sistema de centro médico Fresenius, provocando su caída.
  • Una vez se ejecuta el código del programa malicioso, el código comienza a ejecutarse resolviendo la dirección IP de Fresenius, con el objetivo de acceder al resto de dispositivos conectados al sistema. Entonces se cifran los archivos y pide un rescate para recuperarlos. La empresa indicó que se tomaron medidas para evitar una mayor propagación.

Servicio Ejecutivo de Salud de Irlanda

  • Mayo 2021
  • Intrusión: Ransomware que accedió a los sistemas informáticos del HSE para intentar robar información almacenada.
  • El ataque se ha centrado en acceder a los datos almacenados en los servidores centrales del sistema, y ha afectado a todos los programas nacionales y locales que gestionan servicios esenciales de atención sanitaria. Dos hopitales de Dublín tuvieron que cancelar todas sus citas. El HSE ha indicado que están trabajando con los proveedores de seguridad informática más relevantes así como con el equipo nacional de ciberseguridad para solucionarlo.

Vithas

  • Noviembre 2019
  • Disponibilidad: ataque de ransomware que bloqueó varios sistemas informáticos de siete hospitales de Vithas.
  • El ataque le ha dificultado el acceso a ciertos archivos como pruebas diagnósticas o informes médicos almacenados. Aseguran que este incidente no ha supuesto destrucción ni robo de datos, ni ha afectado a la asistencia médica a los pacientes, que han seguido siendo atendidos con normalidad. Los hospitales adoptaron todas las medidas de seguridad y protección precisas para aislar los servidores infectados, que han sido reemplazados.

Vacunas

  • Abril 2021
  • Phishing: campaña de phishing dirigida a 44 empresas más que están involucradas en el complejo trabajo logístico de distribución de vacunas COVID-19 en 14 países.
  • La campaña está dirigida a organizaciones asociadas con la “cadena de frío” de la vacuna COVID-19. Los piratas informáticos utilizaban correos electrónicos meticulosamente elaborados con trampas explosivas enviados en nombre de un ejecutivo de Haier Biomedical, un proveedor chino de cadena de frío.

Covid

La pandemia mundial ha visto un enorme aumento de personas que trabajan desde casa, compran en línea y, en general, están más conectadas digitalmente que nunca. Hay muchas cosas buenas que han surgido de esto, pero también muchas cosas malas. Uno de los mayores problemas es que los ciberataques se han disparado durante este período. Los ciberdelincuentes han aprovechado esta oportunidad para aumentar sus ataques, tanto en frecuencia como en alcance.

Se han producido muchos ataques temáticos COVID-19, en los que los ciberdelincuentes obtienen acceso a un sistema mediante el uso de ataques de phishing o de ingeniería social.

Pfizer

  • Diciembre 2020
  • Robo: Ciberataque que robó información relativa a la vacuna Covid-19 de Pfizer a la Agencia Europea del Medicamento.
  • El ataque provocó un acceso ilegal a algunos documentos relacionados con la presentación regulatoria de la vacuna COVID-19 de Pfizer, Los ciberdelincuentes accedieron a documentos de Word, PDF, capturas de pantalla de correo electrónico, presentaciones de PowerPoint y comentarios de revisión por pares de la EMA. La EMA aseguró que, a pesar del incumplimiento, su red regulatoria está en pleno funcionamiento y que la evaluación y aprobación de los medicamentos COVID-19 no se ha visto afectada por el incidente.

Quirón

  • Noviembre 2020
  • Disponibilidad: ransomware que bloqueó los servidores de Quirón Prevención.
  • La empresa fue víctima de un incidente que involucra el ransomware Snake afectando a sus sistemas. El principal objetivo de Snake ransomware es cifrar los ficheros de todos los dispositivos conectados al equipo para, posteriormente, solicitar el pago de un rescate en bitcoins a cambio de la herramienta de descifrado. No se conoce afectación alguna o si se han podido filtrar posibles datos de pacientes.

Sector energético

Endesa

  • Octubre 2020
  • Disponibilidad: ransomware que afectó al funcionamiento de los servicios internos de Endesa.
  • El ransomware afectó los servidores de la compañía que informó a todos sus empleados para que no se conectasen a través de la VPN que utilizan para trabajar. El ataque, que no ha afectado al servicio de la compañía y tampoco a los datos de los empleados ni de los clientes, se ha resuelto con éxito después de que la compañía tuviera activados una serie de protocolos de ciberseguridad.

