Air Europa, Sevilla, o el Clínic de Barcelona: 7 de los ciberataques más sonados este 2023 en España

No hay nadie a salvo. Ni jugadores de Minecraft, ni centros médicos, ni países enteros. La ciberdelincuencia, por atípica que sea, es desde hace lustros una industria que sigue creciendo, sofisticando tanto sus técnicas como su eficiencia. Hay patrones que se homogeneizan, tendencias que evolucionan, pero la única certidumbre es esa: nadie está seguro al 100%.

Este 2023 es buena prueba de ello. En los últimos cinco años se ha visto cómo las organizaciones criminales que se dedican a la extorsión en línea operando el ransomware se han convertido en auténticas megacorporaciones criminales que incluso prestan su servicio a terceros para minimizar riesgos y maximizar beneficios.

El ransomware, la técnica mediante la cual un malware infecta el dispositivo o la red de sus víctimas para cifrar toda su información, ha pasado de ser un método de una extorsión —paga un rescate para que tus servicios recobren la normalidad— a serlo de doble extorsión, cuando no triple —además de cifrar, los actores maliciosos roban información y amenazan con hacerla pública—.

Buena prueba de ello han sido sonados incidentes a nivel global. A principios de año, Royal Mail, la empresa postal británica, fue víctima de un ciberataque con el ransomware LockBit: le exigieron 80 millones de dólares como rescate. La compañía se negó a pagar, pero su recuperación habría provocado pérdidas de unos 12 millones.

Otro ejemplo tuvo lugar hace escasos días en la industria del videojuego. Una organización de ciberdelincuentes que responde al nombre de Rhysida advirtió hace unos días que había extraído 1,7 teras de información de las redes de Insomniac Games, un estudio de videojuegos asociado a PlayStation y responsable de títulos como Marvel's Spider-Man o Spyro.

Para ser hacker hay que saber mentir, aunque al jefe del Red Team de Google se le da fatal: esta es la curiosa tradición que tiene su equipo

El colectivo ofreció su botín al público a cambio de 50 bitcoins —algo más de 2 millones de euros— y al cabo de una semana hizo real la peor pesadilla del estudio filtrando toda la información, con lo que ha desvelado desde hojas de rutas a futuros títulos por anunciar de la compañía. Todo un desastre.

Pero el incidente de Insomniac puede parecer una menudencia si se compara con la gravedad que pueden adquirir este tipo de ciberincidentes en circunstancias más críticas. Por ejemplo, un país en guerra: los ataques informáticos también se siguen produciendo en el marco de la invasión de Ucrania o de la Franja de Gaza, y los asaltos sobre hospitales y centros médicos se multiplican.

En el fragor de la pandemia, hace no tantos años, algunas de las organizaciones detrás de estos ransomware que inundan la red advirtieron que esos ataques a a instituciones sanitarias eran una línea roja. Pero muchas veces esos ransomware no los operan ellos, sino terceros, y a veces estas infecciones se propagan por la red disparando a ciegas contra agujeros y objetivos vulnerables.

De estos peligros no ha estado exenta España. Y más, en pleno año electoral. Sin ir más lejos, el pasado mes de julio, cuando el país votaba en las elecciones generales del 23J, una organización hacktivista prorrusa reivindicó un ataque contra la infraestructura informática del Ministerio de Interior que no fue a mayores.

Por supuesto, estos asaltos por parte de sofisticados criminales informáticos se siguió produciendo contra el sector privado. En España y en cualquier parte del mundo, el objetivo más goloso de este tipo de acciones ilícitas siguen siendo las pequeñas y medianas empresas. Por lo general, estas compañías no cuentan con el grado de madurez en ciberseguridad que sí tienen firmas más grandes.

Además, un ataque contra una pyme puede desembocar en daños irreparables que pueden llevar incluso a la empresa al cierre. En esa tesitura, en la que un apagón de los servicios digitales de una empresa puede ser una condición de supervivencia, las víctimas son más propensas a pagar esos rescates. A pesar de que los expertos recomiendan que esto no se haga nunca.

Lo que sucede es que los ataques informáticos contra las pymes no son tan sonados. Pero las páginas que las propias organizaciones criminales gestionan en la dark web o en sus canales de Telegram suelen estar repletas de reivindicaciones contra compañías de todo el mundo. En todo momento hay alguien intentando entrar por la puerta de atrás.

Estos han sido los ciberataques más sonados en España en 2023.

