Semana “movidita” en lo referente a ciberseguridad, en la que el número de ciberataques sigue en aumento y en la que, si tomamos como referencia al análisis realizado por hackmanac hasta el 25 de marzo (este análisis compara del 19 al 25), se produjeron casi doscientos ataques más (574) respecto a la anterior semana en 54 países diferentes.
Entre los actores de amenazas más activos destaca una semana más el grupo prorruso NoName057, que ha reivindicado nada menos que 135 ciberataques. También esta semana le siguen los hackers norteafricanos Keymous+, con 48, y en tercer lugar está RansomHub, con 42.
Por países, siguiendo con lo recogido por esta publicación hasta el pasado martes, España ha abandonado las primeras posiciones tras dos semanas en las que se había convertido en uno de los principales objetivos de las bandas prorrusas por el apoyo manifestado a Ucrania de nuestro gobierno, y se han alzado a los primeros lugares Estados Unidos, con el 20,9% de los ataques, seguido de Taiwán e Israel, con 100 y 85 ataques registrados, respectivamente.
En lo referente a los sectores afectados, nada cambia en el Top 3 de este oscuro listado que encabeza de nuevo el que incluye a Gobierno/Militar/Aplicación de la ley, con el 31,9% del total de ataques (183), seguido del sector manufacturero, que sufrió 53 ataques, lo que evidencia un alto interés por parte de los ciberdelincuentes en afectar cadenas de producción y distribución, y por el sector financiero y de seguros, con 40.
NoName057 “is living a celebration” con Europa
Haciendo un repaso a las víctimas predilectas de los principales ciberatacantes, llama la atención que NoName057 tenga el radar tan fijado en objetivos europeos, con especial énfasis en Bélgica, Dinamarca e Italia.
En el primero de estos dos países ha atacado al Parlamento de Valonia (una de las tres regiones que componen Bélgica), al Instituto de Estadística y Análisis de Bruselas (Brussels Institute for Statistics and Analysis), a la Federación Valonia- Bruselas (institución al servicio de los francófonos de Bruselas y Valonia), al Ministerio de Asuntos Exteriores y Cooperación Internacional, o a CityDev Brussels, una organización que ofrece localizaciones y soluciones de negocios a las compañías en la capital europea.
En lo referente a Dinamarca, NoName057 ha focalizado sus ciberataques en organismos de ciudades como Aarhus, Odense y Horsens. Y en el caso de Italia, instituciones como el Ministerio de Infraestructuras y Transporte; Siena Mobilità, consorcio que se ocupa del servicio de transporte público urbano de esta zona; el Gruppo Torinese Trasporti, corporación de utilidad pública responsable del transporte público en varias provincias; o los aeropuertos milaneses de Malpensa y el Internacional Enrico Forlanini, han vivido en primera persona las acometidas de los hackers.
Mención aparte merece la fijación -nada soprendente- que este grupo tiene con Ucrania, país con el que se muestra especialmente hostil. Así, en los últimos días ha atacado, entre otros, a las energéticas Odessagas y OOEK, las aseguradoras ASKA Life, Group TAS o a la Ukrainian Agro-Insurance Company, así como a las cámaras de comercio e industria de Odessa, de Jarkiv, de la ciudad de Sumy, o a las webs de SK RESPECT, TAS Insurance Group o de la Compañía de Seguros Agrarios del país.
🚨DDoS Alert:
— FalconFeeds.io (@FalconFeedsio) March 28, 2025
NoName claims to have targeted multiple websites in Ukraine.
- SK RESPECT
- TAS Insurance Group
- Agrarian Insurance Company Ukrainian pic.twitter.com/M9KSsS0Ma9
El idilio que mantienen el presidente ruso, Vladimir Putin, con el mandatario estadounidense, Donald Trump podría explicar buena parte de la estrategia del grupo de ciberdelincuentes prorruso durante los últimos días en suelo europeo (fuera, organizaciones de Taiwán y Taipéi también han sufrido sus acciones delictivas).