Urbaser

  • Febrero 2021
  • Intrusión: Urbaser sufrió la entrada de unos piratas informáticos en algunos de sus sistemas de control, lo que bloqueó por completo la información referente a empleados, clientes y proveedores.
  • En este ciberataque los hackers le han exigido una contraprestación para no hacer pública la información que han obtenido al introducirse de forma ilegal en los servidores de Urbaser. Entre los contratos sustraídos y la información asociada se encontrarían, entre otros muchos, la del servicio de basuras de ciudades como Madrid y Barcelona. La empresa avisó a todos los empleados, clientes y proveedores para que extremen la precaución y no atiendan ninguna comunicación realizada en su nombre que pudiera resultar sospechosa.

Enel

  • Junio 2020
  • Disponibilidad: ransomware bloqueó los servidores de la eléctrica Enel en Argentina.
  • El ataque se realizó a través del ransomware Snake y afectó a los sistemas informáticos provocando la imposibilidad de atender a clientes por teléfono, redes sociales y el uso de la Oficina Virtual.

EDP

  • Abril 2020
  • Intrusión/Robo: ransomware que bloqueó los servidores de la empresa EDP y accedió a datos de empleados.
  • El ataque se realizó con el ransomware Ragnar Locke con el que sustrajeron más de 10.000 GB en datos sensibles, y bloquearon las redes internas de la energética. Además, pidieron un rescate de 10 millones de euros para recuperar los archivos. Entre los archivos comprometidos hay bases de datos de empleados de la compañía, análisis financieros, licitaciones, o documentos de departamentos.

Colonial

  • Mayo 2021
  • Disponibilidad: La empresa de oleoductos de Estados Unidos, se ha visto obligada a suspender sus actividades tras haber sufrido un ciberataque.
  • El parón afecta a las operaciones de Colonial en los 8.850 kilómetros de oleoductos que gestiona, vitales para abastecer a los grandes núcleos de población del este y el sur de Estados Unidos, incluida la región metropolitana de Nueva York. Colonial ha contratado a una empresa de ciberseguridad para investigar el suceso, además de alertar a las fuerzas de seguridad del Gobierno de Estados Unidos.

Automoción

Ficosa

  • Diciembre 2020
  • Disponibilidad: ataque que bloqueó todas las máquinas conectadas a internet de la empresa de automoción Ficosa.
  • Entre las consecuencias del ciberataque están la incapacidad para acceder a los pedidos y el bloqueo de la planta Viladecavalls, en Barcelona. Ficosa ha tomado de inmediato las medidas de seguridad informática oportunas y ha reportado los hechos a las autoridades competentes en materia de ciberseguridad.

Fadea

  • Marzo 2021
  • Robo/Fraude: acceso a los correos de la constructora de aviones Fadea y robo de dinero clonando los correos y modificando las cuentas bancarias.
  • Un grupo de hackers entró al sistema de Outlook y así tuvieron acceso a los correos electrónicos de las empresas. De esta manera pudieron entrar a cuentas de clientes. A partir de ahí crean dominios similares, como cuentas ‘espejo’ de tal manera que cada vez que una empresa se comunicaba con su cliente ellos captaban todos los correos. El hackeo se daba cuando la empresa real mandaba una factura. Allí, los atacantes cambiaban la cuenta bancaria y Fadea se creía que era el trámite de pago habitual.

Honda

  • Junio 2020
  • Disponibilidad: ataque que afectó al sistema informático del fabricante automovilístico Honda y provocó la paralización de su producción.
  • Honda experimentó un problema en su red informática que causó la pérdida de conectividad, impactando así en sus operaciones. Su departamento informático se puso a trabajar con rapidez para evaluar la situación.

Toyota

  • Febrero 2019
  • Disponibilidad: ataque que provocó la caída del servidor de correo electrónico de la empresa automovilística Toyota.
  • El ciberataque dejó a los empleados sin acceso a sus mensajes de correo electrónico durante días. Pero no se produjo acceso a ningún dato de empleados o de clientes. La amenaza fue administrada por el departamento de TI, que trabajó en estrecha colaboración con expertos internacionales en seguridad cibernética para que los sistemas volvieran a funcionar.

