Los mayores ciberataques de 2023: del ransomware al Hospital Clínic de Barcelona a la estafa del hijo en apuros

La ciberdelincuencia crece a un ritmo desmesurado en todo el mundo y, en España, los atacantes no se han quedado atrás este 2023. Las principales estafas cibernéticas que han afectado a los españoles, según un comunicado de ESET España, han sido las campañas de phishing sofisticadas, a través de correos electrónicos fraudulentos en los que se suplanta la identidad de responsables de sistemas o entidades oficiales «para inducir a las víctimas a revelar información sensible».

Además, la empresa de ciberseguridad también ha detectado que, durante este año, ha habido un aumento en la explotación de vulnerabilidades en servicios expuestos online y en las aplicaciones corporativas. Esto ha dado lugar a que los ciberdelincuentes tengan acceso a información confidencial. En este artículo, comentaremos algunos de los ataques informáticos que más perjudiciales han llegado a ser.

Los ciberdelitos más destacados de los 12 meses del 2023

Hay estudios recientes que afirman que nuestro país es el tercero del mundo en el que más ciberataques se produce de media a la semana. Según las estimaciones, se dan unos 1.250 ataques cada siete días y solo Estados Unidos y Rusia superan este número.

La correduría especializada en seguros de ciberriesgo Watch&Act Protection Services (W&APS) coincide con ESET al señalar los ataques de phishing como uno de los más comunes y menciona las variantes smishing (vía SMS) o el vishing (vía llamada telefónica). En su nota de prensa, apuntan que la mayoría se hace pasar por entidades públicas como la Seguridad Social o la Agencia Tributaria, por entidades bancarias o, debido al auge del ecommerce, por servicios de Correos y paquetería.

A lo largo de estos últimos doce meses, W&APS ha hecho un repaso de los ciberdelitos que más han destacado este 2023:

  • Enero: 107 ayuntamientos de la provincia de Vizcaya se vieron afectados por un intento de ciberataque. Por ejemplo, el Ayuntamiento de Durando tardó más de una semana en restablecer sus sistemas. Como amenaza principal destacó la suplantación de identidad de la Seguridad Social, con una campaña de phishing que descargaba un malware en el dispositivo de quien picará el anzuelo y pinchará en el link correspondiente. 
  • Febrero: Telepizza sufrió un ataque de ransonware, y los servidores de la Agencia Tributaria fueron vulnerados con el objetivo de obtener datos fiscales de la ciudadanía. Se suplantó la identidad de BBVA, Santander y WiZink
  • Marzo: el Hospital Clínic de Barcelona sufrió un ataque de ransomware que encriptó sus sistemas y tardaron varias semanas en recuperar su actividad normal, lo que causó grandes pérdidas económicas y de datos personales. También varias webs gubernamentales (una de ellas el Ministerio de Hacienda) tuvieron ataques en cadena, y suplantaron a la Agencia Tributaria a través de smishing para conseguir información mediante una supuesta actualización de los datos de pago para recibir la ayuda del Estado de 200 euros. Otra estafa sonada fue la cadena de WhatsApp de un supuesto sorteo de la marca cervecera Mahou de una nevera por el día del padre. 
  • Abril: Yoigo sufrió un ataque a gran escala en el que se accedió a información personal de clientes. La Agencia Tributaria volvió a ser suplantada por SMS y, supuestamente, pedían los datos de la tarjeta bancaria de los usuarios para recibir el reembolso de un impuesto o de la declaración de la renta de 2022. 
  • Mayo: la Agencia Estatal de Meteorología (AEMET) fue víctima de un ataque que obligó a suspender temporalmente su servicio como medida preventiva. Las campañas de phishing fueron muchas y afectaron a la empresa de paquetería FedEx, la energética Endesa y, de nuevo, a la Agencia Tributaria y a la Seguridad Social
  • Junio: el Ayuntamiento de Cangas (Pontevedra) fue atacado por un ransomware que imposibilitó el funcionamiento de la mitad de sus ordenadores y más de 200 funcionarios no pudieron cobrar. Además, se registraron varias campañas de smishing que suplantaban la identidad de entidades bancarias. 
  • Julio: hubo un ataque de denegación de servicio (DoS) que colapsó los servidores y webs de varias entidades durante las Elecciones Generales, como el Ayuntamiento de San Fernando de Henares, el Metro Ligero Oeste de Madrid, la Sede Electrónica del Ministerio del Interior y el Consorcio Regional de Transportes de Madrid. De las suplantaciones de identidad que se detectaron vía email, son reseñables las de la Policía Nacional y la Guardia Civil, con falsas acusaciones de delitos relacionados con la pornografía. 
  • Agosto: la sextorsión para amenazar a las víctimas de la difusión de vídeos íntimos si no pagaban una determinada cantidad de Bitcoins despuntó considerablemente. También sobresalen las suplantaciones de la Seguridad Social vía SMS. 
  • Septiembre: el ataque más sonado fue el del Ayuntamiento de Sevilla, que dejó durante varias semanas a la ciudadanía de la capital andaluza sin acceso a varios servicios de trámites telemáticos y tuvo un coste económico de unos 5 millones de euros. Con respecto a las estafas de phishing, la Agencia Tributaria fue la más suplantada por falsas incidencias en las declaraciones de la renta. 
  • Octubre: la compañía aérea Air Europa sufrió un ciberataque y se filtraron los datos de tarjetas de créditos asociadas a las compras de billetes de muchos clientes. De la suplantación de identidad, las campañas más sonadas fueron las del Instituto Nacional de Ciberseguridad, la Fábrica Nacional de Moneda y Timbre y la Agencia Tributaria. 
  • Noviembre: se detectó un acceso no autorizado a los datos de un colaborador de Vodafone que podría haber comprometido los datos personales y bancarios de un número limitado de clientes, y se hackeó la web del sindicato de Comisiones Obreras (CCOO). Asimismo, fue el mes del Black Friday y hubo muchos intentos de fraude relacionados con compras online y entregas de paquetería, suplantando la identidad de entidades como Correos o DHL. 
  • Diciembre: en el último mes de este 2023, cabe mencionar el ataque a los servidores del despacho de abogados CMS Albiñana y Suárez de Lezo, que tiene clientes importantes como Iberdrola o Santander. Los ciberdelincuentes se hicieron con una gran cantidad de archivos confidenciales y pidieron un rescate millonario.