Una “macedonia” de ataques
Más allá del informe semanal que ofrece hackmanac, y que como decíamos, en su última edición cubría hasta el pasado martes, día 25, durante el último tramo de la semana la actividad ha continuado siendo muy relevante.
Así, en estos últimos días diversos grupos de hackers han publicado en sus espacios de la dark web ataques que supuestamente han realizado (lo que no quiere decir que estén confirmados) que afectan a sectores y a empresas de distinto tamaño. Por citar solo algunos destacamos el ataque que ha podido afectar a la energética india PetroERP; los ataques a la surcoreana PHA Body Systems o la italiana Bassi Gianfranco, ambas especializadas en el sector del automóvil, atribuidos a RansomHub Ransomware, o el que se apunta el grupo Sylhet Gang-SG en relación con el website del aeropuerto internacional de Atlanta Hartsfield-Jackson. En el ámbito aeroportuario, también el grupo Dark Storm afirma haber atacado con éxito la website del Aeropuerto Internacional de Los Ángeles.
También en estos últimos días el sector sanitario ha sufrido una relevante actividad maliciosa. O al menos eso dan a entender los cibermalos, quienes se han atribuido ataques como a la francesa Agakam, proveedora de profesionales sanitarios, que podría haber sido víctima del ransomware Quilin; el proveedor estadounidense de tratamientos para la alergia ENT and Allergy Associates reivindicado por Abyss ransomware, grupo que también afirma haberse hecho con cuantiosa información del proveedor sanitario alemán Wieso Cert GmbH; el grupo Akira, que manifiesta haber robado datos de empleados y clientes, así como informes médicos, de la cadena de ópticas austriacas United Optics GmbH, o el grupo de ransomware Kill Security, que dice haber robado información confidencial de la farmacéutica india Lupin Limited.
Lo hemos ido contando en Escudo Digital
En estos últimos días en estas páginas hemos ido informando de otros ataques o de tentativas, del nacimiento de nuevos grupos, o de informaciones relativas a ciberseguridad entre las que también aprovechamos para repasar algunos casos:
- Nuevas evidencias apuntan a que Oracle Cloud sí fue hackeada
- Los cibermalos también 'tocan los huevos'
- Alertan de un nuevo ransomware como servicio llamado VanHelsing
- Una brecha de datos en un aplicación de stalkerware afecta a 2 millones de usuarios
- Los cibermalos se hacen pasar por Booking para engañar a los hosteleros
En lo referente a España también hemos estado pendiente de otros ataques, como el que HellCat ha perpetrado al Grupo Santillana, o los dos supuestos robos de información que dos actores de amenazas (AgencyInt y Babuk) afirmaron haber realizado a las energéticas Endesa e Iberdrola, los cuales al cabo de las horas fueron desmentidos a Escudo Digital.
También en nuestro país se han producido otros avisos en las últimas horas. Por ejemplo, el actor de amenazas conocido como Sorb se ha jactado de haber conseguido 273.000 contactos de teléfono, 169.000 direcciones de email y 19.000 carnets de identidad de Clínicas Cirugía Plástica, o el grupo RALord se ha atribuido el ataque a Pere Claver Grup, al que alega haber exfiltrado 5GB de datos que incluyen informes médicos, credenciales y otros archivos.
Lo que afirman las empresas de ciberseguridad
Y terminamos este resumen poniendo el foco en el otro lado de los cibermalos, es decir, en las empresas de ciberseguridad, que también en estos días han publicado algunos comunicados de los que extraemos estos:
ESET ha publicado en uno de estos comunicados que el 38% de las pérdidas por estafas ya están vinculadas a la Inteligencia Artificial. “Entre las principales amenazas, la omisión de los controles de conocimiento del cliente (KYC) permite a los estafadores acumular crédito de manera fraudulenta y vaciar cuentas legítimas. Además, la infiltración de empleados falsos representa un riesgo grave para la seguridad corporativa, ya que facilita el robo de propiedad intelectual e información regulada, generando problemas de cumplimiento y posibles sanciones”, señala Josep Albors, director de investigación y concienciación de dicha compañía.
