Ciberataques en España en tiempo real

El 2020 ha sido el año del apogeo del ciberdelito en el que COVID-19 ha tenido un efecto catalizador que ha dejado al descubierto las vulnerabilidades de la gran mayoría de empresas que no estaban preparadas en materia de ciberseguridad para tener su plantilla trabajando de forma remota. En este escenario, la industria del ciberdelito ha visto una gran oportunidad y ha actuado con mucha dureza a través de ataques cada vez más sofisticados con el objetivo no solo de robar dinero a las empresas o pedir un rescate por liberar sus recursos, sino también de espiar, para hacerse con propiedades, con fines intelectuales o gubernamentales.

Los datos que acaba de plasmar el Centro Nacional de Inteligencia (CNI) en la XIV conferencia de ciberseguridad del Centro Criptológico Nacional (CCN) son abrumadores. Según la agencia, como consecuencia de la pandemia, se ha detectado un claro aumento no solo en la cantidad de ciberataques, sino también en su gravedad. En cifras, durante 2019 el CNI detectó 3.172 ciberincidentes de alta peligrosidad, mientras que en el año 2020 se han duplicado a 6.690. Por su parte, la CCN ha detectado un total de 73.184 ciberamenazas totales en 2020, un aumento del 70% respecto al año anterior.

En tiempo real

En la web https://cybermap.kaspersky.com/es puedes consultar los ciberataques se están produciendo en España a tiempo real

Hoy

  • ASAC Comunicaciones
    • Mayo 2021
    • Disponibilidad: ataque que ha dejado temporalmente sin página web al Tribunal de Cuentas, el Consejo de Seguridad Nuclear (CSN) y numerosos ayuntamientos españoles, entre ellos Fuenlabrada y Cáceres.
    • Los ciberdelincuentes consiguieron encriptar parte de los sistemas y, como medida preventiva, ASCA bloqueó las comunicaciones y avisó a sus clientes, siguiendo los protocolos de seguridad para evitar la propagación del virus. La empresa ha indicado que la información no se ha visto comprometida.
  • Ayuntamiento de Oviedo
    • Mayo 2021
    • Disponibilidad: el ataque bloquea todos los servicios informáticos del Ayuntamiento de Oviedo.
    • Se trata de un ciberataque con ‘ransomware’, del mismo tipo del que sufrió hace dos meses el SEPE. Los ‘hackers’ habrían logrado colar en los servidores del Ayuntamiento un programa que deniega y bloquea el acceso a servidores y datos. El Ayuntamiento ha puesto en conocimiento del Centro Nacional de Inteligencia lo sucedido para buscar su colaboración para desencriptar las partes del sistema dañadas y localizar el programa malicioso para eliminarlo.
  • Glovo
    • Mayo 2021
    • Intrusión: acceso a los sistemas internos de la empresa y venta de datos de usuarios y empleados.
    • Un ciberdelincuente ha conseguido acceder a los sistemas internos de Glovo y se ha dispuesto a vender información de la empresa. Concretamente, datos de acceso a cuentas tanto de consumidores como de trabajadores de la empresa de reparto a domicilio. El problema ya ha sido notificado a la AEPD. No hubo datos bancarios ni datos especialmente sensibles revelados en este ciberataque. Desde Glovo, aseguran que bloquearon el acceso de terceros no autorizados e implementaron medidas adicionales para asegurar nuestra plataforma.
  • Ministerios de Justicia, Interior, Economía y Educación e INE
    • Abril 2021
    • Disponibilidad: ataque que provoca la caída de las webs de varios ministerios y del INE.
    • Se trata de un ciberataque organizado y en cadena. El ciberataque organizado se centró en la red SARA, que es la responsable de coordinar las páginas web de administración electrónica que el Gobierno pone a disposición del ciudadano para los trámites mediante firma y registro electrónico. El bloqueo de la red SARA sería, desde un punto estratégico, un impacto de fuerza contra la Administración. Su bloqueo o paralización sería crítica para la gestión electrónica del país. Hasta el momento se desconoce el alcance de la misma, más allá de los bloqueos, y si algún tipo de información sensible podría haber sido afectada. Ningún grupo se ha atribuido la autoría del ataque que, todo apunta a que no ha tenido intención económica o chantaje a través de ransomware.

Ciberataques a empresas y organismos en España

El ataque informático más grande en España ha sido el originado por el ransomware Wannacry.