La estafa del hijo en apuros se ha triplicado

A lo largo de todo este año, es conveniente subrayar una estafa que se ha difundido en varias ocasiones según la empresa de ciberseguridad y cumplimiento normativo Proofpoint. Se trata de la del ‘hijo en apuros’, que es un tipo de smishing en la que los ciberdelincuentes se hacen pasar por el hijo de sus potenciales víctimas asegurando que se han tenido que cambiar de móvil.

Generalmente, los atacantes piden a los usuarios que les escriba por WhatsApp. No todos caen en la trampa, sin embargo, hay padres preocupados con hijos que podrían hacerlo. Una vez iniciada la conversación por la app de mensajería de Meta, los estafadores se inventan una excusa para pedir bastante dinero a sus víctimas urgentemente, comentando que se lo devolverán en cuanto puedan.

En Proofpoint, calculan que la estafa del hijo en apuros ha aumentado globalmente un 318% en 2023. «El abuso a través de mensajes de texto y redes sociales es especialmente preocupante, porque los atacantes invierten tiempo y esfuerzo en ganarse la confianza de sus víctimas, empezando por una conversación de lo más inofensiva para engañarlas y burlar tanto las defensas técnicas como humanas», declara Stuart Jones, director de la división Cloudmark de Proofpoint.

Casi 400 millones de dólares en estafas cripto

Por otro lado, la plataforma de datos de blockchain Chainalysis ha investigado sobre las estafas realizadas a través de phishing relacionadas con su campo este 2023 y estima que se han sustraído más de 374 millones de dólares en total. La técnica más común entre los estafadores consiste en engañar a las víctimas para que firmen una transacción de blockchain que les permite gastar tokens específicos dentro de la cartera de la víctima.

Los expertos de Chainalysis consideran que el éxito del phishing se puede atribuir al hecho de que muchas aplicaciones descentralizadas (dApps) en blockchains habilitadas para contratos inteligentes, como Ethereum, requieren que los usuarios firmen aprobaciones para dar permiso a los contratos inteligentes de las dApps para mover fondos desde la dirección del usuario. «Aunque las autorizaciones concedidas para proteger las dApps suelen ser seguras, los delincuentes pueden aprovecharse del hecho de que muchos usuarios de criptomonedas están acostumbrados a aprobar autorizaciones para las transacciones – explica Eric Jardine, Cybercrime Research Lead en Chainalysis-. La diferencia clave está en qué tipo de permisos se dan, y la fiabilidad de la parte que recibe ese permiso».

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Explore additional categories

Ponete al día con series, cine y música