Por su parte, Check Point ha alertado sobre el peligro de tener muchas pestañas abiertas de internet por culpa del Tabnabbing, técnica avanzada de phishing que engaña a los usuarios mientras navegan por la red y que permite a los ciberdelincuentes modificar pestañas inactivas del navegador para suplantar sitios web legítimos y robar credenciales de acceso, datos bancarios e información personal sin que la víctima lo perciba.
Bitdefender ha hecho pública una investigación sobre una nueva campaña de ciberdelincuencia que aún está activa y que se aprovecha de la existencia de cientos de aplicaciones maliciosas alojadas en Google Play. Más concretamente, se han descubierto 331 aplicaciones maliciosas que, en su conjunto, han sido descargadas unos 60 millones de veces. Al finalizar esta investigación 15 de estas aplicaciones seguían disponibles.
Según esta compañía, los ciberdelincuentes han encontrado una forma de eludir las medidas de seguridad de Android y utilizan diferentes técnicas para mantenerse ocultos en los dispositivos una vez que estas aplicaciones han sido descargadas. Además, estas aplicaciones pueden iniciarse sin la interacción del usuario, algo que, en teoría, no debería ser técnicamente posible en Android 13.
En lo que se refiere a Kaspersky, también ha informado que su equipo de Investigación y Análisis Global (GReAT) ha descubierto una campaña de malware oculta en cientos de repositorios de código abierto dirigida a jugadores y criptoinversores, denominada GitVenom. Los proyectos infectados, que simulaban ser herramientas para Instagram, Bitcoin y Valorant, en realidad servían para robar datos personales y bancarios, además de secuestrar direcciones de criptomonedas en el portapapeles. Como resultado, los ciberdelincuentes lograron sustraer 5 Bitcoins (unos 485.000 dólares, es decir, 447.000 euros aproximadamente).
Trend Micro ha reunido a expertos en ciberseguridad de distintos sectores del tejido empresarial español en un evento exclusivo, al que han acudido más de 200 personas de la comunidad de canal, para debatir y explorar las estrategias y soluciones de cara a enfrentar los desafíos de la ciberseguridad actuales. Entre estos participantes se encontraban empresas como Indra, Mapfre, Moeve o Viajes El Corte Inglés, que han coincidido en advertir en la necesidad de un cambio de paradigma para abordar los desafíos de ciberseguridad durante 2025.
Por último, entre CyberArk ha emitido un comunicado en el que Yuval Moss, vicepresidente de soluciones para socios estratégicos globales de la compañía, detalla cinco controles clave para proteger la infraestructura de la IA Generativa. Estos serían:
- Protección de APIs y modelos de IA: Las interfaces de programación y los modelos de aprendizaje profundo son puertas de entrada a los sistemas GenAI y requieren medidas de seguridad avanzadas para evitar ataques de inyección o filtración de datos.
- Seguridad de datos empresariales: Las empresas entrenan sus modelos GenAI con datos internos que pueden contener información sensible. Protegerlos es clave para evitar accesos no autorizados.
- Entornos de implementación seguros: Ya sea en la nube o en instalaciones propias, la seguridad de la identidad de los entornos donde se ejecutan las aplicaciones GenAI es fundamental para prevenir brechas.
- Implementar privilegios permanentes cero (ZSP) ayuda a garantizar que los usuarios solo puedan acceder a los datos y asumir funciones específicas cuando sea necesario. En áreas donde ZSP no es una opción, se deberá implementar un acceso con privilegios mínimos para reducir la superficie de ataque, en caso de que el usuario se vea comprometido.
- Monitorización y auditoría centralizadas: La supervisión continua de todas las identidades, humanas y de máquina, permite detectar y mitigar amenazas en tiempo real.
En unos días volveremos con un nuevo repaso semanal de la actualidad en ciberseguridad.