Tecnológicas

Garmin

  • Julio 2020
  • Disponibilidad: ransomware que interrumpió los servicios en línea de la empresa Garmin.
  • El ciberataque que cifró algunos de sus sistemas, sus servicios en línea se interrumpieron, incluidas las funciones del sitio web, la atención al cliente, las aplicaciones orientadas al cliente y las comunicaciones de la empresa. La empresa confirmó que no hubo acceso ni robo de datos de clientes.

Kaspersky

Tiene una herramienta de detección de amenazas. Kaspersky Threat Attribution Engine incorpora una base de datos compuesta por muestras de malware de APT y archivos limpios que los expertos de la compañía han recopilado a lo largo de más de 22 años.

Realiza el seguimiento de más de 600 actores y campañas de APT y, cada año, publica más de 120 informes sobre inteligencia de APT. Esta continua investigación permite que su base de datos de APT, que actualmente contiene más de 60 000 archivos, incluya siempre datos relevantes.

Linkedin

  • Septiembre 2019
  • Phishing: ataque que usa la mensajería de Linkedln para obtener beneficios económicos.
  • El mensaje de LinkedIn describe una oferta de trabajo creíble, aparentemente de una empresa conocida en un sector relevante. Los archivos se enviaron directamente a través de mensajes de LinkedIn o por correo electrónico que contenía un enlace de OneDrive. Una vez que el destinatario abrió el archivo, se mostró un documento PDF aparentemente inocente con información salarial relacionada con la oferta de trabajo falsa. Mientras tanto, el malware se implementó silenciosamente en la computadora de la víctima.

Microsoft

  • Enero 2021
  • Intrusión/Robo: ataque que provocó el acceso a correos electrónicos y contraseñas de los clientes de los servidores Microsoft Exchange locales.
  • Los piratas informáticos aprovecharon cuatro vulnerabilidades de día cero independientes para comprometer Outlook Web Access de los servidores de Microsoft Exchange, dándoles acceso a todos los servidores y redes de las víctimas, así como a correos electrónicos e invitaciones de calendario. El Centro de Respuesta de Seguridad de Microsoft publicó una versión de Vulnerabilidades y Exposiciones Comunes (CVE) fuera de banda, instando a sus clientes a parchear sus servidores Exchange para abordar una serie de vulnerabilidades críticas.

Solarwinds

  • Diciembre 2020
  • Disponibilidad/Intrusión: actores de amenazas persistentes avanzadas (APT) se infiltraron en la cadena de suministro de SolarWinds, insertando una puerta trasera en el producto.
  • Intrusión cibernética altamente sofisticada que aprovechó una aplicación de software comercial creada por SolarWinds. A medida que los clientes descargaban los paquetes de instalación del caballo de Troya de SolarWinds, los atacantes podían acceder a los sistemas que ejecutaban los productos SolarWinds. Se lanzaron parches de seguridad para cada una de estas versiones específicamente para abordar esta nueva vulnerabilidad.

Twitter

  • Julio 2020
  • Intrusión: 130 cuentas de Twitter fueron blanco de un gran ciberataque a cuentas de celebridades.
  • La violación de seguridad hizo que cuentas que incluían las de Barack Obama, Elon Musk, Kanye West y Bill Gates tuitearan una estafa de Bitcoin a millones de seguidores. Twitter dijo que todavía estaba tratando de averiguar si se robaron datos privados, que podrían incluir mensajes directos. Los atacantes pudieron eludir la seguridad de la cuenta porque de alguna manera habían obtenido acceso a las propias herramientas de administración interna de Twitter. La red social se apresuró a contener el ataque sin precedentes.

Whatsapp

  • Mayo 2019
  • Intrusión: acceso a los mensajes enviados a través de whatsapp a través de el software de vigilancia.
  • Los atacantes usaban la función de llamadas de voz de WhatsApp para hacer sonar el dispositivo de un objetivo. Incluso si la llamada no fue atendida, se podría instalar el software de vigilancia. Se trata de Una vulnerabilidad de desbordamiento de búfer en la pila de WhatsApp VOIP que permitió la ejecución remota de código a través de una serie especialmente diseñada de SRTCP [protocolo de transporte seguro en tiempo real ] paquetes enviados a un número de teléfono de destino. WhatsApp instó a todos sus usuarios a actualizar sus aplicaciones como precaución adicional.

