España, tercer país del mundo en ciberamenazas detectadas en la segunda mitad de 2023

La ciberseguridad se mantiene como uno de los grandes riesgos para las empresas en estos momentos. Así lo recogía el Foro Económico Mundial celebrado en Davos hace apenas unos días en una tendencia -a la que ahora se suma la inteligencia artificial- que viene repitiéndose desde hace varios cursos. Temor que, lejos de estar infundado, se basa en una panorámica donde los ataques cibernéticos no hacen sino sucederse, cada vez con más impacto económico y un mayor daño reputacional.

España, en estas lides, es destacado exponente de esta situación, muy a nuestro pesar. Somos el tercer país del mundo con más detecciones de amenazas, sólo por detrás de Estados Unidos y Japón, y el primero de Europa. Lo atestiguan los últimos datos de la firma de ciberseguridad ESET, correspondientes al segundo semestre de 2023, y en los que se también se recogen algunas de esas grandes campañas que tienen en vilo a empresas, consumidores y organismos públicos.

En ese sentido, cabe destacar que a nivel global, el phishing persiste como la ciberamenaza más popular, dominando la tabla con casi la tercera parte del total de las amenazas detectadas. No obstante, llama la atención el incremento del número de códigos JavaScript maliciosos detectados en webs legítimas comprometidas, principalmente variantes de JS/Agent, lo que ha hecho que pase de la quinta posición a la segunda este semestre. En tercera posición, las amenazas catalogadas como DOC/Fraud -conocidas por usar emails de sextorsión- han crecido este semestre un 32% con respecto al anterior.

[De la inteligencia artificial a la confianza cero: las tendencias que marcarán la ciberseguridad en 2024]

“En España coinciden el primer y el tercer puesto de la lista. Sin embargo, la explotación de vulnerabilidades antiguas sigue estando muy presente en nuestro país y, de hecho, ocupa la segunda posición con una vulnerabilidad de Office con más de seis años de antigüedad”, explica Josep Albors, director de investigación y concienciación de ESET España. “También observamos como familias de infostealers y troyanos bancarios se cuelan en este top10, lo cual es un reflejo del tipo de amenazas a las que suelen enfrentarse usuarios y empresas españolas prácticamente a diario”.

Especialmente reseñable resulta esa dejadez española en el uso de soluciones informáticas desactualizadas y sobre las que no hay ya parches de seguridad que puedan mitigar posibles lagunas por las que pueda acceder un ciberdelincuente. De hecho, este mismo vector es común en cuanto a exploits y ataques de fuerza bruta a servicios corporativos. Esto permite a los ciberatacantes seguir usando vulnerabilidades antiguas con éxito, facilitando su trabajo y poniendo en riesgo la información que las empresas almacenan.

También destaca Albors los numerosos casos de infostealers dirigidos principalmente a empresas españolas y que tenían como finalidad robar credenciales de correo electrónico y otros servicios de uso cotidiano como clientes de correo, VPNs, clientes FTPs y todas aquellas credenciales que los empleados tuvieran almacenadas en sus navegadores. En ello, la familia predominante en nuestro país es Agent Tesla, líder absoluto con más de un 38% de detecciones. Otros clásicos como Formbook o el troyano bancario Grandoreiro mantienen su presencia, según ha presentado ESET en rueda de prensa.

Webs legítimas infectadas

Pero si todo esto era algo relativamente conocido, lo más preocupante llega al hablar del notable incremento de las infecciones de webs legítimas por parte del malware catalogado como SpyBanKer, y que engloba varias familias de amenazas especializadas en robar datos de tarjetas bancarias.

En la segunda mitad del año, ESET ha observado un incremento del 111% en este tipo de detecciones y, además, se han detectado potentes campañas que suplantaban la pasarela de pago legítima de los comercios online, campañas estacionales con falsos sorteos y encuestas con atractivos regalos e, incluso, campañas que suplantaban a importantes portales de reservas vacacionales como Booking.

Josep Albors explica que su éxito radica en que se trata de “mensajes que llegan desde la propia web o portal de la compañía, por lo que no habría motivos para dudar en un inicio. Además juegan con datos que sólo el cliente y la empresa conocen, como el hotel concreto que has reservado o las fechas de esa reserva. Y muchas de estas tiendas online desconocen por completo que han sido infectadas hasta que pasan una auditoría o les salta una alerta de su sistema de seguridad”.

Menos impacto del ‘ransomware’

Si nuestro país es un alumno demasiado aventajado en lo que se refiere a ciberamenazas en general, lo es algo menos en cuanto al ransomware se refiere. España figura, siempre según las cifras de esta firma de seguridad, entre los diez estados más afectados, pero muy lejos de las grandes víctimas como Estados Unidos.

Albors considera que gran parte de las familias más habituales vuelven a ser versiones de antiguas variantes, aunque también se han encontrado otras más actuales. En los dos primeros puestos encontramos Stop ransomware, una familia que ha estado activa desde 2017 y que tiene muchas variantes, y BlackMatter, aunque esta también puede representar a variantes actuales de LockBit 3.0, ya que sus creadores han incorporado partes de su código.

Así con todo, el correo electrónico sigue siendo uno de los principales vectores de ataque –si no el principal- a la hora de propagar amenazas en nuestro país.

"Si analizamos los tipos de ficheros que suelen venir acompañando estos correos maliciosos vemos como los scripts y archivos ejecutables representan casi el 75% de todas las detecciones. Estos archivos suelen ser fácilmente detectables por las soluciones de seguridad y, aun así, los delincuentes los emplean de forma masiva confiando en que muchos no disponen de estas soluciones, están incorrectamente configuradas o directamente deshabilitadas”, indica Albors.

El informe de ESET también advierte sobre el aumento de las campañas que utilizan la Inteligencia Artificial para generar contenidos falsos o engañosos, como fotomontajes, vídeos deepfake o desnudos artificiales. Estas técnicas se usan para suplantar la identidad de personas famosas, estafar a los usuarios o extorsionar a las víctimas. Una tendencia que se prevé que vaya en aumento debido a la facilidad de acceso a servicios de IA.

En cuanto a las criptomonedas, y a pesar del aumento del valor del bitcoin, solo se ha notado un pequeño incremento en las amenazas directamente relacionadas, destacando los criptomineros y las campañas que usan IA para suplantar la identidad de famosos y presentadores de cadenas de TV.