Sabemos de sobra que los ciberdelincuentes aprovechan los grandes eventos internacionales para tratar de conseguir nuevas víctimas. Así lo han hecho desde hace tiempo y así lo siguen haciendo actualmente, especialmente si este año contamos con una cita muy esperada por aficionados de todo el mundo como es el Mundial de futbol 2026 que acaba de empezar en México, Estados Unidos y Canadá.
Este importante evento es algo que los criminales no dudan en explotar de varias formas, tal y como ya hemos visto en numerosas ocasiones anteriores. Un claro ejemplo de esto es la aparición de webs fraudulentas que venden supuestas entradas para los partidos y merchandising del mundial. Estas webs están preparadas para suplantar a las originales y robar datos personales como los de las tarjetas de crédito de aquellos usuarios que caigan en esta trampa.
Por otra parte, el phishing más tradicional no deja de propagarse mediante correos electrónicos fraudulentos que cada vez son más difíciles de distinguir de uno auténtico. Durante el mes pasado vimos campañas dirigidas a usuarios en los que se alertaba de un intento de entrega de un paquete y donde se suplantaba a la conocida empresa de mensajería DHL con la finalidad de instalar un ladrón de información para robar contraseñas.
Algo similar sucede con las sucesivas campañas que, prácticamente cada día, inundan los buzones de correo electrónico de las empresas españolas. Una de las campañas destacadas de las últimas semanas es la que supuestamente ofrecía información de una nómina y que incluía un enlace donde se redirige a los usuarios a un sitio web preparado por los atacantes. Con la excusa de descargar un documento se iniciaba una cadena de infección que terminaba con la descarga de un troyano bancario.
Además, con respecto al phishing, los delincuentes están evolucionando este tipo de amenazas con plataformas como EvilTokens, una plataforma de Phishing as a Service activa desde, al menos, febrero de 2026 y que busca comprometer cuentas de Microsoft 365. Los cibercriminales engañan a la víctima para que completen el proceso de autenticación en las páginas oficiales de inicio de sesión de Microsoft y, de esta forma logran acceder a los recursos y datos sin levantar sospechas, como si se tratara de una actividad habitual de la víctima.
Por suerte, contamos con la labor de las Fuerzas y Cuerpos de Seguridad del Estado quienes realizan investigaciones como la que permitió la desarticulación reciente de una organización criminal dedicada a la creación de herramientas que luego se usaban en campañas de phishing y smishing. La colaboración entre la Policía Nacional y Europol, además de policías alemanes y las autoridades francesas, permitió el arresto a finales de mayo de varias personas relacionadas con esta actividad criminal.
Con respecto a las investigaciones relacionadas con las ciberamenazas, mayo fue un mes prolífico donde, desde ESET, publicamos numerosos informes con todo tipo de investigaciones, incluyendo algunas que afectan directamente a nuestro país. Es el caso de Webworm, una de las campañas APT más recientes con origen en China y que se ha expandido a países europeos, incluyendo España. Los investigadores de ESET observaron ataques contra organizaciones gubernamentales en Bélgica, Italia, Polonia, Serbia y España. Además, entre diciembre de 2025 y enero de 2026, los operadores del grupo subieron a un servicio comprometido 20 nuevos archivos, dos de ellos exfiltrados de una entidad gubernamental española.
Otra de las publicaciones del equipo de investigación de ESET realizada el mes pasado cubría nuevas actividades descubiertas y atribuidas a FrostyNeighbor, un actor de ciberespionaje de larga trayectoria que aparentemente está alineado con los intereses de Bielorrusia. Estas actividades apuntarían a organizaciones gubernamentales en Ucrania. FrostyNeighbor ha estado ejecutando ciberoperaciones continuas, cambiando y actualizando su conjunto de herramientas con regularidad, además de modificar su cadena de compromiso y sus métodos para evadir la detección, apuntando a víctimas ubicadas en Europa del Este, según indica la telemetría de ESET.
Por otro lado, investigadores de ESET descubrieron un ataque de cadena de suministro multiplataforma llevado a cabo por el grupo APT ScarCruft, alineado con Corea del Norte, dirigido a la región de Yanbian en China, hogar de una importante comunidad de etnia coreana y punto de tránsito para refugiados y desertores norcoreanos. En este ataque, probablemente activo desde finales de 2024, ScarCruft comprometió componentes para Windows y Android de una plataforma de videojuegos centrada en títulos sobre Yanbian, troyanizándolos con un backdoor.
Por último, ESET identificó aplicaciones en Google Play que prometían acceso a historiales de llamadas, SMS y registros de WhatsApp de “cualquier número”, en un esquema fraudulento utilizado para estafar a usuarios. Estas aplicaciones maliciosas, que denominamos CallPhantom en alusión a que la funcionalidad que ofrecen es inexistente, aseguran ofrecer acceso a historiales de llamadas, registros de SMS e incluso logs de llamadas de WhatsApp para cualquier número de teléfono. Para desbloquear esta supuesta funcionalidad, se solicita un pago pero lo único que se obtiene a cambio son datos generados aleatoriamente.
Toda la información sobre ciberamenazas recientes relacionadas con grupos APT se puede encontrar en los informes de actividad APT que, periódicamente, publicamos con información relevante sobre la actividad internacional de estos grupos. Por nuestra parte, desde Ontinet.com nos alegra anunciar que nuestro SOC ya forma parte de la red internacional FIRST, lo que nos permite formar parte de la colaboración entre equipos especializados y compartir inteligencia de amenazas con otros SOC de todo el mundo.