Windows

  • Octubre 2008
  • Intrusión: un complejo gusano se infiltra aprovechando una grieta explotable de Windows server y afecta a Windows 2000, Windows XP, Windows Vista, Windows Server 2003 y Windows server 2008.
  • El gusano Confiker se esparce a tal velocidad y se le cataloga como una amenaza a nivel militar. En pocas semanas infectó a más de 10 millones de equipos en 190 países. La empresa Microsoft ofreció una suma de 250.000 dólares para quien les facilitase información que desenmascarase a los creadores.

Yahoo

  • Diciembre 2014
  • Robo: Los piratas informáticos robaron 500 millones de datos de usuarios de Yahoo y los pusieron a la venta en la Darkweb.
  • Los datos robados eran información de cuentas de correo electrónico como: nombres; números de teléfono; fechas de nacimiento; contraseñas y direcciones de correo electrónico. También se tomaron preguntas y respuestas de seguridad cifradas y no cifradas. Los estafadores usan la información para engañar a los usuarios para que revelen otros datos personales, como números PIN, a través de ‘phishing’ y también para realizar ataques de relleno de credenciales. A partir de entonces, Yahoo aplicó mayores medidas de seguridad.

YouTube

  • Julio 2020
  • Phishing: campaña de phishing a usuarios de YouTube atrayéndolos a una página de inicio de sesión de Google falsa.
  • Los piratas informáticos se apoderaron de una base de datos y han estado enviando páginas de inicio de sesión de Google falsas a direcciones de correo electrónico relacionadas. El objetivo era recopilar información sobre su cuenta de Google, lo que permite al intruso acceder a sus canales de YouTube. Luego, los datos se pasan a un nuevo propietario y se cambia la dirección URL del canal, lo que hace que el propietario real y sus suscriptores crean que su cuenta ha sido eliminada.

Acer

  • Marzo 2021
  • Intrusión/Robo: ransomware que provocó el acceso a los sistemas informáticos de Acer y el robo de información.
  • Los atacantes han utilizado el ransomware ruso REvil, centrándose en información privada de la empresa y de los usuarios. Si la empresa se niega a pagar, los datos robados y encriptados se publican o se venden al mejor postor. Entre los datos robados están documentos financieros, como hojas de cálculo, saldos y comunicaciones. Los delincuentes pidieron un rescate de 50 millones de dólares a Acer para recuperar los archivos.

Dyn

  • Octubre 2016
  • Disponiblidad: ataque DDoS contra Dyn que provocó la caida de sus servidores, paralizando sus servicios en todo el mundo.
  • Al inundar Dyn, el ataque impidió que el tráfico llegara a los clientes de Dyn, que incluyen a Amazon, Etsy, GitHub, Shopify, Twitter y el New York Times. La fuerza de ataque DDoS incluyó entre 50.000 y 100.000 dispositivos de Internet de las cosas (IoT). Los principales proveedores de red troncal de Internet tuvieron que desviar parte del tráfico para evitar la congestión que crearon los ataques Dyn.

Tesla

  • Agosto 2020
  • Intrusión/Robo: ransomware que provocó el acceso a los sistemas y el robo de información privilegiada de la empresa Tesla.
  • Un ruso intentó sobornar al empleado de Tesla con un millón de dólares para enviar malware a los sistemas informáticos de la Gigafábrica. Kriuchkov y sus asociados planearon extraer datos de la red y amenazaron con hacerlos públicos si Tesla no pagaba un rescate. El empleado informó de inmediato a Tesla y la compañía se puso en contacto con el FBI, que lanzó una operación encubierta. Los agentes arrestaron a Kriuchkov en Los Ángeles cuando intentaba salir del país.

Seguridad

Prosegur

  • Noviembre 2019
  • Disponibilidad: ataque que secuestró los equipos informáticos de Prosegur y provocó que las webs cayeran tanto en España como en los países donde operan.
  • Ataque de ransomware que bloqueó los servidores de la empresa de seguridad. Prosegur se vio forzada a aplicar los protocolos de emergencia y restringir las comunicaciones con los clientes para evitar la propagación del virus. La empresa también se pueso a trabajar para restablecer los servicios afectados a la normalidad tan pronto como fue posible.

