España es uno de los países más golpeados por los ciberataques. Tanto es así que en el segundo trimestre de este año se situó en la tercera posición a escala mundial de los países más ciberatacados, solo por detrás de Estados Unidos y Rusia, según advertimos en Escudo Digital en un extenso artículo en el que explicamos, de la mano de tres expertos en ciberseguridad, los factores que convierten a España en un país especialmente atractivo para los ciberdelincuentes.
A falta de escasos días para que termine 2023, desde Watch&Act Protection Services (W&APS), correduría especializada en seguros de ciberriesgo de Watch&Act, han recopilado algunos de los ataques más sonados a entidades públicas y privadas españolas en estos 12 meses, y también las principales amenazas que han circulado por e-mails y teléfonos móviles tratando de engañar y estafar a los usuarios.
Así, su recopilación incluye diversos tipos de ciberataques, que van desde el ransomware al phishing, pasando por el smishing, vishing o los ataques de denegación de servicio (DoS), si bien no descartan que se produzca algún otro ataque de impacto "como colofón de año". Y es que, como señala Javier Huergo, responsable de W&APS, "todavía quedan unos días para que termine diciembre y podemos esperar nuevas amenazas y suplantaciones de identidad, en una época que destaca especialmente por la gran cantidad de transacciones electrónicas que se realizan". Ante el riesgo de ser objetivo de los cibercriminales, el experto ha recordado a las organizaciones que, tal y como recoge su informe sobre transparencia en la información sobre ciberseguridad en las empresas del IBEX 35, "la formación del personal y la inversión en medidas de ciberprotección son esenciales para reducir el riesgo y minimizar el impacto negativo de los ciberataques".
W&APS ha realizado su compilación de los ciberataques y ciberamenazas que más han sacudido a nuestro país seleccionándolos mes a mes. Este es el resultado.
Enero '23
Un total de 107 ayuntamientos de la provincia de Vizcaya se vieron afectados por un intento de ciberataque. A modo de ejemplo, el Ayuntamiento de Durango tardó más de una semana en restablecer sus sistemas. Como amenaza principal destacó la suplantación de identidad de la Seguridad Social, con una campaña de phishing que descargaba un malware en el dispositivo de quien picara el anzuelo y pinchara en el link correspondiente.
Febrero '23
La empresa Telepizza sufrió un ataque de ransomware, y los servidores de la Agencia Tributaria fueron atacados con el fin de obtener los datos fiscales de los ciudadanos. Las suplantaciones de identidad de este mes correspondieron a tres entidades bancarias: BBVA, Santander y WiZink.
Marzo '23
El Hospital Clínic de Barcelona fue objeto de un ataque de ransomware que logró encriptar sus sistemas, tardando varias semanas en recuperar su actividad normal, lo que le causó importantes pérdidas económicas y de datos personales. Además, varias páginas web del Estado sufrieron ataques en cadena, entre ellas la del Ministerio de Hacienda. La Agencia Tributaria fue suplantada mediante la técnica del smishing (vía SMS), solicitando actualizar la información de pago para recibir una ayuda económica del Gobierno de 200€. También se recibieron mensajes fraudulentos a través de WhatsApp suplantando la identidad de la cervecera Mahou.
Abril '23
La compañía de telefonía y fibra óptica Yoigo sufrió un ciberataque a gran escala con acceso a información personal de sus clientes. Y de nuevo, vía smishing, supuestamente la Agencia Tributaria solicitaba a los usuarios información de la tarjeta bancaria para recibir el reembolso de un impuesto o de la declaración de la renta de 2022.
Mayo '23
La Agencia Estatal de Meteorología (AEMET) fue víctima de un ciberataque que obligó a suspender temporalmente su servicio como medida preventiva. Este mes las campañas de suplantación de identidad fueron especialmente numerosas, afectando a la empresa de paquetería FedEx, a la energética Endesa y, una vez más, a la Agencia Tributaria y a la Seguridad Social (en este caso, solicitando la actualización de la tarjeta sanitaria).
Junio '23
Un ataque de ransomware sufrido por el Ayuntamiento de Cangas (Pontevedra) dejó sin funcionar a la mitad de los ordenadores y sin poder cobrar a más de 200 funcionarios. Además, se registraron varias campañas de smishing suplantando la identidad de varias entidades bancarias.
Julio '23
Durante las Elecciones Generales, un ciberataque de denegación de servicio (DoS) colapsó los servidores y páginas web de diferentes entidades, como el Ayuntamiento de San Fernando de Henares, el Metro Ligero Oeste de Madrid, la Sede Electrónica del Ministerio del Interior y el Consorcio Regional de Transportes de Madrid. En este caso, las suplantaciones de identidad mediante e-mails fraudulentos tuvieron por objeto a la Policía Nacional y Guardia Civil. Su objetivo era extorsionar a la víctima para que conteste al correo, en el que se le acusaba de cometer una serie de delitos relacionados con pornografía.
Agosto '23
Este mes tuvo lugar una campaña de sextorsión en la que se amenazaba a los usuarios con que publicarían unos vídeos íntimos suyos si no les pagaban una determinada cantidad en bitcoins. Y nuevamente fue suplantada la identidad de la Seguridad Social en una campaña de smishing en la que vía SMS se solicitaban las fotos de su DNI y un selfie para confirmar un supuesto expediente, datos que después venderían en la dark web para realizar algún tipo de ciberestafa.
Septiembre '23
El ciberataque más sonado fue el de la página web del Ayuntamiento de Sevilla, que dejó durante varias semanas a los ciudadanos de la capital andaluza sin acceso a un buen número de servicios y sin posibilidad de hacer trámites telemáticos. El coste del ataque se estimó en unos 5 millones de euros. La Agencia Tributaria repitió como protagonista de otra campaña de smishing que solicitaba al usuario que accediera a una web para solucionar una incidencia en su declaración de la renta.
Octubre '23
La compañía aérea Air Europa avisó a sus clientes de que, a causa de un ciberataque, se habían filtrado los datos de las tarjetas de crédito asociadas a las compras de sus billetes, recomendándoles cancelar dichas tarjetas. Y las amenazas por suplantación de identidad afectaron este mes a organismos públicos como el Instituto Nacional de Ciberseguridad (INCIBE), a través de dos métodos de ingeniería social, el phishing y su versión por llamada telefónica (vishing); y también a la Fábrica Nacional de Moneda y Timbre y la Agencia Tributaria.
Noviembre '23
Este mes se detectó un acceso no autorizado a los datos de un colaborador de Vodafone, por el que se han visto comprometidos datos personales y bancarios de un número limitado de clientes. Y la web del sindicato Comisiones Obreras (CCOO) también se vio afectada por un ciberataque. Siendo el mes del Black Friday, los intentos de fraude estuvieron relacionados con las compras online y las entregas de paquetería, suplantando la identidad de compañías como Correos o DHL.
Diciembre '23
El despacho de abogados CMS Albiñana y Suárez de Lezo, que tiene entre sus clientes a grandes empresas como Iberdrola o el Santander, ha sufrido este mes un ciberataque a sus servidores. Los ciberdelincuentes se han apoderado de una gran cantidad de archivos confidenciales y han pedido un rescate millonario para poder recuperar la documentación sustraída.