El ataque a Air Europa que provocó que sus clientes tuvieran que cancelar sus tarjetas de crédito

En octubre miles de clientes de la aerolínea Air Europa recibieron un correo electrónico de la compañía que, tal y como estaba redactado, es la pesadilla de cualquier CISO —responsable de Ciberseguridad—. En el email se pedía a los usuarios que anularan sus tarjetas de crédito: habían sufrido un ataque que había comprometido los datos bancarios que almacenaba la firma.

El número de tarjeta, la fecha de caducidad e incluso el código de seguridad CVV. Todo cayó en manos de criminales informáticos que, según trascendió entonces, habrían logrado acceso a una base de datos de al menos 100.000 clientes de la empresa.

No es la primera vez que una aerolínea o una empresa sufre una exfiltración de los datos personales de sus usuarios, pero sí ha sido una de las primeras veces en España en las que el robo de datos es de esta magnitud. Normalmente la información está cifrada y lo más que pueden extraer los criminales son cuentas de correo o datos postales, útiles para preparar nuevos asaltos.

Había algo tranquilizador en el correo de Air Europa, eso es cierto: los criminales habían robado datos bancarios pero no podían cruzar la información con los nombres de los clientes. El riesgo de suplantaciones de tarjetas fue igual de preocupante y se tuvieron que anular bastantes, pero la empresa defendió que los asaltantes no habían logrado extraer "otro tipo de información personal".

Crecen los ciberataques a hospitales: los ciberdelincuentes que atacaron el Clínic de Barcelona chantajearon con datos de pacientes

Por la magnitud de la información robada, el ciberataque que sufrió el Clínic de Barcelona es uno de los asaltos informáticos a centros sanitarios más importantes del mundo en 2023. 

El centro hospitalario no solo sufrió un apagón en sus sistemas durante días para contener la intrusión. La medida le obligó a cancelar los servicios de urgencias, laboratorio y farmacia: en un día se dejaron de hacer más de 4.000 análisis, más de 300 intervenciones y de atender más de 11.000 visitas de las consultas externas.

No, además de eso, sufrió un robo de información sensible que ascendió. El botín superó los 4,5 teras y los ciberdelincuentes trataron de chantajear al centro exigiéndole un rescate de más de cuatro millones de euros. Los criminales fueron publicando la información en la dark web entre la que se encontraba resultados de análisis y datos de pacientes, así como datos personales de empleados.

Los criminales llegaron a amenazar con filtrar la información de pacientes con enfermedades infecciosas. La Autoridad de Protección de Datos catalana abrió un expediente al centro sanitario el pasado verano, tras los estragos provocados por este incidente.

Las instituciones públicas también son víctimas: ayuntamientos como el de Cangas o Sevilla provocaron afecciones a los vecinos

Las instituciones públicas tampoco han estado exentas de las amenazas en la red. Incluso en pleno fragor de las elecciones generales, la Administración General del Estado detectó un ataque a sus servicios que en esta ocasión no fue a mayores.

Quizá, tras años en los que se han visto asaltos con ransomware muy graves en entidades como el SEPE, pueda parecer que este 2023 ha sido algo más relajado en cuanto a la ciberseguridad institucional. Nada más lejos de la realidad. Para muestra, algunos de los incidentes que han trascendido en los medios y que más relevancia han tenido.

Uno de los primeros sustos del año lo vivió la Diputación de Vizcaya, que tuvo que desactivar su sede electrónica para desarticular un intento de asalto. En marzo, la Agencia Tributaria detectó otro intento de asalto que quedó solo en tentativa. Un par de meses después, en mayo, páginas de la Agencia Estatal de Meteorología estuvieron inactivas unas horas ante otro intento de ataque.

Prepárate para el día Q, un hito mundial en el ámbito de la ciberseguridad que expondrá tus secretos más importantes

En verano el Ayuntamiento de Cangas (Pontevedra, Galicia) no pudo pagar en tiempo y forma las nóminas de los funcionarios municipales por otro incidente informático. Pero el asalto más preocupante del año a una institución pública lo protagonizó el Ayuntamiento de Sevilla.

A inicios de septiembre la capital andaluza también tuvo que desactivar varios servicios municipales en línea e incluso el Cuerpo de Bomberos local tuvo problemas, al ver cómo los sistemas informáticos que facilitaban las mejores rutas rápidas en tiempo real para llegar a incidentes estuvieron inhabilitados.

