EL mes de febrero es el más corto del calendario pero, no por ello, se producen menos incidentes de ciberseguridad. Así lo hemos podido comprobar durante las últimas semanas con números casos acontecidos en territorio español, casos que van desde las típicas campañas de phishing que buscan robar credenciales a ataques dirigidos contra instituciones públicas y filtración de datos.
Las campañas que utilizan correos de phishing que se hacen pasar por empresas y organizaciones públicas se encontraron muy activas durante el mes pasado. Pudimos ver, por ejemplo, como los delincuentes volvían a suplantar la identidad de la Agencia Tributaria o incluso se hacían pasar por un ayuntamiento de Guadalajara para tratar de engañar a los usuarios para que descargasen muestras de los infostealer Agent Tesla y VIPKeylogger.
Otra amenaza que estuvo activa durante el mes pasado y que es observada tradicionalmente en varias regiones del mundo de habla hispana, regresó suplantando a empresa de energía. Estamos hablando del troyano bancario Grandoreiro, el cual ha ido adaptándose a lo largo de los años, incluyendo algunas novedades en su código y cadena de infección pero que sigue con la finalidad de robar, principalmente, credenciales de acceso a banca online.
El phishing más tradicional también se adapta con el tiempo y, aunque las técnicas siguen siendo muy parecidas a las observadas desde hace tiempo, a día de hoy los delincuentes resultan especialmente convincentes, tanto en la elaboración de sus correos engañosos como en las webs que usan para suplantar a las originales.
Lo hemos podido comprobar, por ejemplo, con dos campañas recientes que suplantaban la identidad de las entidades Abanca e ING y, que mediante el envío de correos electrónicos donde se indicaba algún tipo de error o restricción en la cuenta bancaria, invitaba a los usuarios a acceder a unas webs que replicaban al detalle el aspecto de las originales. Una vez en esos sitios webs, se solicitan tanto las credenciales de acceso como los códigos de autenticación de doble factor.
Precisamente el INCIBE comunicaba en febrero que, durante 2025, llegó a gestionar un total de 122.223 incidentes de seguridad en España, siendo la banca el sector afectado. No abandonamos esta entidad ya que, a finales de mes aparecieron informaciones que apuntarían a un supuesto hackeo de la misma, con la consecuente filtración de datos de sus empleados, algo que fue desmentido poco después.
No fue el único organismo oficial que se vio envuelto en un incidente similar ya que, a lo largo del mes pasado aparecieron varias publicaciones en foros donde se suele compartir información filtrada o robada que apuntaban a supuestos ciberataques sufridos tanto por el Ministerio de Hacienda como el Ministerio de Ciencia. Estas noticias se deben tomar siempre con cautela ya que no siempre se trata de ciberataques exitosos y, en demasiadas ocasiones, estamos solamente ante una recopilación de datos ya conocidos que se han filtrado previamente.
Los incidentes protagonizados por grupos hacktivistas rusos han seguido produciéndose durante las últimas semanas, principalmente con ataques de denegación de servicio distribuido contra webs gubernamentales y de servicios públicos de todo tipo. También se publicitó una supuesta campaña contra el sector energético español aunque, como en los casos anteriores, estas tuvieron poco o ningún impacto más allá de alguna web caída durante poco tiempo.
Tampoco las Fuerzas y Cuerpos de Seguridad del Estado han estado quietos, realizando numerosas acciones contra el cibercrimen que van desde alertar sobre la proliferación del timo 419 a través de WhatsApp hasta la detención de cibercriminales como el joven que realizaba reservas en hoteles de lujo a su nombre por un céntimo, la detención de los integrantes del grupo hacktivista Anonymous Fenix o la desarticulación de una red de mulas bancarias.
Por parte de ESET, además de la continua monitorización de las campañas cibercriminales y de grupos APT, el pasado mes de febrero investigadores de ESET Research descubrieron PromptSpy, un malware para Android que es el primero conocido en abusar de la IA generativa como parte de su flujo de ejecución. A pesar de que todo apunta a que se trata de una prueba de concepto, se han detectado las primeras campañas dirigidas principalmente a usuarios en Argentina a través de una app llamada MorganArg.