El pasado mes de mayo ha supuesto una continuidad en la tendencia que venimos observando con respecto a las ciberamenazas detectadas en España durante los últimos meses. Aun así, se ha observado un cierto aumento en la repercusión que han tenido algunos incidentes, especialmente los relacionados con ciberataques que han terminado, en algunos casos, con la filtración de información confidencial.
Uno de los incidentes confirmados afectó al Deportivo de la Coruña. El conocido club de fútbol envió un correo electrónico a sus socios informándoles de que habían sufrido un ciberataque el pasado 16 de mayo que habría afectado a algunos de los sistemas informáticos del club, comprometiendo una de las bases de datos que allí se almacenaban.
La administración pública también ha sufrido el impacto de los ciberdelincuentes los cuales comprometieron la seguridad de, por ejemplo, el Ayuntamiento de Nijar en Almería, un incidente que provocó el compromiso de algunos de sus sistemas informáticos y el secuestro de algunos de los datos que allí se almacenaban. Otro ayuntamiento afectado fue el de Castroverde de Campos en Zamora, aunque, en esta ocasión los delincuentes usaron una estafa del tipo BEC (fraude del CEO) para conseguir que se les transfirieran 7.000 euros.
Durante las últimas semanas también se han producido en nuestro país ataques a empresas que podemos englobar dentro del apartado de las infraestructuras críticas. Un ejemplo de ello fue el ciberataque sufrido por Aigües de Mataró, que dejó temporalmente sin servicio tanto a alguno de sus sistemas informáticos como su página web. La empresa Audax Renovables, proveedora de servicios esenciales como luz y gas también sufrió un robo de información que afectó a datos personales relacionados con su cartera de clientes.
Además de los incidentes confirmados, en los foros donde se anuncian los robos de información que usan los ciberdelincuentes han aparecido otras supuestas filtraciones si confirmar. Una de las filtraciones que más interés ha despertado es la que, supuestamente, habría afectado a la información de millones de usuarios de Amazon España, una filtración que aún no ha podido ser contrastada y que debemos tomar, como muchas otras, con pinzas.
Además de las filtraciones sufridas por empresas y organismos públicos españoles, durante el mes de mayo también se han producido otras filtraciones que han afectado a nivel internacional pero que incluyen datos de usuarios españoles. Un buen ejemplo de esto sería el descubrimiento de una base de datos que se encontraba accesible públicamente, sin ningún tipo de protección, y contenía un total de 47,42 gigabytes de información de usuarios y cuentas en todo el mundo. Entre estos registros encontraríamos información de usuarios de diversos proveedores de servidores de correo electrónico, productos de Apple, Google, Facebook, Instagram, Snapchat o Roblox, por nombrar algunos.
La conocida plataforma de intercambio de criptomonedas Coinbase, reveló el mes pasado un incidente en el que un grupo de atacantes consiguió sobornar a empleados de soporte externalizados, lo que permitió obtener información personal de aproximadamente el 1 % de sus clientes. Los delincuentes intentaron posteriormente extorsionar a la compañía exigiendo 20 millones de dólares a cambio de no publicar los datos.
Por su parte, millones de usuarios de Steam, la plataforma de venta y distribución de videojuegos más popular han visto como algunos de sus datos han empezado a venderse en foros de ciberdelincuentes por unos pocos miles de euros. Steam ha desmentido que la brecha provenga de sus servidores por lo que se especula que el responsable sea un proveedor externo.
Muchos de estos incidentes que termina con filtraciones de datos empiezan con una campaña de recopilación y robo de credenciales, campañas que se producen prácticamente a diario, también en España. Como ejemplo de esto tenemos a los correos que suplantan la identidad de Docusign, correos que hemos observado como se han propagado durante las últimas semanas por los buzones de entrada de numerosas empresas de nuestro país.
Tampoco debemos olvidar aquellas campañas que los delincuentes usan para robar datos como los de las tarjetas de crédito, campañas que pueden utilizar varias temáticas como la del falso intento fallido de entrega de un paquete. Estas campañas, aun siendo recurrentes y relativamente fáciles de detectar siguen produciéndose periódicamente y consiguiendo víctimas.
A pesar de todos estos incidentes de seguridad, el pasado mes de mayo también fue muy provechosos a la hora de desmantelar la infraestructura de varias redes de bots y distribución de malware. ESET participó, por ejemplo, en una importante campaña dirigida a desmantelar la red del conocido infostealer Lumma Stealer, una amenaza que ha afectado especialmente a España durante los últimos meses.
ESET también ha participado en una operación junto a otras empresas de seguridad y fuerzas policiales para tratar de desmantelar la infraestructura de Danabot, otro conocido infostaler que nuestros investigadores han venido rastreando desde 2018 y proporcionando información que ha permitido realizar esta operación.
Además, en mayo se publicó nuestro informe de actividad APT correspondiente al último trimestre de 2024 y el primero de 2025. En este informe podremos obtener una visión general de las actividades de los grupos APT seleccionados, lo que permiten conocer más detalles sobre sus tácticas, técnicas y procedimientos. Como ejemplo de investigación relacionada con uno de estos grupos APT tenemos el informe de la Operación RoundPress, donde el equipo de investigación de ESET descubrió espionaje ruso en servidores de correo, que afectó principalmente a entidades gubernamentales y empresas de defensa en Europa del Este, África, Europa y Sudamérica
Incidentes España
https://www.escudodigital.com/ciberseguridad/ciberataque-impacta-en-proveedor-agua-barcelona_63180_102.html
https://www.eleconomista.es/energia/amp/13346108/audax-renovables-sufre-un-ciberataque-a-su-base-de-clientes-de-luz-y-gas
https://www.elespanol.com/quincemil/deporte/deportivo/20250521/deportivo-coruna-sufre-ciberataque-robado-datos-personales-abonados/1003743768565_0.html
https://www.escudodigital.com/ciberseguridad/aseguran-tener-datos-51-millones-clientes-amazon-en-espana_63542_102.html
Filtraciones
https://blog.elhacker.net/2025/05/filtrados-datos-89-millones-cuentas-steam.html
Campañas malware
https://www.welivesecurity.com/es/phishing/correos-electronicos-phishing-simulan-docusign/
Campañas Phishing
https://www.welivesecurity.com/es/estafas-enganos/aplicacion-falsa-capcut-instala-malware/
Operaciones/Investigaciones ESET
https://www.welivesecurity.com/es/investigaciones/danabot-analisis-de-un-imperio-caido/
https://www.welivesecurity.com/es/investigaciones/eset-operacion-global-disrupcion-lumma-stealer/
https://www.welivesecurity.com/es/informes/activity-report-apt-eset-q4-2024-q1-2025/
https://www.welivesecurity.com/es/investigaciones/operacion-roundpress-espionaje-correoweb-xxs/
https://blog.elhacker.net/2025/05/hackean-ransomware-lockbit-publican-negociaciones-victimas.html
https://blog.elhacker.net/2025/05/fbi-incauta-incautan-phaas-labhost-phishing.html