Iberdrola, Telefónica y Santander han copado las miradas en España estas semanas por sus respectivos hackeos. También se ha sabido recientemente la filtración de una gran base de datos personales de clientes de Ticketmaster, con datos tan sensibles como tarjetas bancarias. 

"Son ataques importantes que han coincidido en el tiempo", explica a este medio Josep Albors, director de investigación y concienciación de ESET España. Esta casualidad refleja el mar de tiburones en el que se ha convertido internet. Una cadena inagotable de hackeos que se retroalimenta, combinando unas filtraciones con otras, hasta dar con la forma de estafar a miles de víctimas. Y eso sin contar con los ataques dirigidos a chantajear a las empresas, bloquear sus servicios o difundir información falsa que se dan a diario.

Iberdrola, Santander y Telefónica

El pasado 14 de mayo, el banco Santander informaba de una filtración que ha afectado a clientes tanto de España como de Chile y Uruguay, también a empleados y exempleados de la compañía. Nada más detectarlo, el grupo ha informado a CNMV que se implementaron medidas para gestionar al ataque, como el bloqueo del acceso a bases de datos.

Una semana después, aparecía en un portal pirata la supuesta base de 120.000 datos de clientes robada a Telefónica. En este caso, el hackeo tuvo lugar el pasado mes de marzo y los datos expuestos no son información sensible de los usuarios. Los atacantes habrían accedido a una base de datos con 2.676.108 registros, entre los que se encuentran los nombres y apellidos, las direcciones físicas, las direcciones de correo electrónico y los números de teléfono.

En último lugar, llegaba el caso de Iberdrola, la intrusión se ha conocido esta semana poco después de la de Telefónica. "El incidente, que fue subsanado de forma inmediata, afectó a los siguientes datos: nombre, apellidos, número de DNI y datos de contacto", añade el comunicado.

Todas las empresas han informado a sus clientes y empleados afectados para que extremen las precauciones, aunque aseguran que los datos filtrados no son sensibles ni se han hecho públicos aún. Desde el Banco Santander se afirma que en la información robada "no hay datos transaccionales ni credenciales de acceso o contraseñas de banca por internet que permitan operar con el banco".

Sin embargo, recientemente ha aparecido la supuesta base de datos en un foro de piratería online. Se vende por dos millones de dólares, un precio importante pues los hackers aseguran tener en su haber 30 millones de datos de clientes, 64 millones de números y saldos de cuentas, 28 millones de números de tarjetas de crédito, así como la lista de empleados de recursos humanos y la información de ciudadanía del cliente.

"Hay que tener en cuenta que a día de hoy los datos no son públicos" asegura Alberto Rodríguez, co-organizador de RootedCON. Aunque los foros de la dark web indiquen una cosa, hasta que no se investigue y se revele realmente la documentación puesta a la venta, las indicaciones de estos foros no son fiables. "Tú te tienes que fiar de lo que dice la empresa", quién tiene la responsabilidad legal de informar, pues los cibercriminales "otras veces han ofrecido datos muy jugosos, pero ha resultado siendo humo" dice Rodríguez. 

Los datos, oro para los hackers

Se publique o no información, los expertos aconsejan extremar la precaución siempre. El experto de RootedCON advierte que, "si se hacen públicos, veremos lo de siempre, un aumento de la suplantación de identidades, más ataques de ingeniería social". La consecuencia directa de estos robos es mayor vulnerabilidad de los clientes y empleados en futuros ataques.

"Los usuarios tenemos que prepararnos para lo peor", insiste Albors. Con datos como el nombre, los apellidos, la dirección de correo o de domicilio y teléfonos ofrecen a los cibercriminales la pista para apelar a la confianza de sus víctimas. Pueden fingir, incluso que son la empresa afectada y ofrecerse a restaurar cuentas filtradas solicitando el resto de la información que necesitan como contraseñas y cuentas bancarias. Las empresas no realizan estas llamadas, ni solicitan información por correo o teléfono, solo informan de lo ocurrido.

