Aunque julio es un mes relacionado tradicionalmente con las vacaciones estivales, el cibercrimen no descansa y las campañas delictivas en busca de nuevas víctimas siguen presentes, aunque muchos estén pensando en que pedir en el chiringuito de la playa. Buena prueba de esto son los numerosos casos que hemos analizado durante el pasado mes en nuestro laboratorio, donde vemos como continúan muy presentes amenazas veteranas pero, a la vez, los delincuentes introducen nuevas técnicas.
El correo electrónico vuelve a ser, una vez más, uno de los vectores de ataque preferidos por los ciberdelincuentes. A pesar de que el volumen de detecciones suele disminuir durante el verano, eso no significa que los atacantes cesen en su intento de conseguir nuevas víctimas entre los que se quedan trabajando.
Así pues, el envío de emails suplantando a empresas se erige, un mes más, como una de las técnicas preferidas por los atacantes, sabedores que es un método barato, a la par de efectivo para lograr sus objetivos. Empresas como el Banco Santander o Vodafone han visto cómo se utilizaba su nombre sin su permiso para, haciéndose pasar por ellas, se enviaban correos con supuestas facturas y detalles de transferencias como cebo para conseguir que los usuarios descargasen y ejecutasen algún tipo de amenaza.
Un caso similar pero preparado para robar credenciales también fue analizado en nuestro laboratorio durante el mes pasado. En esta ocasión, la empresa suplantada era Docusign y los delincuentes usaban su nombre para engañar a los usuarios haciéndoles creer que tenían un documento pendiente de firmar en su plataforma.
Las principales amenazas detectadas en nuestro país han vuelto a ser, de nuevo, los ladrones de información o infostealers. Estas amenazas se especializan en robar credenciales de los sistemas de las víctimas y familias como Snake Keylogger hace meses que protagonizan este tipo de campañas en España.
Tampoco podemos dejar de lado a una estafa bastante habitual en nuestro territorio como es la de las falsas inversiones. Los delincuentes utilizaron la imagen del presidente del Gobierno para, utilizando una entrevista falsa, tratar de convencer a aquellos incautos que piensan convertirse en millonarios de la noche a la mañana sin esfuerzo y con una inversión mínima. De la misma forma, tras el fuerte terremoto en Kamchatka y la posterior alerta de tsunami, algunos delincuentes aprovecharon el interés por esta noticia para propagar este tipo de estafas en redes sociales como X.
Pero no todas las técnicas usadas por los delincuentes para intentar comprometer los sistemas de los usuarios son las mismas que venimos analizando desde hace años. Desde hace meses se viene observando como, cada vez más, se utilizan técnicas como los Fake Captcha o ClickFix para conseguir que el usuario ejecute comandos maliciosos de forma voluntaria en su sistema pensando que está resolviendo un captcha o solucionando un problema provocado por alguna aplicación.
Y es que, además de ser España el segundo país donde más detecciones de amenazas se producen, según el reciente informe de ESET, el pasado mes de julio pudimos comprobar gracias a un estudio que los delincuentes han aumentado considerablemente el uso de dominios .es para alojar webs fraudulentas o, directamente, maliciosas, tan solo por detrás de los dominios .com y .ru.
En julio también se descubrió una de esas vulnerabilidades que quedan marcadas y son recordadas cuando se hacen los resúmenes anuales de seguridad. Microsoft se vio obligada a lanzar un parche de emergencia para solucionar dos vulnerabilidades graves en SharePoint Server que estaban siendo usadas por atacantes en varias partes del mundo. De hecho, no tardaron en llegar las primeras acusaciones por parte de Microsoft acusando a China de estar detrás de una campaña de espionaje dirigida a Estados Unidos que aprovechaba esta vulnerabilidad.
El mes pasado, el equipo de investigadores de ESET desveló su análisis de las campañas de spearphishing contra Ucrania realizadas por Gamaredon, el grupo de amenazas alineado con Rusia. En este análisis se analizaron el conjunto de herramientas actualizadas de ciberespionaje de Gamaredon, las nuevas técnicas centradas en el sigilo y las agresivas operaciones de spearphishing observadas a lo largo de 2024.
En lo que respecta a operaciones policiales contra el cibercrimen, julio fue un mes prolífico. Europol lanzó una operación para tratar de desarticular el grupo NoName057, protagonista de varios de los ataques (principalmente de denegación de servicio) que han afectado a todo tipo de empresas y organizaciones en todo el mundo, incluida España.
Otra operación policial coordinada por Europol permitió arrestar en Kiev al supuesto administrador del foro de ciberdelincuencia ruso XSS.IS, una de las plataformas de ciberdelincuencia de habla rusa más influyente a nivel mundial. funcionaba como un mercado clave para datos robados, herramientas de hacking y servicios ilícitos. Durante años, ha sido un punto central para algunas de las redes de ciberdelincuentes más activas y peligrosas, que la han utilizado para coordinar, publicitar y reclutar
En España también se han producido importantes operaciones policiales durante el pasado mes, comenzando por la que permitió desmantelar una red de fraude en criptoinversiones tras estafar a 5.000 víctimas en todo el mundo. La Policía Nacional también lanzó una operación que permitió detener en Canarias a dos jóvenes de 19 años por la filtración de datos personales de miembros del Gobierno. Por último, un operativo conjunto entre los Mossos d'Esquadra y la Policía Nacional consiguió detener a un ciberdelincuente en Roses (Girona), responsable de lanzar varios ciberataques con el objetivo de robar información de empresas y organismos oficiales para venderla o publicarla.
Amenazas
Estafas
Filtraciones
https://blog.elhacker.net/2025/07/blog-post.html
Phishing
Vulnerabilidades
https://blog.elhacker.net/2025/07/microsoft-acusa-chinos-vulnerabilidad-sharepoint.html
https://blog.elhacker.net/2025/07/dos-vulnerabilidades-criticas-en-sudo.html
Investigaciones ESET / Policia
https://blog.elhacker.net/2025/07/detenido-kiev-admin-forum-xss.html
https://blog.elhacker.net/2025/07/europol-desmantela-grupo-pro-ruso-noname057.html
https://blog.elhacker.net/2025/07/ransomware-hunters-international-cierra.html
https://blog.elhacker.net/2025/07/europol-desmantela-espana-estafa-criptoinversores.html
https://lavanguardia.com/local/girona/20250731/10939717/detienen-hacker-responsable-lanzar-multiples-ciberataques-girona.amp.html