Ciberataques en España: impacto y vectores de entrada usados por los delincuentes
“Si echamos la vista atrás a este 2023 que ya se fue, comprobaremos como los principales ciberataques sufridos en España se han producido gracias a que los atacantes han podido aprovecharse de sistemas mal configurados, desactualizados y, sobre todo, de la utilización de credenciales robadas, filtradas previamente y/o probadas al azar en ataques de fuerza bruta”, afirma Josep Albors, director de investigación y concienciación de ESET España en su último blogpost del año sobre el impacto y los vectores de entrada más usados por los delincuentes para realizar ciberataques.
Vectores de ataque usados por los delincuentes
El uso de infostealers o ladrones de información se ha convertido en algo habitual y, constantemente, vemos como se lanzan campañas dirigidas a empresas españolas con la finalidad de robar credenciales almacenadas en todo tipo de aplicaciones de uso cotidiano, como navegadores de internet o clientes de correo. Estas credenciales son posteriormente usadas en varios tipos de ciberataques o estafas, ya sea por los mismos delincuentes que las robaron o por otros grupos que las adquirieron.
Estas campañas de robo de contraseñas suelen realizarse mediante correos electrónicos que contienen enlaces o ficheros adjuntos maliciosos con extensiones de todo tipo. Mediante el phishing o suplantación de identidad se consigue que la víctima introduzca datos como las contraseñas de su cuenta de correo electrónico o descargue y ejecute un código malicioso que se encargará de recopilarlas.
Para conseguir su objetivo, los atacantes pueden hacerse pasar por responsables de sistemas de la propia empresa, indicando que las contraseñas de la víctima caducarán pronto y que debe generar unas nuevas en un portal falso. Tampoco es extraño ver como suplantan organismos oficiales como la Agencia Tributaria o incluso las Fuerzas de Seguridad del Estado para conseguir estos objetivos.
No debemos olvidar que, además de tratar de robar credenciales, los delincuentes también pueden usar algunas de las millones que se han filtrado tanto en 2023 como en años anteriores. Es muy probable que muchos usuarios repitan credenciales en varios servicios, ya sean de uso personal tanto como profesional, y los delincuentes prueben a usarlas para acceder a servicios críticos como el email y las redes corporativas.
Una vez con estas credenciales en su poder, los atacantes pueden, por ejemplo, interceptar correos electrónicos que envía y recibe la víctima para, en caso de detectar alguna factura o transferencia pendiente, modificar la cuenta donde se hace el ingreso para que este se realice a su favor en lugar de al destinatario legítimo. Es lo que se conoce en inglés como ataques BEC o de compromiso del email corporativo, aunque también se le conoce como “Fraude del CEO” por las técnicas usadas inicialmente por los delincuentes donde se hacían pasar por un alto directivo para conseguir sus objetivos.
La explotación de numerosas vulnerabilidades también está a la orden del día en lo que se refiere a ciberataques en España, principalmente aquellas que permitan acceder a servicios expuestos online y a la infraestructura interna de una empresa, más concretamente a su información confidencial. Las vulnerabilidades más utilizadas por los atacantes han sido aquellas que afectan a servicios vulnerables, aplicaciones vulnerables y software vulnerable usados en las empresas.
Incidentes de ciberseguridad en España
Conociendo cuales son los principales vectores de ataques usados en ciberataques en España durante 2023, podemos deducir que los datos corporativos son el objetivo principal de los ciberdelincuentes. El robo de estos datos puede venir, o no, acompañado de su posterior cifrado y solicitud de rescate, lo que conocemos comúnmente como ransomware.
En este punto cabe destacar la actividad que el ransomware Lockbit ha tenido durante 2023, no solo en España sino alrededor del mundo, siendo la amenaza de este tipo que más han utilizado los ciberdelincuentes. Aun así, Lockbit no ha sido la única familia de ransomware que ha protagonizado incidentes destacados en España y, aunque este tipo de ciberataques suelen copar titulares, no son, ni por asomo, el tipo de ciberataques más abundantes en nuestro país.
Tampoco debemos olvidar aquellos incidentes en los que no se cifra la información, pero sí que se sustrae, una información que puede ser publicada o no, posteriormente. En esta categoría entrarían incidentes sufridos tanto por empresas privadas como por algunos organismos oficiales, con datos que suelen incluir información personal de usuarios y ciudadanos e incluso, en algunos casos, datos de tarjetas de crédito.
En otras categorías de ciberataques destacados encontramos los relacionados con la denegación de servicio, responsables de dejar inaccesibles varios sitios webs, y que acontecieron en los días posteriores a la celebración de elecciones generales el 23 de julio. En esta categoría incluimos los ataques que afectaron a webs gubernamentales, webs de empresas de telecomunicaciones, o, incluso, de medios de comunicación. Estos ciberataques fueron ejecutados por el grupo hacktivista pro-ruso NoName057, especializado en la realización de ataques DDoS contra objetivos contrarios a los intereses de Rusia.
Conclusión
Con estos antecedentes y con un número creciente de ciberataques es importante que tanto empresas como usuarios aprendan a reconocer las amenazas que les pueden afectar, su funcionamiento y cómo protegerse, además de contar con soluciones de seguridad que sean capaces de detectarlas a tiempo y evitar así que terminemos siendo víctimas de los delincuentes.
