Logo Computerhoy.com
Newsletters
Logo Computerhoy.com
  1. Home >
  2. Tecnología >
  3. Ciberseguridad

Los grupos de cibercriminales que siembran el caos en España y el mundo en el punto de mira

Los grupos de cibercriminales que siembran el caos en España y en el mundo en el punto de mira
Foto del redactor Carolina González ValenzuelaFoto del redactor Carolina González Valenzuela

Redactora de Tecnología

Ciberseguridad

Los grupos organizados de ciberdelincuentes han aprovechado el potencial de Internet y el desarrollo de nuevas tecnologías en los últimos años para sofisticar sus ataques casi imparables causando millones de pérdidas económicas.

Ataques de phishing que se dispararon en 2022 llegando a un total de 3.394.662 en solo 3 meses, estimaciones de que el costo del delito cibernético global alcanzará los casi 10.000 millones de euros para 2025 y rescates que alcanzaron en 2022 —y solo en España— un valor de de 415 millones de euros. La ciberseguridad ya no es algo secundario.

Los ciberataques nunca han sido más complejos, más rentables y quizás incluso más desconcertantes. "La tormenta geopolítica en curso trae consigo no solo las amenazas cibernéticas clásicas para las empresas, sino también riesgos impredecibles y 'cisnes negros'", añaden fuentes de Kaspersky.

"Los ciberataques se han convertido en una constante en nuestra vida diaria. En los últimos tiempos, hemos visto cómo afectan a hospitales, infraestructuras críticas, a operadores de telefonía, a empresas de automoción, a diputaciones, a ayuntamientos, etc. Campañas de phishing, ataques de ransomware, ataques distribuidos de denegación de servicio (DDoS)…", explica para Computer Hoy Raquel Puebla, analista de ciberinteligencia de Entelgy Innotec Security. 

En este artículo se revelarán qué actores de amenazas creen los expertos en seguridad cibernética que cobrarán importancia en 2023 a nivel mundial y en España.

Los 3 grandes actores de amenazas más peligrosos a nivel mundial

En un amplio y detallado informe realizado por el servicio de Investigación e Inteligencia de Amenazas de BlackBerry desde el 1 de septiembre y el 30 de noviembre de 2022, analizaron casi 1,8 millones de ataques destacando algunos grupos de ciberdelincuentes clave.

"A nivel internacional, en la actualidad la atención está focalizada en las operaciones de ransomware, ya que además de actuar contra una gran variedad de organizaciones indistintamente constituye una tipología de ciberataques en la que confluyen la consecución de objetivos geopolíticos y económicos,  ya que se aboga por la desestabilización y la pérdida de reputación e influencia dentro del contexto global", explica Raquel Puebla.

Comienza la campaña de la Renta 2022/23 y con ella las ciberestafas: cómo protegerte según expertos

'BlackCat'

BlackCat es un grupo de ciberdelincuencia relativamente nuevo y de rápido crecimiento que ha llamado la atención por sus novedosas tácticas de extorsión y sus métodos de ataque no convencionales. A pesar de su historia relativamente corta, el grupo ha tenido un impacto significativo en la comunidad de delito cibernético y es probable que continúe evolucionando y expandiendo sus operaciones.

Es bien conocido por usar Rust, un poderoso lenguaje de programación que permite usar una base de código en muchos sistemas operativos diferentes. 

Top 10 países más afectados por ciberataques en los últimos 4 meses de 2022. Fuente: informe de BlackBerry.
Top 10 países más afectados por ciberataques en los últimos 4 meses de 2022. Fuente: informe de BlackBerry.

El grupo no parece apuntar a un sector o país específico. Hasta la fecha, sus ataques ha afectado al sector minorista, financiero, manufacturero, gubernamental, tecnológico, educativo y de transporte en países que incluyen Estados Unidos, Australia, Japón, Italia, Indonesia, India y Alemania.

'TA505' ('Evil Corp')

Activo desde 2014, es un actor importante en la escena mundial de ciberdelincuencia y es considerado uno de los distribuidores de phishing y malspam más grandes —si no el más grande— en todo el mundo. Se estima que ha comprometido a más de 3.000 organizaciones con sede solo en Estados Unidos y 8.000 a nivel mundial.

Utiliza un conjunto de tácticas, técnicas y procedimientos sofisticados y en constante cambio dada la rápida evolución en aspectos de ciberseguridad. Desde 2014 hasta 2018, la principal estrategia de ataque fue usar botnets Dridex para operar campañas de robo de información y apuntar al sector financiero usando credenciales robadas. 

Ciberseguridad

Sin embargo, desde 2018, la cosa ha cambiado y su enfoque se ha hecho más complejo y peligroso ya que apunta a universidades, hospitales y empresas manufactureras con ataques de ransomware.