Entre el 12 y el 16 de mayo de 2017 tuvo lugar un ataque sin precedentes en el mundo: un ciberataque que afectó a más de 360.000 dispositivos electrónicos de más de 180 países.

El ataque global de ransomware que afectó a 200.000 equipos de más de 150 países habría tenido un impacto (directo) para las empresas españolas de 5 millones de euros. La empresa más afectada fue Telefónica que tuvo que pedir a 12.000 empleados que apagasen sus equipos durante medio día. Esto supuso unos 250.000 euros de pérdidas.

Por otro lado, un ciberataque famoso producido en España fue el ransomware que afectó en 2019 a la Cadena Ser.

La cadena del Grupo PRISA sufrió casi a finales de 2019 un virus informático de tipo ransomware, que afectó gravemente a todos los sistemas informáticos.

Esta intrusión provocó que se cifraran datos de diversos archivos, quedaran bloqueados y se volvieran inaccesibles.

Con este tipo de ataques se persigue bloquear un sistema informático desde un punto remoto que secuestra los archivos y no los libera hasta que se realiza el pago mediante un rescate. Es decir, la SER sufrió un secuestro informático.

2021

En 2021, estos son los principales ciberataques que se han producido en España:

  • Universidad de Castilla-La Mancha
    • Abril 2021
    • Disponibilidad: ransomware que se introdujo en los sistemas de la UCLM.
    • El ataque tuvo lugar a las 10 de la noche del domingo 18 de abril y desde la universidad cortaron rápidamente la comunicación interna para evitar que el ransomware se extendiese por la red de la institución. El Área de Tecnología y Comunicaciones de la universidad está trabajando para solventar la incidencia y recuperar los servicios digitales afectados por el ciberataque lo antes posible.  Parece que no se ha filtrado información confidencial.
  • Phone House
    • Abril 2021
    • Intrusión: acceso a datos personales de clientes de Phone House.
    • Phone House ha sufrido un ataque de ransomware y le reclaman un rescate a cambio de los datos de 3 millones de clientes y empleados. Hasta 10 bases de datos de la compañía se habrían visto afectadas e incluyen datos muy sensibles de clientes y empleados de Phone House entre los que están información básica, pero también números de cuentas bancarias y direcciones de los domicilios.  El protagonista del ataque es el ransomware Babuk Locker.
  • Agencia Tributaria
    • Abril 2021
    • Fraude / Phising: suplantación de la AEAT para obtener datos personales de los contribuyentes.
    • Malware que se hace pasar por la Agencia Tributaria, actúa a través de un correo con el asunto ‘Acción fiscal’ para robar datos personales a los usuarios. Al hacer clic en el enlace del correo se infecta el equipo. En caso de duda siempre está la opción de contactar directamente con la Agencia para confirmar el envío de ese email.
  • Google Play
    • Abril 2021
    • Intrusión: se inserta malware en los teléfonos móviles al descargar una app de Google Play.
    • BRATA, un virus que se distribuye desde Google Play Store y que se hace pasar por escáneres de seguridad de aplicaciones. Estas aplicaciones maliciosas instan a los usuarios a actualizar Chrome, WhatsApp o un lector de PDF, pero en lugar de actualizar la aplicación en cuestión, toman el control total del dispositivo abusando de los servicios de accesibilidad.
  • Más Madrid
    • Abril 2021
    • Intrusión: robo de 8.000 € a Más Madrid para transferirlo a Podemos.
    • Un ciberdelincuente consiguió acceder al servidor de la web del partido político afectado y llegó a entrar en la zona destinada a hacer microcréditos y donaciones. Una vez el pirata informático ya estaba donde quería lo único que tuvo que hacer fue cambiar los dos números de cuenta a la que los simpatizantes pueden enviar dinero. La cuenta bancaria se modificó por la perteneciente a otro partido político, Podemos.
  • LinkedIn
    • Abril 2021
    • Intrusión: filtración de datos de 500 millones de usuarios de LinkedIn.
    • En un foro de hackers, los usuarios pueden ver la muestra filtrada de 2 millones de cuentas de LinkedIn por un valor de 2 dólares. No obstante, para la base de datos grande, la cifra de subasta es superior a cuatro dígitos, que se cobrarán en Bitcoin. Los datos que se enseñan en el archivo son los LinkedIn IDs, los nombres completos, las direcciones de correo electrónico, los números de teléfono, el género, los enlaces a perfiles de LinkedIn y a otras redes sociales, y los títulos profesionales y otros relacionados. LinkedIn, de momento, no ha notificado si tomará medidas al respecto.
