Ciberataques en España: Impacto y vectores de entrada usados por los delincuentes

Si echamos la vista atrasa este 2023 que ya está en su recta final comprobaremos como los principales ciberataques sufridos en España durante 2023 se han producido a gracias a que los atacantes han podido aprovecharse de sistemas mal configurados, desactualizados y, sobre todo, por la utilización de credenciales robadas, filtradas previamente y/o probadas al azar en ataques de fuerza bruta.

Vectores de ataque usados por los delincuentes

El uso de infostealers o ladrones de información se ha convertido en algo habitual y, constantemente, vemos como se lanzan campañas dirigidas a empresas españolas con la finalidad de robar credenciales almacenadas en todo tipo de aplicaciones de uso cotidiano como navegadores de intenet o clientes de correo. Estas credenciales son posteriormente usadas en varios tipos de ciberataques o estafas, ya sea por los mismos delincuentes que las robaron o por otros grupos que las adquirieron.

Estas campañas de robo de contraseñas suelen realizarse mediante correos electrónicos que contienen enlaces o ficheros adjuntos maliciosos con extensiones de todo tipo. Mediante el phishing o suplantación de identidad se consigue que la víctima introduzca datos como las contraseñas de su cuenta de correo electrónico o descargue y ejecute un código malicioso que se encargará de recopilarlas.

Para conseguir su objetivo, los atacantes pueden hacerse pasar por responsables de sistemas de la propia empresa, indicando que las contraseñas de la victima caducarán pronto y que debe generar unas nuevas en un portal falso. Tampoco es extraño ver como suplantan organismos oficiales como la Agencia Tributaria o incluso las Fuerzas de Seguridad del Estado para conseguir estos objetivos.

No debemos olvidar que, además de tratar de robar credenciales, los delincuentes también pueden usar algunas de las millones que se han filtrado tanto en 2023 como en años anteriores. Es muy probable que muchos usuarios repitan credenciales en varios servicios, ya sean de uso personal como profesional y los delincuentes prueben a usarlas para acceder a servicios críticos como el email y las redes corporativas.

Una vez con estas credenciales en su poder, los atacantes pueden, por ejemplo, interceptar correos electrónicos que envía y recibe la víctima para, en caso de detectar alguna factura o transferencia pendiente, modificar la cuenta donde se hace el ingreso para que este se realice a su favor en lugar de al destinatario legítimo. Es lo que se conoce en inglés como ataques BEC o de compromiso del email corporativo, aunque también se le conoce como “Fraude del Ceo” por las técnicas usadas inicialmente por los delincuentes donde se hacían pasar por un alto directivo para conseguir sus objetivos.

La explotación de numerosas vulnerabilidades también está a la orden del día en lo que se refiere a ciberataques en España, principalmente aquellas que permitan acceder a servicios expuestos online y a la infraestructura interna de una empresa, más concretamente a su información confidencial. Las vulnerabilidades más utilizadas por los atacantes han sido aquellas que afectan a servicios vulnerables, aplicaciones vulnerables y software vulnerable usado en las empresas.

Incidentes de ciberseguridad en España

Conociendo cuales son los principales vectores de ataques usados en ciberataques en España durante 2023 podemos deducir que los datos corporativos son el objetivo principal de los ciberdelincuentes. El robo de estos datos puede venir, o no, acompañado de su posterior cifrado y solicitud de rescate, lo que conocemos comúnmente como ransomware. En este punto cabe destacar la actividad que el ransomware Lockbit ha tenido durante 2023, no solo en España sino alrededor del mundo, siendo la amenaza de este tipo que más han utilizado los ciberdelincuentes. Aun así, Lockbit no ha sido la única familia de ransomware que ha protagonizado incidentes destacados en España y, aunque este tipo de ciberataques suelen copar titulares no son, ni por asomo, el tipo de ciberataques más abundantes en nuestro país.

Tampoco debemos olvidar aquellos incidentes en los que no se cifra la información pero si que se sustrae, información que puede ser publicada, o no, posteriormente. En esta categoría entrarían incidentes sufridos tanto por empresas privadas como por algunos organismos oficiales, con datos que suelen incluir información personal de usuarios y ciudadanos e incluso, en algunos casos, datos de tarjetas de crédito.

En otras categorías de ciberataques destacados encontramos los relacionados con la denegación de servicio, responsables de dejar inaccesibles varios sitios webs, y que acontecieron en los días posteriores a la celebración de elecciones generales el 23 de julio. En esta categoría incluimos los ataques que afectaron a webs gubernamentales, webs de empresas de telecomunicaciones, o incluso de medios de comunicación. Estos ciberataques fueron ejecutados por el grupo hacktivista pro-ruso NoName057, especializado en la realización de ataques DDoS contra objetivos contrarios a los intereses de Rusia.

Conclusión

Con estos antecedentes y con un numero creciente de ciberataques es importante que tanto empresas como usuarios aprendan a reconocer las amenazas que les pueden afectar, su funcionamiento y como protegerse, además de contar con soluciones de seguridad que sean capaces de detectarlas a tiempo y evitar así que terminemos siendo víctimas de los delincuentes.

Josep Albors

Cerrando la brecha de género: 7 maneras de atraer a más mujeres en la ciberseguridad