El mes de mayo avanza y con ello, las ciberamenazas a los que todos debemos hacer frente. Sin embargo, hay países y sectores que por diferentes motivos -sobre todo geopolíticos y económicos- son los preferidos por los cibermalos.
En reglas generales, el actor de amenazas más activo la semana pasada ha sido NoName057, quien se atribuyó la responsabilidad de 42 ciberataques. Estados Unidos ha sido el país más afectado, concentrando el 22,8% de los incidentes, con un total de 54 ciberataques. Y el sector gubernamental/militar/fuerzas del orden fue el más impactado, representando el 28,3% de los incidentes, con 67 ciberataques.
Se estima que los ciberataques críticos ascienden a 22 casos (lo que representa un 9,3 % del total). Y los datos presuntamente comprometidos alcanzan aproximadamente los 15,8 TB, según el informe semanal realizado por hackmanac, cuya base de datos se nutre tanto de fuentes del Clear Web como de la Dark Web,
Principales actores de amenazas en la última semana
El grupo NoName057(16) se posicionó como el actor de amenazas más activo, adjudicándose 42 ciberataques. Esta cifra lo coloca muy por delante de otros colectivos como Electronic Army Special Forces (30 ataques) y Keymous+ (18 ataques). Esta intensidad en su actividad refleja una estrategia ofensiva particularmente agresiva y coordinada.
Otros actores como SafePay, Qilin, Akira, e incluso grupos conocidos por campañas de ransomware como INC Ransom y Play, también se encuentran entre los más activos, aunque con un volumen de ataques notablemente menor. La variedad de grupos involucrados revela un ecosistema delictivo diversificado, con motivaciones tanto políticas como económicas.
Sectores más afectados por los ciberataques
El sector gubernamental, militar y fuerzas del orden (Gov / Mil / LE) fue el más golpeado, concentrando 67 incidentes. Este dato evidencia el interés de los ciberatacantes en interferir con entidades públicas y operaciones críticas del Estado.
La industria manufacturera también sufrió un número importante de ataques (26), seguida de sectores de múltiples objetivos (25) y del ámbito profesional, científico y técnico (25). Asimismo, se observaron impactos en sanidad, telecomunicaciones, finanzas y retail, lo que indica que prácticamente ningún sector está exento de amenazas. Esta amplitud de objetivos requiere estrategias de protección cada vez más integrales y adaptadas a cada vertical.
El crecimiento de los ataques a infraestructura crítica como energía y servicios públicos, aunque en menor número (8 casos), representa una preocupación de seguridad nacional en varios países, dado el potencial disruptivo que estos ataques pueden generar.
Países con mayor número de ataques
En cuanto a los países más afectados, Estados Unidos encabeza la lista con 54 ciberataques, lo que representa más del 22 % del total registrado. Esta cifra lo posiciona como el principal objetivo global, probablemente por su relevancia económica, política y tecnológica.
Camboya (30 ataques) y Polonia (28) aparecen sorpresivamente en el segundo y tercer lugar respectivamente, lo que podría estar vinculado a campañas específicas de desestabilización regional o a vulnerabilidades sistémicas no resueltas.
India, Ucrania, Francia y Alemania también figuran entre los países impactados, lo cual demuestra que tanto potencias tecnológicas como economías emergentes son blanco de estos ataques. España, aunque en la parte baja del listado con 5 incidentes, no queda exenta de la amenaza.
Este panorama subraya la urgencia de fortalecer las capacidades de ciberdefensa a nivel estatal y empresarial, con cooperación internacional, inversión en infraestructura de seguridad, y programas de inteligencia de amenazas que permitan anticiparse a los movimientos de los grupos más activos.
Lo hemos ido contando en Escudo Digital
En los últimos días, desde Escudo Digital hemos seguido de cerca una intensa actividad en el ámbito de la ciberseguridad. Entre los ataques y situaciones de los que nos hemos hecho eco se encuentran estos:
- El caso de los falsos SMS de Correos: así operan los ciberdelincuentes
- La Agencia Española de Medicamentos restablece su web tras el ciberataque del 14 de mayo
- Un ciberataque al Ministerio de Justicia británico filtra millones de antecedentes penales
- Alerta: Vulnerabilidad en plugin de WordPress expone miles de sitios web a ataques
- Convierten al gestor de contraseñas KeePass en un vector de ataque
- 1.200 millones de registros de usuarios de Facebook podrían estar en manos de los hackers
- Adidas sufre una brecha de seguridad y filtra datos de usuarios
- Atención: los ciberdelincuentes usan como anzuelo LEGO o Disney para estafar a niños y familias
- Alertan de un actor de amenazas chino que tiene como objetivo el sector de los drones
- Cibercrimen vs. Ciberseguridad: Rusia y España destacan en bandos opuestos
Otras noticias destacadas
Además, destacamos estas noticias de especial relevancia que hemos ido recibiendo desde las distintas empresas de ciberseguridad durante estos últimos siete días:
El sector educativo sufre 4.484 ciberataques semanales por empresa
El sector educativo en España se ha convertido en el principal blanco de los ciberdelincuentes durante el primer trimestre de 2025, según Check Point Research. Las organizaciones de Educación e Investigación registraron una media de 4.484 ataques semanales, lo que representa un alarmante incremento del 73 % respecto al mismo periodo de 2024. Este crecimiento está directamente relacionado con el calendario académico, con picos durante el inicio de semestre y descensos durante las vacaciones.
