La ciberseguridad se ha convertido ya, por derecho propio, en un imperativo para todo tipo de organizaciones, tanto públicas como privadas. Velar por la seguridad de los datos, los servidores y los sistemas, cuando prácticamente todo está digitalizado, es fundamental para mantener no sólo la integridad del negocio, sino también la privacidad de sus grupos de interés, ya sean empleados, clientes, accionistas o proveedores. Sin embargo, estudios recientes cifran en 1.250 el número de ciberataques que se producen de media cada semana en España, que se considera el tercer país del mundo, sólo después de Estados Unidos y Rusia, que más delitos cibernéticos registra.
Algunos llegan a consumarse, solicitando rescates millonarios si la entidad atacada quiere recuperar la información robada mediante técnicas como el ransomware, una de las más frecuentes. Otros se quedan en simples amenazas, utilizando técnicas como el phishing, que consiste en suplantar la identidad de una organización que invita al usuario a pinchar en un enlace para resolver una incidencia para hacerse con sus datos.
El phishing se realiza mediante correo electrónico, y tiene otras variantes que utilizan como canal los mensajes SMS (smishing) o la extorsión por vía telefónica (vishing). En estos casos, el mayor número de amenazas corresponden a entidades públicas como la Seguridad Social o la Agencia Tributaria, a entidades bancarias y, debido al auge de las compras online, también a los servicios de Correos y paquetería.
Desde Watch&Act Protection Services han seleccionado estos ataques y amenazas como los más llamativos entre todos los registrados en los últimos 12 meses:
Enero
107 ayuntamientos de la provincia de Vizcaya afectados por un intento de ciberataque. A modo de ejemplo, el Ayuntamiento de Durango tardó más de una semana en restablecer sus sistemas. Como amenaza principal destacó la suplantación de identidad de la Seguridad Social, con una campaña de phishing que descargaba un malware en el dispositivo de quien picara el anzuelo.
Febrero
La empresa Telepizza sufrió un ataque de ransomware, y los servidores de la Agencia Tributaria fueron atacados con el fin de obtener los datos fiscales de los ciudadanos. Las suplantaciones de identidad de este mes correspondieron a tres entidades bancarias: BBVA, Santander y WiZink.
Marzo
El Hospital Clínic de Barcelona fue objeto de un ataque de ransomware que logró encriptar sus sistemas, tardando varias semanas en recuperar su actividad normal, lo que le causó importantes pérdidas económicas y de datos personales. Además, varias páginas web del Estado sufrieron ataques en cadena, entre ellas la del Ministerio de Hacienda. La Agencia Tributaria fue suplantada mediante la técnica del smishing, solicitando actualizar la información de pago para recibir una ayuda económica del Gobierno de 200 euros. También se recibieron mensajes fraudulentos a través de WhatsApp suplantando la identidad de la cervecera Mahou.
Abril
Yoigo sufrió un ciberataque a gran escala con acceso a información personal de sus clientes. Y de nuevo, vía smishing, supuestamente la Agencia Tributaria solicitaba información de la tarjeta bancaria.
Mayo
La AEMET fue víctima de un ciberataque que obligó a suspender temporalmente su servicio. Las campañas de suplantación de identidad fueron especialmente numerosas, afectando a la empresa de paquetería FedEx, a la energética Endesa y, una vez más, a la Agencia Tributaria y a la Seguridad Social.
Junio
Un ataque de ransomware sufrido por Cangas dejó sin funcionar a la mitad de los ordenadores y sin poder cobrar a más de 200 funcionarios. Además, se registraron varias campañas de smishing suplantando a varias entidades bancarias.
Julio
Durante las Elecciones Generales, un ciberataque de denegación de servicio colapsó los servidores y páginas web de diferentes entidades e instituciones de Madrid. Las suplantaciones de identidad mediante e-mails fraudulentos tuvieron por objeto a la Policía Nacional y Guardia Civil. Su objetivo era extorsionar a la víctima para que conteste al correo, en el que se le acusaba de cometer una serie de delitos relacionados con pornografía.
Agosto
Campaña de sextorsión en la que se amenazaba a los usuarios con que publicarían unos vídeos íntimos suyos si no les pagaban una determinada cantidad en bitcoins. Y nuevamente fue suplantada la identidad de la Seguridad Social en una campaña de smishing solicitando datos que después venderían en la dark web para ciberestafas.
Septiembre
El ciberataque más sonado fue el de la página web del Ayuntamiento de Sevilla, que dejó durante varias semanas a los ciudadanos de la capital andaluza sin acceso a un buen número de servicios y sin posibilidad de hacer trámites telemáticos. El coste del ataque se estimó en unos 5 millones de euros. La Agencia Tributaria repitió como protagonista de otra campaña de smishing que solicitaba al usuario que accediera a una web para solucionar una incidencia en su declaración de la renta.
Octubre
Air Europa avisó a sus clientes de que un ciberataque había filtrado los datos de las tarjetas de crédito asociadas a las compras de sus billetes. Y las amenazas por suplantación de identidad afectaron este mes a organismos públicos como el Instituto Nacional de Ciberseguridad, a la Fábrica Nacional de Moneda y Timbre y la Agencia Tributaria.
Noviembre
Acceso no autorizado a los datos de un colaborador de Vodafone, por el que se han visto comprometidos datos personales y bancarios de un número limitado de clientes. Y la web del sindicato Comisiones Obreras también se vio afectada por un ciberataque. Siendo el mes del Black Friday, los intentos de fraude estuvieron relacionados con las compras online.
Diciembre
El despacho de abogados CMS Albiñana y Suárez de Lezo, que tiene entre sus clientes a grandes empresas, ha sufrido un ciberataque a sus servidores obteniendo gran cantidad de archivos.