  • Netflix
    • Abril 2021
    • Fraude/Phising: suplantación de Netflix para insertar malware y acceder a datos de los usuarios.
    • Malware que se propaga por Android bajo la promesa de conseguir una subscripción prémium para Netflix gratis. El malware, que recibe el nombre de ‘Flix Online’, está diseñado para robar información y controlar WhatsApp. Al descargar la app, el malware podía acceder a los datos personales del usuario y de sus contactos en WhatsApp. La aplicación fraudulenta llegaba a enviar mensajes falsos y maliciosos a otros usuarios a través de la app de mensajería instantánea.
  • Ayuntamiento de Castellón
    • Abril / 2021
    • Intrusión: filtración de 119 gigabytes en datos robados durante el ataque.
    • El responsable de este ciberataque es un colectivo que opera un ransomware conocido como RansomExx, particularmente disruptivo porque se despliega en Windows y en Linux, lo que provoca que más sistemas de lo normal se vean cifrados. Se filtró documentación de la policía local de Castellón así como documentos internos, municipales, contrataciones y documentos de identidad.
  • Avalia
    • Marzo 2021
    • Intrusión:  robo y publicación de datos de cientos de empresas clientes de Avalia.
    • La brecha de seguridad abierta en el sistema de Avalia afecta a cientos de empresas. De hecho, el lugar de la Dark Web en el que siguen alojados los datos robados a Avalia es de acceso público y cualquier persona puede consultar esos datos. Este acceso a los datos se produjo a través del ransomware. El peligro de disponer de todo ese volumen de información por parte de los cibercriminales es que pueden utilizarla en su propio beneficio o venderla a terceros grupos delincuentes.
  • Servicio Público de Empleo (SEPE)
    • Marzo / 2021
    • Disponibilidad: se bloquearon todos los sistemas informáticos del SEPE lo que obligó a suspender y retrasar las citas con los usuarios, y a atender con papel y bolígrafo a muchos solicitantes de empleo.
    • El ciberataque tuvo lugar con ransomware Ryuk, una de las familias de ransomware más prevalentes en los últimos años. Este ransomware fue distribuido a través de una botnet. El SEPE indicó que no se solicitó ningún rescate y que no se comprometieron datos de usuarios.
  • DGT
    • Marzo / 2021
    • Fraude / Phising: correo electrónico avisando al usuario de que tiene una multa pendiente de pago y puede ver la notificación desde un enlace que se incorpora en el cuerpo del mensaje. Al hacer clic en el enlace, se descarga malware en el teléfono.
    • Los ciberdelincuentes emplean las multas para que los usuarios se descarguen un software perjudicial. Si el individuo hace clic sobre ‘Acceso a Sede Electrónica’, accederá a un sitio web externo que suplanta la identidad de la DGT para iniciar la descarga de un archivo comprimido en formato ZIP. Con este ataque se pretende distribuir un tipo de malware Dropper que está diseñado para tomar el control del equipo de la víctima.
  • Consejería de Educación de Murcia
    • Marzo 2021
    • Intrusión: acceso a datos personales de los 37.500 docentes de la comunidad.
    • Varios profesores detectaron que sus cuentas bancarias habían sido modificadas en la plataforma online de la Consejería de Educación. Es posible que hasta los datos más sensibles hayan podido ser expuestos, pues dentro de la plataforma están también documentos como expedientes académicos, titulaciones, experiencia docente o notas de oposiciones. Actualmente, la AEPD está investigando el ciberataque.
  • Fedex, MRW y DHL
    • Enero / 2021
    • Fraude / Phising: envío de mensajes de texto con un enlace engañoso para que los usuarios se descarguen una app maliciosa.
    • En el ataque se usa el malware Flubot con mensajes de texto donde se indica «tu envío está en camino». De nosotros depende evitar caer en este tipo de trampas ignorando mensajes SMS no solicitados, revisando las webs a las que dirigen los enlaces incluidos, evitando descargar aplicaciones desde fuera de repositorios conocidos como Google Play y no dando más permisos de los necesarios a las aplicaciones que instalamos.

2020

Son muchos los casos de ciberataques de alto perfil que han llegado a los medios de comunicación a lo largo del año.

