Semana prolífica en ciberataques que, según el análisis realizado por Hackmanac, que rastrea del 26 de marzo al 1 de abril, acumula un total de 457 ciberataques en 45 países, lo que refleja un repunte significativo en la actividad maliciosa a nivel global.
El grupo más activo, según dicho estudio, ha sido una vez más NoName057(16), con 88 ataques, seguido por Red Wolf Cyber (43) y SafePay (31). Otros grupos relevantes han sido Keymous+, Akira y Dark Storm Team, que también estuvieron detrás de múltiples incidentes.
Desde el punto de vista geográfico, Estados Unidos ha sido el país más afectado, con 121 ataques, seguido por Bélgica (63), Israel (34) y Ucrania (28). También se han reportado ataques destacados en Turquía, Alemania, Canadá, Francia, Reino Unido, Camerún e India.
En cuanto a los sectores más golpeados, Gobierno, Fuerzas Armadas y agencias de seguridad lideran una semana más la lista con 67 ataques, lo que sugiere una creciente preocupación por el espionaje y sabotaje digital.
Les siguen los sectores de profesional/científico/técnico (46), manufactura (45) y servicios financieros y seguros (38), todos considerados como infraestructuras críticas para el funcionamiento económico de los países. También se han visto afectados los sectores de noticias, TIC, salud, transporte y comercio minorista.
Un panorama que pone de manifiesto una semana más, la sofisticación y persistencia de los grupos de amenazas, que no solo actúan por motivos económicos, sino también políticos y estratégicos. Las motivaciones de muchos de estos actores incluyen la desestabilización institucional, la obtención de datos sensibles y el chantaje económico mediante ransomware.
En lo referente a las víctimas predilectas del "campeón" semanal de los cibermalos, NoName057, vuelve ser el suelo digital europeo sobre el que más ataques afirma ha vertido, en especial el de la capital de la Unión Europea, Bélgica. Entre otros, allí ha atacado al grupo bancario franco-belga Dexia, al grupo bancario Belfius, a Brupartners (Economic and Social Council of the Brussels-Capital Region), al Portal de Negocios Belga (Belgium Business Portal), al Instituto Belga de Servicios Postales y Telecomunicaciones, a la Agencia Valona de Exportaciones e Inversiones Extranjeras, la Zona de Bajas Emisiones de Bruselas (LEZ), o la Organización Europea de Puertos Marítimos o (ESPO), entre otros.
Ucrania, como es de prever, también es otro de los objetivos que este grupo proruso tiene entre ceja y ceja. En este sentido, entre los ataques registrados a este país se encuentran los perpretrados a varios de los llamados Comités de la Verkhovna Rada, que trabajan para la implementación de la legislación en campos especializados, la preparación y revisión preliminar de cuestiones atribuidas a la autoridad, así como para realizar funciones de control; al Ministerio de Defensa, al Ministerio de Educación y Ciencia o a la Agencia Espacial Estatal.
Otros ataques llamativos
Más allá de lo recogido por Hackmanac, en los últimos días otros actores de amenazas también se han apuntado otros ataques, como Dot Cum, que se atribuye los datos de más de 665.000 archivos pdfs con información clínica procedente de 30 clínicas en Argentina; el grupo Arabian Ghosts que afirma haber entrado en el website de las Fuerzas Armadas de Hungría, o Dark Storm Team, que dice haber hecho lo propio con la web del gestor de contraseñas LastPass. También es relevante la acción de un actor de amenazas que opera bajo el alias GHNA, el cual ha aprovechado unas credenciales robadas comprometidas en 2021 de Samsung para hacer una filtración de datos personales relativa a más de 270.000 clientes de la compañía.
También resulta interesante el anuncio de alianzas entres grupos de ciberdelincuentes, como las que han establecido Keymous y Anonsec, quienes últimamente han apuntado contra objetivos de Bélgica, Francia, Iraq, Camerún, Estados Unidos y Estonia; o las que han sellado NoName y AnonSec, responsables de ataques a organismos de países como Israel, Bélgica, España, Ucrania y Suecia.
Lo hemos ido contando en Escudo Digital
En estos últimos días en estas páginas hemos ido informando de otros ataques o de tentativas, del nacimiento de nuevos grupos, o de informaciones relativas a ciberseguridad entre las que también aprovechamos para repasar algunos casos:
- Una operación internacional cierra la plataforma de pornografía infantil Kidflix
- "La ciberseguridad debe tratarse como una cuestión estratégica a nivel europeo"
- El malware Triada está de vuelta y viene preinstalado en teléfonos Android
- Pagos sin contacto: alerta, ataques a tecnología NFC y RFID
- Extorsión a youtubers: propagan malware de minería cripto
- Empresas de España y Portugal: 1.919 ciberataques por semana
- Detienen al hacker Aubrey Cottle, una de las figuras clave de Anonymous
- Una app de servicios a domicilio expone millones datos personales de sus usuarios
- Declaración de la renta: cuidado con los ciberfraudes
- Los hackers chinos FamousSparrow regresan y ponen en su foco a Norteamérica
- Rusia detiene a tres individuos sospechosos de crear el malware Mamont
El caso español: El Corte Inglés, DNI digital...