Con todo, el Ayuntamiento sevillano, que destacó que se trataba de un colectivo especializado en ransomware quien estuvo detrás del ataque, enfatizó que no negociaría el pago del rescate con estos criminales.

El 'ransomware' también impacta sobre Telepizza y sus restaurantes

LockBit, uno de los colectivos responsables del ransomware del mismo nombre, ha sido uno de los grupos más prominentes de este 2023. Buena prueba de ello se vio en su ataque a Telepizza, la firma española de restaurantes. Food Delivery Brands, la matriz detrás de la firma que también gestiona otras marcas como Pizza Hut, sufrió un robo de 14 gigas en datos.

Toda la información sustraída por Lockbit apareció en la dark web, con detalles cómo la facturación de la compañía en los distintos países en los que opera o los contratos de exempleados, según advirtió El Confidencial. 

El asalto se produjo en los sistemas de back office, los servidores donde las compañías almacenan sus documentos legales. Fuentes de Food Delivery Brands detallaron a El Confidencial que los ciberdelincuentes habían logrado acceder a datos históricos de empleados "pero no a los actuales", además de archivos "en los que aparecía la facturación de nuestros franquiciados".

El sector de las telecos sigue siendo uno de los más golpeados: la doble pesadilla del grupo MásMóvil en 2023

También el sector de las telecomunicaciones ha sufrido órdagos por parte de organizaciones criminales. Los clientes de las operadoras son víctimas habituales de estafas como el phishing o el SIM swapping y por ello no es casualidad que estas compañías copen los primeros puestos en multas por vulnerar el Reglamento General de Protección de Datos (RGPD).

Pasó primero en abril, con Yoigo: los ciberdelincuentes lograron acceder a datos de los clientes de la firma. Datos como nombres, direcciones o teléfonos. La firma, propiedad de MásMóvil, no detalló el número de afectados, pero sí realizó varios cambios en la información de seguridad que solicita a sus clientes para evitar que los criminales perpetren más ilícitos.

Es habitual que con la información sustraída, los ciberdelincuentes preparen nuevas estafas tratando así de afectar a los clientes de estas empresas mediante tretas con las que vaciar sus respectivas cuentas bancarias.

El ataque no afectó solo a Yoigo, porque en mayo se produjo otro ataque sobre otras de las compañías del grupo MásMóvil, Euskaltel. Los asaltantes empezaron a filtrar la información robada de la operadora. Un total de 29 gigas que contenían informes jurídicos, financieros y relacionados con Recursos Humanos.

Aunque el ataque se produjo en mayo, los ciberdelincuentes dieron a la operadora hasta mediados de junio para hacer frente a un rescate. Dado que la información afloró en la red a partir de esa fecha, se da por hecho que Euskaltel nunca hizo frente a ese chantaje.

Tampoco escapa el motor: así atacaron a Hyundai en España y al distribuidor de Ford en Cataluña

Pocos sectores escapan de las amenazas en internet y estos dos ejemplos lo constatan: el mundo del motor también ha sufrido ciberataques en España. La filial en el país de Hyundai, por ejemplo, vio en abril cómo un grupo de criminales informáticos accedían a las bases de datos de la empresa para robar la información de miles de clientes.

Aunque en esta ocasión la información sustraída no incluía datos bancarios de los usuarios, el número de afectados se contaría por miles, a tenor de lo que comunicó entonces la marca.

Apenas unos días antes Lockbit, el grupo que ya perpetró un ataque contra Telepizza y su matriz, anunció un ciberataque con éxito sobre el distribuidor oficial de Ford en Cataluña, lo que provocó que ocho concesionarios de Barcelona y Girona tuviesen dificultades para operar durante unos días. Los ciberdelincuentes dieron un plazo de una semana para abonar el rescate.

Telemadrid, sin emisión: la televisión pública madrileña también sufrió un incidente informático en 2023

Un sector que no suele estar en la diana de los criminales informáticos es el de los medios de comunicación. No siempre es así: en noviembre de 2019 la Cadena Ser fue víctima de un asalto que provocó que durante horas en sus estudios las últimas horas y las crónicas se escribieran a mano para poder locutarlas ante los micrófonos.

Este 2023 la víctima ha sido Telemadrid. La televisión pública madrileña sufrió un apagón informático el pasado mes de octubre que dejó a la emisora sin la posibilidad de retransmitir su programación habitual en directo. La tele se vio obligada a programar contenidos pregrabados, como un documental, mientras sus servicios técnicos intentaban recobrar la normalidad.