Club deportivo

Real Madrid

  • Septiembre 2020
  • Intrusión/Robo: Un pirata informático se coló en el sistema del Real Madrid y robó datos de jugadores, contratos y presupuestos.
  • Una brecha de seguridad en los sistemas informáticos del Real Madrid dejó al descubierto información sensible del club blanco, desde contratos de jugadores de la plantilla hasta informes sobre el seguimiento a otros profesionales, pasando por documentos de Excel con presupuestos de la entidad. Los informáticos detectaron dos accesos llevados a cabo mediante la cuenta de un usuario de la organización que se encontraba de vacaciones por lo que resultan sospechosos y se comprueba que están relacionados con un acceso posterior al servidor.

Transportes, aerolíneas y navieras

Uber

  • Octubre 2016
  • Intrusión/Robo: acceso a datos confidenciales de 57 millones de clientes y conductores de Uber.
  • Los piratas informáticos con acceso a un repositorio público de código GitHub utilizado por los ingenieros de Uber pudieron recopilar credenciales de inicio de sesión privadas en un servidor de computación en la nube de Amazon, del cual los piratas informáticos robaron una lista de usuarios. El ataque incluyó nombres, direcciones de correo electrónico y números de teléfono de más de 50 millones de usuarios de Uber en todo el mundo, mientras que más de 7 millones de conductores de Uber tenían datos similares expuestos. En el momento del incidente, la empresa indica que aplicó medidas inmediatas para proteger los datos y bloquear el acceso no autorizado por parte de las personas. También implementó medidas de seguridad para restringir el acceso y fortalecer los controles en sus cuentas de almacenamiento basadas en la nube.

Gefco

  • Septiembre 2020
  • Disponibilidad: ataque que bloqueó los sistemas de la empresa logística Gefco, provocando una paralización de sus operaciones.
  • GEFCO fue blanco de un ciberataque global externo que impactó en sus operaciones, sus servicios aéreos no se vieron afectados. Los equipos han introducido procesos alternativos para garantizar la continuidad del negocio y siguen comprometidos con sus empleados, clientes y socios.

CMA-CGM

  • Noviembre 2020
  • Disponibilidad: ataque de ransomware que paralizó los sistemas de comercio electrónico del operador francés CMA-CGM.
  • Los piratas informáticos le han pedido al operador francés que se comunique con ellos y les pague en un plazo de dos días para recuperar el acceso a sus sistemas. El ransomware provocó la caída de los servidores de comercio online. Todos los sitios web de las filiales del grupo francés se cerraron.En cuanto se detectó la brecha de seguridad, se interrumpió el acceso externo a las aplicaciones para evitar la propagación del malware y todos sus equipos se movilizaron para reanudar el acceso a los sistemas de información del grupo.

Hurtigruten

  • Diciembre 2020
  • Robo: Ciberataque que afectó a la información personal de los pasajeros de la naviera Hurtigruten.
  • La información de tarjetas de crédito y débito, los números de seguro social, los números de licencia de conducir y los números de tarjetas de identificación no se vieron afectados por este incidente. Las direcciones de correo electrónico, las direcciones postales y / o los números de teléfono de los clientes sí se vieron afectados. Inmediatamente después de enterarse de este incidente, Hurtigruten desactivó los sistemas informáticos afectados, cortó su conexión a Internet para evitar más intrusiones y lanzó una investigación forense para determinar la naturaleza y el alcance del incidente.

Maersk

  • Junio 2017
  • Disponibilidad: ataque con malware NotPetya provocó la caída de todos servidores y aplicaciones de la compañía de transporte marítimo Maersk.
  • Todos los dispositivos del usuario final, incluidas 49.000 computadoras portátiles y la capacidad de impresión, fueron destruidos. Aproximadamente 3500 de sus 6200 servidores fueron destruidos y no pudieron reinstalarse. Todos los teléfonos de línea fija no funcionaban debido al daño de la red y, debido a que se habían sincronizado con Outlook, se habían borrado todos los contactos de los móviles. Maersk usó la ingeniería inversa del virus para comprender cómo funcionaba.

Easyjet

  • Mayo 2020
  • Robo: acceso a datos personales de millones de pasajeros de la compañía Easyjet.
  • En el ciberataque se robaron las direcciones de correo electrónico y los detalles de viaje de millones de pasajeros, así como los detalles de la tarjeta de crédito de unos 2.000. En respuesta al incidente del ciberataque, easyJet inició una investigación sobre el asunto, alegando que los resultados hasta ahora parecen indicar que los piratas informáticos chinos habían estado apuntando a la propiedad intelectual, a diferencia de los datos que ayudarían en el robo de identidad.