Estudio del Centro Criptológico Nacional
El CNI advierte de una multiplicación de los cibercriminales, que tienen a las pymes y los servicios críticos como objetivos

Navegación en una base de datos atacada por hackers. / Sascha Steinbhach EFE


Juan José Fernández
Juan José FernándezRedactor Jefe
Reportero.
Profesor en el Master de Periodismo Avanzado – Reporterismo de la Facultat de Comunicació i Relacions Internacionals Blanquerna (Universitat Ramon Llull).
Diplomado por el CESEDEN en Altos Estudios de la Defensa Nacional.
Fue jefe de Información y Reportajes y jefe de Redacción de la revista Interviú durante 19 años.
Como las bacterias resistentes que se hacen fuertes ante los antibióticos, algunas potentes bandas de criminales del ciberespacio han ido reforzando su resiliencia ante los golpes policiales “retomando su actividad dañina pocos días después de ver su infraestructura comprometida”.
Así lo refleja la Edición 2024 del informe Ciberamenazas y Tendencias que el Centro Criptológico Nacional (CCN, organismo de ciberseguridad dependiente del CNI) acaba de hacer público.
El dosier se detiene en el ciberespionaje y los ciberataques, en el marco de la moderna guerra multidomino, como una de las amenazas principales para España. La otra gran amenaza es el cibercrimen, y su creciente actividad gracias a la lucrativa venta entre delincuentes de programas aptos para asaltar bases de datos de empresas, entidades públicas o individuos, o el comercio de esas bases de datos cuando son robadas en cibertaques.
Mafia y Estado
Hubo un tiempo en que los ciberataques estatales y el cibercrimen no estaban conectados, pero eso es el pasado. La tendencia ahora es la ósmosis entre ambos mundos, y que ciertos gobiernos compren a las mafias sus armas cibernéticas. El dinero es el motor de esa relación.
Entre las advertencias que se desprenden de la prospectiva del CCN, destaca como una de las más inquietantes el interés que los sistemas industriales y las infraestructuras críticas -como los embalses de agua de consumo, las redes de energía o de transporte- ha levantado en el mundo del crimen.
El objetivo en este caso son los sistemas de control que los gobiernan, “un objetivo de gran valor para los actores cibernéticos hostiles”. Entre este tipo de ataques hay memoria reciente en Catalunya: la intranet del Hospital Clínic de Barcelona fue infectada por RansomHouse, una banda que reclamó 4,25 millones de euros por una bolsa de 4,5 terabytes con datos de pacientes, sanitarios y firmas proveedoras del hospital.
En el año 2023, “múltiples entidades y organizaciones españolas sufrieron fugas de información. Mayoritariamente fueron filtraciones de bases de datos con información confidencial tanto de clientes como de trabajadores”, señala el CCN. Están contadas más de 50 filtraciones en organizaciones españolas, entre ellas las de 10 servicios administrados por entidades públicas -Deltaboys fue el atacante- y casos muy señalados de multinacionales- españolas de la energía y la tecnología.
Los datos robados a organizaciones españolas en 2023 que se han puesto a la venta son en su mayoría de organismos gubernamentales y del sector educativo, cuantifica el informe.
Se prevé en el informe otro escenario preocupante: en 2023, un 18% de los ataques ransomware contra compañías industriales provocaron el parón o el retraso en la producción o entrega de productos. “Los ataques a la cadena de suministro mediante la inserción de código dañino en software legítimo continuarán aumentando”, advierte el Centro Criptológico Nacional.
Cuidado con Lockbit
En materia de cibercrimen, el informe del CCN señala “el éxito del modelo de negocio de malware como servicio”. Conocido como MaaS, se trata de una práctica criminal en expansión: grupos de expertos editan y venden a otros grupos delicuenciales con menor conocimiento software malicioso o ransomware para llevar a cabo ciberdelitos, secuestros de redes informáticas o robo y venta posterior de datos de una cantidad creciente de víctimas. En 2024, España ha incrementado su dimensión como víctima.