'APT29' ('Los Duques')

APT29, también conocido como Los Duques— o The Dukes en inglés— es un grupo altamente organizado y bien financiado sospechoso de realizar espionaje cibernético en nombre del gobierno ruso desde al menos 2008. 

El grupo apunta particularmente a gobiernos y organizaciones no gubernamentales en América del Norte y Europa; sin embargo, también se han atacado entidades en Asia, África y Oriente Medio.

Pocos actores de amenazas muestran la disciplina técnica y la sofisticación de APT29, especialmente en su capacidad para adaptarse a tácticas defensivas de ciberseguridad, penetrar en redes bien defendidas e implementar malware con la intención principal de interrumpir la seguridad nacional, afectar la infraestructura crítica y causar interferencia política.

'Sparta Group' y 'RansomHouse' hacen temblar los cimientos de los sistemas españoles

'Sparta Group' y su novata pero 'letal' actividad

Este grupo es una subdivisión del grupo hacktivista KillNet que surgió en febrero de 2022 a raíz de la invasión rusa sobre Ucrania. "Hace unos meses, KillNet declaró la ciberguerra a varios países, entre los que se encuentra España. Fue un actor importante, junto con LockBit, en la operación de ransomware que mayor impacto logró dentro del ámbito español en 2022", añade Raquel Puebla.

El grupo Killnet comenzó a intensificar sus actividades agresivas en marzo, inmediatamente después de la invasión rusa, con objetivos principalmente ucranianos. Ya en abril, sin embargo, el grupo ha cambiado por completo el objeto de su atención. 

Actualizar Android

Entre finales de febrero y septiembre de 2022, el grupo afirma haber realizado más de 550 ataques —de estos, solo 45 estaban dirigidos a Ucrania—. Ahora ya se ha conocido que al menos 12 empresas españolas y hospitales, ubicados en Cataluña y la Comunidad Valenciana, han sufrido sus ciberataques. 

A diferencia del ataque de ransomware que dejó en jaque al Hospital Clínic —que más adelante se comenta— los ataques DDOS de Killnet se detectaron rápidamente y se detuvieron antes de que pudieran tener consecuencias más graves.

'RansomHouse' y su ataque al Hospital Clínic de Barcelona

Si bien todos los días surgen nuevos actores de amenazas, hay algo en RansomHouse que es diferente de lo que los investigadores de amenazas están acostumbrados a ver.

“Creemos que los culpables no son los que encontraron la vulnerabilidad o ejecutaron el hackeo, sino los que no cuidaron debidamente la seguridad. Los culpables son los que no pusieron candado a la puerta dejándola abierta de par en par invitando a todos dentro", escriben los actores de amenazas de RansomHouse en su página "acerca de nosotros".

Nota de RansomHouse después de robar datos. Fuente: Bleeping Computer
Nota de RansomHouse después de robar datos. Fuente: Bleeping Computer

En lugar de cifrar los sistemas e implementar ransomware, RansomHouse elimina la fase de cifrado y simplemente solicita el pago de los datos que roban. Lo que es más interesante es que los actores de amenazas no asumen la responsabilidad de sus ataques, sino que señalan con el dedo a las organizaciones (sus víctimas) que no tienen un buen sistema de seguridad.

"Los ataques de Ransom House son muy especializados y se estima que impactan al 65% de las empresas anualmente. El método es acceder a un ordenador y desde él ir extendiéndose sin dejar rastro. Cuando lo han logrado, encriptan repentinamente todo el sistema sin posibilidad de reacción", explica para Computer Hoy Martín Piqueras, profesor de tecnologías en OBS Business School y experto en estrategia digital en Gartner.

En junio de 2022, RansomHouse comprometió a AMD. Los atacantes robaron 450 GB de datos financieros e investigaciones, incluido un archivo CSV que contenía una lista de más de 70.000 dispositivos pertenecientes a la red interna de la compañía.

Por supuesto aquí mencionar el ataque de ransomware al Hospital Clínic de Barcelona en marzo de 2023. Este ataque no solo provocó la eliminación de cientos de citas médicas y dificultó el acceso a la información de cada paciente. Además, se confirmó que existe filtración de datos, que ponen en un grave apuro la normal actividad del centro hospitalario.

"Las alianzas entre los servicios de inteligencia y fuerzas de seguridad a nivel internacional son cada vez mayores, lo que indudablemente responde al incremento de las ciberamenazas y a la propia vinculación entre actores cibercriminales. Si las amenazas son más complejas y peligrosas, la actuación de los organismos oficiales debe ser más contundente, lo que se traduce en una necesidad especial de colaboración y cooperación", finaliza la experta entrevistada.

Foto del redactor Carolina González ValenzuelaFoto del redactor Carolina González Valenzuela

Redactora de Tecnología

Redactora de Tecnología, especializada en inteligencia artificial y ciberseguridad.

Otros artículos interesantes:

Conoce cómo trabajamos en Computerhoy.

Etiquetas: Malware, España, Ordenadores, seguridad, Software