Fotomontaje del logo de Ticketmaster con un fondo de código. Reuters/NC Omicrono

En el caso de Ticket Master, la filtración es más grave al contar con datos bancarios. Se han robado los números parciales de tarjetas de créditos, suficiente para mostrar cierta seguridad ante la víctima. Esto es lo que se denomina ingeniería social, engañar a la víctima para que aporte más información. 

Pero incluso un nombre completo es una pieza importante del puzzle que están construyendo los hackes. "Lo que hay que tener en cuenta es que esta información se va acumulando, entre unos ataques y otros, y acaban creando un perfil muy interesante tanto de los clientes como de las propias empresas", señala Albors. Con información pública de la red, la filtrada en hackeos y la que la propia víctima facilite, los piratas informáticos acaban elaborando sus campañas de fraude online.

Los hackeados y los que lo serán

Según la empresa tecnológica española Pandora FMS, estos casos son una muestra de que los operadores de sectores estratégicos españoles "están más amenazados que nunca" como consecuencia de la digitalización y de las tensiones geopolíticas. Según datos del INCIBE, a pesar de que la cifra total de ciberataques ha descendido un 80% en cuatro años, hay sectores como el bancario y el transporte que sigue acumulando el 25% del total.

Mapa España ciberseguridad Omicrono-Kaspersky Omicrono

Para Alberto Rodríguez, las bases de datos de estas grandes empresas son muy jugosas y proteger a estos gigantes no es sencillo. "En ciberseguridad tenemos una frase que dice: hay dos clases de empresas, las que han sido atacadas y las que lo serán" dice.

Parte de la dificultad para blindarse está en la cadena de suministro. Iberdrola asegura que el acceso se ha producido a través de uno de sus proveedores. Según el estudio DATA Breach Investigations REport (DBIR) 2024 que ha elaborado Verizon en colaboración con S21Sec, los ciberataques procedentes de la cadena de suministro han aumentado en el último año un 68%. 

"España es un país de pymes, algunas muy pequeñas, y siguen siendo un caramelito para muchos ciberdelincuentes, aunque han ido mejorando en ciberseguridad, hay países que están peor", indica el investigador de ESET. No es necesariamente el país más interesante, pues Alemania sufre más ataques ransomware, pero España, dentro de la Unión Europea, les resulta de los objetivos más fáciles. "En ciberseguridad a veces se trata de tener más defensas que el vecino", afirma Albors.

El método de ataque en los hackeos comentados en este artículo aún no se ha desvelado. Solo la investigación posterior puede arrojar luz sobre el origen de los atacantes y el punto de entrada: una vulnerabilidad del sistema informático, un ataque de saturación o un fallo humano, son muchas las opciones. 

Sistema hackeado iStock Omicrono

El principal problema estaría en la falta de concienciación de ciberseguridad, incluso en la pérdida de dispositivos. Los empleados son el eslabón más débil de las compañías. Ya que el 73% de los ataques se llevan a cabo mediante phishing por correo electrónico, según DBIR. Los usuarios víctimas de estos engaños virtuales tardan una media de 60 segundos en hacer clic a un enlace fraudulento. Como indica el informe, en 2023, más de la mitad de los incidentes fueron por envíos de correos electrónicos a destinatarios equivocados, los cuales aprovecharon las brechas de seguridad para robar información confidencial.

Los investigadores consultados descartan que el motivo de estos incidentes esté relacionado con conflictos internacionales, a pesar de ser empresas esenciales. Con el inicio de la guerra entre Ucrania y Rusia, el mundo de la ciberseguridad se preparó para una ciberguerra con impacto internacional, sobre todo contra los países de la OTAN. Estos ataques centrados en geopolítica persiguen la destrucción de información esencial o el bloqueo de industrias críticas en la sociedad, como es el caso de suministro energético, comunicadiones o alimentación.

En este sentido, se han visto recientemente otros métodos enfocados en dejar inoperativos los servidores y portales de instituciones públicas durante la visita de Zelensky a España o la reunión de la OTAN en Granada. También, recuerda Josep Albors, en estos momentos actores relacionados directamente con Rusia la promoción de fake news y difusión de desinformación para intensificar conflictos locales para influir en las elecciones europeas.