Las razones de esta vulnerabilidad incluyen una gran superficie de ataque, sistemas obsoletos, presupuestos limitados y la custodia de datos altamente sensibles. Los métodos más comunes de ataque incluyen phishing, quishing, ransomware y accesos no autorizados.
Las consecuencias son graves: interrupción del aprendizaje, pérdida de confianza, daños a la reputación y costes financieros elevados. La digitalización del sector ha abierto nuevas puertas, pero también exige medidas de ciberseguridad sólidas, integradas y preventivas para proteger el futuro educativo.
Ciberdelincuentes usan el nombre de Kling AI para propagar malware por Facebook
Check Point Research ha identificado una nueva campaña de ciberataques que explota la popularidad de las plataformas de inteligencia artificial generativa. El grupo atacante suplanta la identidad de Kling AI, una herramienta de síntesis de imagen y vídeo con más de seis millones de usuarios, para distribuir malware a través de anuncios falsos en Facebook.
Durante los primeros meses de 2025, al menos 70 anuncios fraudulentos redirigieron a los usuarios a una página web falsa que imitaba con precisión el sitio legítimo de Kling AI. Al intentar generar imágenes, los usuarios descargaban un archivo aparentemente inofensivo que, en realidad, contenía un troyano de acceso remoto (RAT). Este software malicioso permitía a los atacantes control total del dispositivo, robar credenciales y espiar la actividad del navegador.
La campaña revela una tendencia preocupante: el uso de ingeniería social avanzada combinada con IA popular como cebo. Check Point alerta sobre el aumento de este tipo de fraudes y llama a fortalecer la ciberseguridad y la concienciación de los usuarios.
ESET y Microsoft desmantelan la red de Lumma Stealer
ESET ha participado en una operación internacional liderada por Microsoft para desmantelar Lumma Stealer, uno de los malware de robo de información más activos de los últimos años, ofrecido como Malware-as-a-Service. La ofensiva conjunta eliminó más de 3.300 servidores de mando y control (C&C), dejando inoperativa gran parte de la red de bots asociada a esta amenaza.
España fue el segundo país más afectado del mundo, con un 5,42 % de las detecciones globales, sólo por detrás de México. Lumma Stealer se distribuía a través de phishing, software crackeado y downloaders, con suscripciones de hasta 1.000 dólares al mes. Su constante actualización, capacidad de evasión y modelo escalonado lo convirtieron en una herramienta clave para el robo de credenciales y preparación de futuros ataques más destructivos.
La operación contó con respaldo judicial en EE. UU., la colaboración de Europol y autoridades japonesas, y el trabajo técnico de empresas como Lumen, Cloudflare y GMO Registry.
Phishing en tiempo real: el auge de páginas falsas personalizadas al instante
El phishing evoluciona rápidamente y hoy se enfrenta una nueva amenaza: páginas de inicio de sesión falsas generadas en tiempo real, creadas al instante con una apariencia casi idéntica a la de sitios legítimos. Esta técnica, impulsada por kits como LogoKit y servicios de phishing-as-a-service (PhaaS), permite a atacantes sin conocimientos técnicos lanzar campañas eficaces y altamente personalizadas.
Gracias a estas herramientas, los ciberdelincuentes pueden extraer automáticamente logotipos y datos visuales de empresas reales utilizando APIs públicas, generando páginas que incluso precargan la dirección de correo de la víctima. Tras introducir las credenciales, la información es enviada de inmediato a los atacantes, quienes redirigen a la víctima al sitio legítimo, dificultando la detección del fraude.
Estos ataques preocupan por su capacidad de evasión, su escalabilidad en servicios cloud como GitHub o Firebase y su accesibilidad para atacantes inexpertos. ESET recomienda no confiar en enlaces no verificados, usar contraseñas únicas con autenticación en dos pasos y contar con soluciones avanzadas de seguridad.
Proofpoint adquiere Nuclei para reforzar el cumplimiento normativo en comunicaciones digitales
Proofpoint ha anunciado la adquisición de Nuclei, Inc., una empresa tecnológica especializada en archivado de comunicaciones y enriquecimiento de datos mediante inteligencia artificial. Esta operación busca fortalecer la plataforma de gobierno de comunicaciones digitales (DCG) de Proofpoint, permitiendo a las organizaciones capturar, archivar y analizar interacciones laborales realizadas a través de más de 100 herramientas de colaboración como Teams, Slack, Zoom o WhatsApp.
La tecnología de Nuclei destaca por su capacidad para transcribir y traducir en tiempo real, analizar vídeos y extraer metadatos útiles, lo que facilita la obtención de información valiosa a partir de las conversaciones. Su integración con plataformas de archivo existentes, como Microsoft Purview o Smarsh, y su arquitectura escalable en AWS, garantizan cumplimiento normativo y alta seguridad.
Con esta adquisición, Proofpoint no solo potencia su oferta para sectores regulados, sino que redefine el futuro del cumplimiento normativo impulsado por IA en el entorno laboral moderno.