En el caso de España, en estos últimos días podemos destacar tres casos. El primero de ellos el que tuvo lugar en distintos centros de El Corte Inglés, en los cuales el pasado sábado la megafonía empezó súbitamente a animar a los clientes a robar todo lo que quisieran. Este caso ha dejado abiertas algunas preguntas en el aire a las que hemos tratado de responder en Escudo Digital, como si se puede sancionar a dicha compañía por el hackeo a su proveedor de megafonía o hasta qué punto son vulnerables loss centros de datos de la compañía presidida por Marta Álvarez.
Por su parte, el lanzamiento del nuevo DNI digital ha activado la creatividad de los ladrones de credenciales, quienes han puesto a disposición de los ciudadanos distintas Apps similares a la oficial del Ministerio del Interior con el fin de engañar a quienes las descarguen por error y así obtener sus datos.
🇪🇸Spain - We’re seeing many users in Spain reporting this app as malicious.
— HackManac (@H4ckManac) April 2, 2025
Can any Spanish friends confirm or deny? pic.twitter.com/j4UOIROolO
El tercer caso llamativo esta semana es el posible ataque -a cierre de esta noticia no está confirmado ni desmentido- a la energética Naturgy, de la que el actor de amenazas conocido como crocs dice disponer y haber puesto a la venta una base de datos compuesta por 2.5 millones de líneas de información con los nombres, dnis, IBAN, direcciones y correo electrónico de clientes.
Lo que afirman las empresas de ciberseguridad
Y una semana más, terminamos este resumen poniendo el foco en el otro lado de los cibermalos, es decir, en las empresas de ciberseguridad, que también en estos días han publicado algunos comunicados de los que extraemos estos:
La IA transforma el panorama de ciberseguridad en Iberia, pero también lo complica
El Security Report Iberia 2025 de Check Point Software revela un notable aumento en la frecuencia y sofisticación de los ciberataques en España y Portugal. En los últimos seis meses, las empresas en Iberia han sufrido una media de 1.919 ataques semanales, superando incluso la media global. Este crecimiento alarmante se debe en gran parte a la integración de la inteligencia artificial en las tácticas de los ciberdelincuentes, quienes ahora pueden generar ataques más rápidos, complejos y automatizados.
El informe destaca que los métodos tradicionales como el phishing y el ransomware no solo persisten, sino que evolucionan, volviéndose más difíciles de detectar. En 2024, España ocupó el octavo lugar mundial en incidentes de ransomware, con 106 casos. Los sectores más golpeados en la región fueron el educativo y el sanitario, debido a la sensibilidad de los datos que gestionan.
La IA, aunque representa un nuevo frente de amenazas, también se ha convertido en una herramienta esencial para la defensa. Según datos de Check Point y Vanson Bourne, entre el 97% y 99% de las empresas ya utilizan tecnologías basadas en IA, y muchas han adoptado IA generativa para fortalecer sus estrategias de ciberseguridad. Los copilotos de IA en los Centros de Operaciones de Seguridad están permitiendo una detección y respuesta más rápida ante incidentes.
Otro elemento relevante del informe es el impacto del nuevo reglamento europeo de inteligencia artificial (AI Act), que obliga a las empresas a cumplir con normas más estrictas de seguridad, ética y transparencia en el uso de estas tecnologías. Esto afectará especialmente a sectores críticos como salud, finanzas y administración pública.
En este escenario, el informe recomienda una estrategia de ciberseguridad integral basada en prevención, detección proactiva y soluciones unificadas como la plataforma Infinity de Check Point.
Linux bajo ataque: Aumentan los exploits y vulnerabilidades críticas según Kaspersky
El último informe de Kaspersky sobre "Exploits y vulnerabilidades en el cuarto trimestre de 2024" alerta sobre el crecimiento sostenido en el número de ataques dirigidos a sistemas operativos, en particular Linux, que se ha convertido en uno de los objetivos prioritarios de los ciberdelincuentes. El documento revela que los sistemas operativos representaron el 57,5% de los exploits de vulnerabilidades detectados durante el año, superando ampliamente a otras categorías como navegadores web o aplicaciones de oficina.
En el caso específico de Linux, el número de usuarios que enfrentaron exploits aumentó un 50% en el cuarto trimestre de 2024 comparado con el mismo periodo del año anterior. Esta tendencia confirma un cambio en el foco de los atacantes, quienes aprovechan tanto errores no corregidos como fallos de seguridad en sistemas críticos, especialmente en contextos empresariales y entornos corporativos.
Además, el informe destaca un repunte de las vulnerabilidades explotadas por Amenazas Persistentes Avanzadas (APT). Entre los tipos de software más vulnerables vuelven a figurar MS Office, soluciones de acceso remoto y plataformas de procesamiento de datos empresariales. Uno de los principales problemas identificados es la falta de aplicación oportuna de parches, que permite a los atacantes explotar rápidamente fallos conocidos.
En 2024 se registró también un aumento del 20% en los CVEs (Common Vulnerabilities and Exposures), pasando de 25.011 a 29.976, con una proporción constante de vulnerabilidades críticas. A pesar de la reducción de exploits de prueba de concepto, la sofisticación de los ataques sigue en aumento.
