Durante el pasado mes de abril analizamos numerosas campañas de fraude y ciberataques con características comunes tales como aprovecharse de la confianza y las rutinas de los usuarios y la suplantación de servicios y empresas de reconocido prestigio para conseguir nuevas víctimas. Entre las amenazas más destacadas durante las últimas semanas encontramos el fraude bancario, ya sea mediante malware dirigido a dispositivos móviles o el más tradicional correo de phishing con fichero adjunto malicioso, sin olvidarnos de las campañas relacionadas con el inicio de la campaña de la Renta.
Una de las noticias relacionadas con ciberamenazas más relevantes de abril fue el descubrimiento de campañas en España de NGate, un malware diseñado para robar datos de tarjetas mediante un uso malicioso del NFC del móvil, la tecnología detrás de los pagos sin contacto.
Este engaño implica la instalación de apps fraudulentas desde sitios no oficiales que suelen suplantar entidades bancarias o comercios de reconocido prestigio. Estas apps contienen código malicioso y muestran a la víctima mensajes donde se pide acercar la tarjeta al teléfono para una supuesta verificación. En ese momento, los atacantes capturan la información de la tarjeta, la redirigen a otro dispositivo controlado por ellos y la utilizan para realizar compras no autorizadas o incluso retiradas de efectivo en cajeros automáticos.
Otros métodos más tradicionales, como los usados por los troyanos bancarios con origen en Latinoamérica siguieron propagándose por nuestro territorio. Entre las muestras analizadas encontramos casos donde los delincuentes utilizaban supuestas citaciones judiciales electrónicas para que los usuarios pulsaran sobre un enlace o escanearan un QR, acción que terminaba descargando una variante del troyano Casbaneiro en el sistema.
Los correos fraudulentos que utilizan como gancho la campaña de la Renta 2025, que comenzó el pasado 8 de abril, fueron utilizados por grupos de ciberdelincuentes para enviar comunicaciones haciéndose pasar por la Agencia Tributaria. Estos mensajes simulan trámites con esta agencia como devoluciones, avisos urgentes o incidencias en la declaración, con enlaces que terminan descargando malware con la intención de obtener datos personales, credenciales de todo tipo o información bancaria.
Un ejemplo de estas campañas la protagonizó el ladrón de información Formbook, el cual usaba como gancho un correo fraudulento que decía estar remitido por la Agencia Tributaria. Tras descargar y ejecutar el fichero adjunto, la víctima comprometía su sistema con este infostealer, el cual pasaba a recopilar todo tipo de información confidencial, incluyendo credenciales y tarjetas de crédito almacenadas en navegadores.
En lo que respecta a filtraciones y robo de datos sufridos por empresas, del mes pasado destacamos el incidente de Booking. La empresa reconoció que terceros sin autorización lograron acceder a información relacionada con las reservas de algunos usuarios, por lo que se procedió a cambiar los números PIN asociados con algunas reservas. Con la información obtenida, es posible que los atacantes puedan enviar mensajes más creíbles a los usuarios y hacerse pasar por la propia plataforma o por hoteles asociados.
En España, a finales de mes conocimos la filtración de datos sufrida por uno de los proveedores de la compañía de distribución energética Naturgy. Esta empresa comunicó el incidente a la AEPD, asegurando que entre los datos filtrados no se encontraría información relacionada con las credenciales de acceso al Área Cliente de Naturgy.
Una de las empresas más destacadas del panorama relacionado con la inteligencia artificial actualmente como es Anthropic fue protagonista destacado en abril por varios motivos. Por un lado sufrió la fuga de código de uno de sus productos estrella, Claude Code, exponiendo la arquitectura de esta herramienta y habilitando posibles escenarios de jailbreak, creación de clones maliciosos e incluso amenazas a la cadena de suministro.
Por otro lado, la presentación de Claude Mythos, el modelo más avanzado desarrollado por la empresa hasta la fecha supuso toda una revolución al desvelarse sus capacidades para encontrar una elevada cantidad de vulnerabilidades y exploits en sistemas y software de todo tipo. A pesar del revuelo causado, aún quedan muchas dudas por resolver al respecto, como el coste de descubrir tantos agujeros de seguridad su impacto real en la ciberseguridad o las comparativas frente a otros competidores similares.
En el terreno del espionaje digital, ESET mostró los resultados de las investigaciones relacionadas con el grupo GopherWhisper, un actor de amenazas alineado con China que usó servicios legítimos como Discord, Slack, Microsoft 365 Outlook y file.io para comunicarse y obtener información robada. En lugar de depender solo de herramientas propias, el grupo se apoyó en plataformas muy conocidas para ocultar su actividad, siendo su objetivo principal una entidad gubernamental en Mongolia.
Esta amenaza es especialmente relevante porque vuelve a demostrar que los ciberdelincuentes pueden esconderse dentro de servicios y aplicaciones comunes, difíciles de bloquear sin que afecten al trabajo diario. En este caso, los atacantes usaron mensajes y canales aparentemente corrientes para enviar órdenes a sus programas maliciosos y recibir los resultados. Es una nueva señal de que la línea entre herramientas de trabajo y herramientas de ataque puede volverse muy difusa.
En el terreno de las vulnerabilidades el mes pasado se descubrió Copy Fail, una vulnerabilidad del kernel de Linux que permite a un usuario local sin privilegios llegar a obtener permisos de administrador. Este fallo aprovecha un error en una parte del sistema relacionada con operaciones criptográficas para modificar en memoria pequeños fragmentos de archivos que el sistema está usando, aunque el archivo original del disco no cambie. Eso hace posible alterar un programa sensible y ejecutarlo con los permisos máximos, algo especialmente peligroso en servidores, contenedores y equipos donde varias aplicaciones comparten el mismo sistema. Aparentemente, el problema afectaría a muchas distribuciones de Linux desde 2017 y se considera especialmente grave porque no requiere de excesiva complejidad para que resulte exitoso.
En conjunto, abril volvió a poner de manifiesto que las amenazas más eficaces no tienen por que ser las más complejas, sino las que mejor pueden hacerse pasar por algo a lo que estemos acostumbrados. Los estafadores siguen buscando que la víctima actúe rápido, confíe sin comprobar previamente y entregue por sí misma la información que luego será usada en su contra. Por eso, la información, la calma y la verificación por canales oficiales siguen siendo las claves básicas para reducir el riesgo.