Los ciberataques que marcaron 2023 en España fueron estos

La protección cibernética es un requisito esencial para todas las organizaciones, tanto del ámbito público como del privado. Garantizar la seguridad de datos, servidores y sistemas es vital en una era donde la digitalización es omnipresente, no solo para preservar la integridad empresarial, sino también la confidencialidad de empleados, clientes, accionistas y proveedores. Recientes estudios indican que España, posicionada como el tercer país con mayor registro de delitos cibernéticos y ciberataques detrás de EE.UU. y Rusia, experimenta un promedio de 1.250 ataques cibernéticos semanalmente.

Ciberataques: no discriminan destinatarios

Estos ataques van desde el ransomware, que busca extorsionar a las entidades con sumas millonarias por la recuperación de datos robados, hasta amenazas menos severas como el phishing, que busca engañar a los usuarios para obtener sus datos. El phishing se realiza principalmente a través del correo electrónico, pero también adopta otras formas como el smishing (vía SMS) o el vishing o extorsión telefónica. Las principales víctimas de estas amenazas suelen ser organismos públicos, bancos y, debido al incremento de compras online, servicios de correos y paquetería. Watch&Act Protection Services (W&APS) ha identificado los siguientes ataques y amenazas como los más notorios en el último año:

• Enero: 107 ayuntamientos en Vizcaya afectados por intentos de ciberataques. Campaña de phishing en nombre de la Seguridad Social.
• Febrero: Telepizza y la Agencia Tributaria sufrieron ataques de ransomware. Suplantaciones de identidad de BBVA, Santander y WiZink.
• Marzo: el Hospital Clínic de Barcelona y páginas web estatales, incluyendo la del Ministerio de Hacienda, fueron atacados. Smishing en nombre de la Agencia Tributaria y mensajes fraudulentos de WhatsApp suplantando a Mahou.
• Abril: ataque a Yoigo y smishing suplantando a la Agencia Tributaria.
• Mayo: Ciberataque a la AEMET y numerosas campañas de suplantación de FedEx, Endesa, Agencia Tributaria y Seguridad Social.
• Junio: ransomware al Ayuntamiento de Cangas y smishing a varias entidades bancarias.
• Julio: ataques de denegación de servicio durante las Elecciones Generales afectando varias entidades. Suplantaciones de la Policía Nacional y Guardia Civil por correo electrónico.
• Agosto: campaña de sextorsión y smishing en nombre de la Seguridad Social.
• Septiembre: ataque a la web del Ayuntamiento de Sevilla. Smishing usando el nombre de la Agencia Tributaria.
• Octubre: fuga de datos en Air Europa y ataques de phishing y vishing a INCIBE, la Fábrica Nacional de Moneda y Timbre y la Agencia Tributaria.
• Noviembre: acceso no autorizado a datos de Vodafone y ciberataque a la web de CCOO. Fraudes relacionados con compras online y servicios de paquetería.
• Diciembre: ataque al despacho de abogados CMS Albiñana y Suárez de Lezo, con exigencia de un rescate millonario por datos confidenciales.

«Todavía quedan unos días para que termine diciembre y podemos esperar nuevas amenazas y suplantaciones de identidad, en una época que destaca especialmente por la gran cantidad de transacciones electrónicas que se realizan. Y no descartemos algún ataque sonado como colofón de fin de año», afirma Javier Huergo, responsable de W&APS. El experto recuerda que, tal y como recoge su informe sobre transparencia en la información sobre ciberseguridad en las empresas del IBEX 35, «la formación del personal y la inversión en medidas de ciberprotección son esenciales para reducir el riesgo y minimizar el impacto negativo de los ciberataques».