Marzo ha sido un mes marcado por el conflicto en el Golfo Pérsico y las consecuencias geopolíticas, económicas y también a nivel de ciberincidentes que esta guerra ha conllevado. No obstante, en España el alcance de estas campañas motivadas por la guerra entre Estados Unidos e Israel contra Irán no ha sido significativo y lo que más hemos observado en nuestro país son campañas más tradicionales y el retorno de viejos conocidos.
Durante las últimas semanas hemos observado y analizado numerosas campañas de suplantación de identidad que se han hecho pasar por varios organismos oficiales. Uno de los casos ciudadanos usaba un correo electrónico como vector de propagación y suplantaba la identidad de la aplicación gubernamental “Mi Carpeta Ciudadana”. La finalidad de los delincuentes no era otra que la de convencer a sus víctimas para que pulsasen sobre un enlace y accediesen a una web fraudulenta que simulaba ser la original y robarle así los datos personales y de acceso a la banca online.
Tampoco se libró de la suplantación por parte de los ciberdelincuentes FACE, el punto general de entrada de facturas electrónicas de la Administración General del Estado, Mediante otro correo electrónico se indicaba a los usuarios que había una factura pendiente de revisión. Sin embargo, en lugar de la supuesta factura, lo que se descargaba era una amenaza especializada en el robo de información.
Las clientes de empresas de telecomunicaciones como Movistar también fueron objetivo de los ciberdelincuentes con un email que simulaba ser una factura de su compañía, una estrategia usada repetidamente pero que sigue funcionando razonablemente bien para conseguir nuevas víctimas. Este correo invitaba a la descarga de un fichero desde un dominio controlado por los atacantes, fichero que contenía una muestra del troyano bancario Casbaneiro, uno de los múltiples troyanos bancarios con origen en Latinoamérica que, periódicamente salen de su zona de actuación principal para propagarse por otras latitudes como España.
Pero el caso más curioso que hemos analizado este mes es el del correo suplantando la identidad el Ministerio del Interior y la Guardia Civil. En un documento adjunto al correo se informa de una operación contra el cibercrimen que realmente ha ocurrido y se indica al receptor del mensaje que algunos de los ordenadores de su red se han visto involucrados en actividades criminales. Para solucionarlo, solicitan ponerse en contacto con una dirección de correo y realizar una transferencia de varios miles de euros y así evitar posibles consecuencias penales. Este es un nuevo caso de suplantación de fuerzas policiales como los que venimos viendo desde hace años, pero cuyos perpetradores han preparado con todo lujo de detalles para ser creíbles.
En lo que respecta al ransomware, uno de los grupos que mas ha dado que hablar en nuestro país y Latinoamérica ha sido el conocido como The Gentlemen. Este grupo, que funciona según el modelo de Ransomware como servicio, ha conseguido posicionarse como uno de los más notables desde su aparición a mediados de 2025, destacando por su profesionalidad.
Otros ciberataques protagonizados por ransomware han copado titulares en medios, como el sufrido por el Puerto de Vigo, que obligó a aislar el sistema responsable de la gestión portuaria de otros sistemas externos, provocando interrupción en el normal funcionamiento de esta infraestructura. Por su parte, el Centro Criptológico Nacional estaría investigando la filtración de datos personales de cientos de jueces y fiscales españoles que se habrían hecho público en un conocido foro especializado en la difusión y compra/venta de información confidencial.
Por suerte, gracias al trabajo de los grupos especializados contra el cibercrimen, también podemos contar que el pasado mes de marzo fue provechoso en lo que a desarticulación de grupos cibercriminales se refiere. Entre estas operaciones destaca el desmantelamiento de LeakBase, uno de los mercados de información confidencial sustraída más grande y que era usado por ciberdelincuentes de todo el mundo.
La agencia Europea y sus aliados también consiguieron desmantelar una de las mayores plataformas de phishing como servicio usadas para saltarse la autenticación multi factor y que los delincuentes usan para acceder a acceder a servicios como el correo electrónico y otro servicios alojados en la nube. Muchas de estas actuaciones cuentan con la colaboración de la Policía Naciona y L Guardia Civil, aportando información clave para este tipo de operaciones y realizando los pertinentes arrestos en nuestro territorio.
Por último, los investigadores de ESET han estado ocupados analizando las actualizaciones del grupo APT Sednit (también conocido como APT28 o Fancy Bear) alineado con Rusia, mostrando que el equipo de desarrollo avanzado de este grupo está nuevamente activo. En el otro lado del mundo, en Japón también empiezan la temporada de declaración y pago de impuestos, algo que los ciberdelincuentes no quieren desaprovechar y, de forma similar a lo que pasa en España, preparan campañas para engañar a los contribuyentes, tal y como analizan los investigadores de ESET que han descubierto la campaña Silver Fox.