Pese a los golpes policiales recibidos en 2023 y el arranque de 2024, “algunos de estos grupos han demostrado una gran resiliencia frente a las operaciones de desmantelamiento, reanudando su actividad en cuestión de días”, advierte el estudio.
Este panorama anual vuelve a señalar al grupo de virus Lockbit como el ransomware más activo del mundo, con un 23,7% de los ataques detectados por los especialistas de Lab52, seguido por Cl0p y Blackcat, con un 21,5% y un 9,5% respectivamente.
Peligros que ya están aquí
El Centro Criptológico Nacional calcula que el negocio delictivo del RaaS (Ransomware como Servicio, modalidad específica del MaaS) habrá crecido este año -”se espera un nivel de actividad similar [a la de 2023] o incluso mayor de este tipo de ciberamenazas en 2024”, dice el capítulo de prospectiva de su informe-, y serán las pymes las víctimas que se pondrán más a tiro del cibercrimen.
El comercio clandestino de software malicioso “permite que individuos con conocimientos tecnológicos limitados puedan obtener beneficios económicos a través de campañas dañinas en el ciberespacio. Además, tanto la sofisticación como la oferta del malware ofrecido en estos servicios es cada vez mayor, dificultando su detección e incrementando el impacto que tiene en sus víctimas”, advierte el CCN.
Los teléfonos móviles son un punto de fragilidad en la ciberdefensa ciudadana. El informe del CCN recoge datos del equipo de investigación ZLabs según los cuales las vulnerabilidades detectadas en dispositivos Android se dispararon en 2023 un 58%, hasta 1.421, y subieron un 10%, hasta 269, en los dispositivos IOS.
Los móviles de los empleados son puerta clave para la entrada de criminales cibernéticos en las tripas de las empresas. “La gran presencia de dispositivos móviles en las redes corporativas pone en riesgo su seguridad”, advierte el CCN. Es el peligro del llamado “phising móvil”.
Inteligencia artificial
El principal ente español de seguridad informática apunta también el potencial de la Inteligencia Artificial Generativa para el delito. La llamada IAG “ha captado la atención de múltiples grupos cibercriminales, que están integrando esta tecnología en sus ciberataques para aumentar sus probabilidades de éxito ya hacer más rentable su modelo de negocio”, dice el informe de 2024.
Fruto de esta proliferación es la aparición de casos de uso de “aplicaciones nudificadoras”, aquellas que modifican la foto de una víctima para hacerla aparecer desnuda. En este campo se usa la IAG para “crear pornografía no consentida”, cuyas imágenes “son utilizadas para la extorsión, abuso y acoso de las víctimas”, siempre con un fin económico.
Una nueva modalidad de atraco online reflejada en el informe la representan las campañas de malvertising en Facebook: delincuentes que simulan ser empresas o atractivas y novedosas herramientas de inteligencia artificial, muchas veces gratuitas. Gente interesada se descarga sus aplicaciones y acaban integrando su bolsa de víctimas.
Suscríbete para seguir leyendo
- El Supremo confirma la condena de Laura Borràs por prevaricación y rechaza que se le aplique la amnistía
- Perfil de Toni Comín: la caída del 'hermano de exilio' de Puigdemont que comparte casa con Asens
- Encuesta CIS: El PSOE duplica su ventaja sobre el PP pese a las tensiones por el decreto ómnibus y la reducción de jornada
- Sánchez e Illa anuncian los primeros solares y la aceleración de trámites para construir 50.000 pisos públicos en Catalunya
- El cargo de UGT imputado en RTVE filtró el examen de oposición la noche antes con instrucciones de borrado
- La oposición de Ripoll avanza en un pacto para echar a Sílvia Orriols y que Junts asuma la alcaldía
- Uno de los dos condenados por los atentados del 17-A afirma que el CNI conocía las intenciones del imán Es Satty
- Un juez imputa al exdirector del Meteocat Oriol Puig por promover un cártel de empresas