  • Zendal
    • Noviembre / 2020
    • Fraude / phising: Los ciberdelincuentes utilizaron la técnica de phishing para suplantar la identidad del jefe de la empresa.
    • La farmacéutica con sede en Vigo fue víctima de un ataque conocido como el CEO Scam. Con este método, un hacker, haciéndose pasar por el CEO, ordenó a un empleado del departamento financiero realizar una transferencia bancaria por la cantidad de 400.000 euros, en el marco de una operación confidencial para el desarrollo de una vacuna para Covid-19 con una compañía asiática. El departamento, confiando en que estaba obedeciendo las órdenes de la gerencia, repitió la operación varias veces. El resultado: una estafa de 9 millones de euros contra la empresa farmacéutica.
  • Real Madrid
    • Septiembre / 2020
    • Intrusión: acceso a información de carácter aparentemente sensible relativa a presupuestos, información personal e información privada de la entidad.
    • Se identificó el acceso a la red del Real Madrid desde una dirección IP desde la que no se suele acceder a dicho equipo.  Los informáticos detectaron dos accesos llevados a cabo mediante la cuenta de un usuario de la organización que se encontraba de vacaciones por lo que resultan sospechosos. El Real Madrid y las empresas que le prestan servicios de ciberseguridad tomaron varias acciones urgentes: reiniciar las credenciales de los usuarios comprometidos, establecer medidas para no permitir el uso de herramientas que permitan la autenticación en sistemas remotos sin requerir la introducción de credenciales, y bloquear el uso de determinadas plataformas.
  •  Adeslas
    • Septiembre / 2020
    • Disponibilidad:  Sistemas informáticos, como los que gestionan las autorizaciones de pruebas médicas y las pólizas de los usuarios, dejaron de funcionar de un día para otro.
    • Sus sistemas informáticos se paralizaron durante 6 semanas de un día para otro debido al ransomware. Oficialmente, la empresa garantiza que no ha pagado ningún rescate y que ninguna información sensible está en poder de los cibercriminales.
  • Hospital Moisès Broggi
    • Septiembre / 2020
    • Disponibilidad: El virus usado en este ataque es un programa malicioso de rescate, conocido como ransomware. Este virus encripta el ordenador secuestrado de manera que la víctima solo puede acceder a sus datos si introduce una contraseña que los hackers le proporcionan a cambio de un rescate.
    • El ataque afectó a sistemas secundarios como el de telefonía, el correo electrónico y las imágenes de radiología. Los piratas no pudieron acceder a datos confidenciales de pacientes y profesionales.
  • Vueling
    • Septiembre 2020
    • Intrusión: se dejaron al descubierto los datos de miles de empleados de los servicios de formación a distancia de la empresa.
    • La vulnerabilidad informática permitió a un grupo de ciberdelincuentes inyectar código malicioso en programas informáticos que les permitía modificar el comportamiento de determinados servicios para acceder a bases de datos y robar información a miles de usuarios. Este tipo de fallos de seguridad (SQL Injection) permite a los ciberdelincuentes inyectar líneas de código malicioso en programas informáticos. El objetivo es modificar el comportamiento de determinados servicios para acceder a bases de datos y robar información de usuarios.
  • Mapfre
    • Agosto / 2020
    • Disponibilidad: los trabajadores de la aseguradora no han podido encender sus dispositivos con normalidad y la empresa ha ordenado que eviten cualquier conexión.
    • También debido al ransomware, tuvo que dejar al 90% de su personal sin poder trabajar durante varios días debido a una paralización de sus servidores.
  • Adif
    • Julio / 2020
    • Intrusión: los ciberdelincuentes robaron 800 GB en datos a Adif, la empresa pública española que gestiona y explota la red ferroviaria.
    • El ciberataque fue obra de REvil, una banda de ciberdelincuentes que utiliza un ransomware también llamado Sodinokibi. El ciberataque fue controlado por los servicios internos de seguridad. En ningún momento se ha visto afectada la infraestructura, garantizándose siempre el buen funcionamiento de todos sus servicios.
  • Decathlon
    • Febrero / 2020
    • Intrusión: quedaban expuestos más de 123 millones de datos de los usuarios que se habían registrado en la web de la empresa.
    • La filtración de datos ha afectado a un servidor que usaba Decathlon España. La suma de todos los datos extraidos por los ciberdelincuentes llega a 9GB de datos que incluyen datos muy sensibles. La empresa declaró que ningún dato personal de clientes como contraseñas, números de tarjeta, etc, se han visto afectados.