Kaspersky recomienda reforzar las estrategias de ciberseguridad mediante el monitoreo continuo de infraestructuras, la gestión automatizada de parches y la implementación de soluciones avanzadas de protección de endpoints, así como capacitar a los empleados y mantenerse informado con datos actualizados sobre amenazas. Estas acciones son clave para adelantarse a un panorama cada vez más desafiante.
Detectan criptominero oculto en juegos gratuitos: una amenaza silenciosa para gamers
El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha identificado una campaña masiva de ciberataques que afectó a miles de jugadores mediante versiones pirateadas de videojuegos populares distribuidas por páginas de torrents.
El ataque, iniciado en vísperas de Año Nuevo, introducía un criptominero oculto en los instaladores de juegos gratuitos como BeamNG.drive, Garry's Mod, Dyson Sphere Program o Universe Sandbox. El malware, diseñado para minar la criptomoneda Monero (XMR), se ejecutaba sin el conocimiento del usuario, aprovechando el rendimiento de los ordenadores de gaming.
Los atacantes utilizaron una cadena de infección sofisticada para evitar ser detectados. Al descomprimir y ejecutar los instaladores, el malware recopilaba información del sistema, como dirección IP y versión del sistema operativo, con el fin de adaptar su comportamiento según la ubicación del usuario.
Posteriormente, los equipos infectados recibían una orden remota para descargar y ejecutar una versión modificada de XMRig, un software legítimo de minería de Monero, utilizado aquí con fines maliciosos.
El ataque explotó el tráfico elevado en sitios de torrents durante las fiestas navideñas, momento en que muchos usuarios buscan juegos gratuitos. Según Kaspersky, la elección de gamers como blanco no fue casual: sus equipos suelen tener potente capacidad de procesamiento, lo que los convierte en objetivos ideales para la minería encubierta de criptomonedas.
Para evitar este tipo de amenazas, los expertos recomiendan descargar software únicamente desde fuentes confiables, mantener los sistemas actualizados y utilizar soluciones de seguridad robustas que detecten este tipo de malware. También destacan que la educación y la concienciación del usuario siguen siendo herramientas clave para evitar ser víctima de ataques cada vez más complejos y difíciles de rastrear.
Trend Micro advierte sobre nuevas amenazas de ingeniería social impulsadas por tecnologías emergentes
Trend Micro ha publicado un nuevo informe que anticipa cómo la evolución de la ingeniería social está siendo potenciada por tecnologías emergentes como la inteligencia artificial (IA), la realidad virtual (VR) y los dispositivos portátiles.
Estas herramientas, cada vez más integradas en la vida cotidiana, están siendo explotadas por los ciberdelincuentes para diseñar estafas hiperpersonalizadas y difíciles de detectar.
El informe destaca cómo técnicas tradicionales, como el phishing o las llamadas fraudulentas, están siendo reemplazadas por métodos más sofisticados que utilizan deepfakes, chatbots manipulados con IA, y fraudes basados en entornos digitales inmersivos. Los atacantes ahora pueden hacerse pasar por directivos en videollamadas, falsificar voces de familiares o simular escenarios de urgencia emocional para engañar a las víctimas.
Uno de los avances más inquietantes es el uso de la llamada “mentira previsible”, una técnica que aplica pruebas A/B para adaptar los ataques según las respuestas del usuario, aumentando la eficacia del engaño. Además, se señala el riesgo creciente de los dispositivos portátiles, como relojes inteligentes o gafas VR, que podrían ser utilizados para distribuir actualizaciones falsas y acceder a datos sensibles.
Trend Micro también advierte sobre los peligros de los códigos QR y enlaces maliciosos dentro de experiencias de realidad aumentada, así como de la manipulación de la información a través de IA.
ESET potencia la inteligencia de amenazas con IA y nuevos feeds para anticiparse a ciberataques complejos
ESET ha anunciado una ampliación significativa de sus capacidades de inteligencia de amenazas a partir de 2025, incorporando inteligencia artificial (IA) y una serie de nuevos feeds especializados. Esta evolución se da en un contexto donde los ciberataques son cada vez más frecuentes y sofisticados, lo que ha convertido la inteligencia de amenazas en una herramienta clave para la ciberseguridad empresarial.
El nuevo paquete de ESET Threat Intelligence (ETI) incluirá 15 feeds y 2 sub-feeds con información detallada sobre ransomware, APTs, amenazas en Android, botnets, URLs de phishing e indicadores de compromiso (IoCs). Estos feeds funcionan como flujos de información en tiempo real, entregando datos altamente específicos que permiten a los analistas de seguridad anticiparse a las amenazas antes de que se materialicen.
Más allá de la recopilación masiva de datos, ESET apuesta por un enfoque basado en el análisis contextual, que ayuda a identificar quién está detrás de una amenaza y cómo actúa, lo que permite evitar errores en la respuesta. La integración con bases de datos como MITRE ATT&CK o VirusTotal facilita una atribución más precisa de los ataques y una mejor toma de decisiones.