El Centro de Ciberseguridad Industrial de Gipuzkoa, Ziur, ha alertado este jueves del "drástico aumento" de los ciberataques contra distintas entidades españolas en el contexto de una campaña coordinada de hacktivistas contra el Estado.

Con motivo de la celebración este sábado del Día Mundial de Internet, Ziur ha dado a conocer su último informe de Ciberinteligencia Industrial, que constata esta tendencia en el primer trimestre de 2025 rompiendo con la inercia del último trimestre del año pasado.

Operación #OpSpain: ataques por criptomonedas

Según explica Ziur en una nota, esto es debido a que "varios grupos 'hacktivistas' unieron fuerzas en una campaña coordinada de ataques de denegación de servicio (DDoS) dirigida contra diversas entidades públicas y privadas en España".

La operación, bautizada como '#OpSpain', tuvo como motivo principal el respaldo del Gobierno español a Ucrania, explica el centro guipuzcoano de ciberseguridad.

El actor principal tras los ataques al Estado ha sido NoName057, un grupo hacktivista prorruso que trabaja en contra de Ucrania y los países que le apoyan, así como contra los Estados miembros de la OTAN.

Sus operaciones se gestionan a través de Telegram y los participantes son recompensados con criptomonedas en función de su contribución al éxito de los ataques, lo que alimenta la creciente red del grupo.

Entre los sectores más afectados, además del gubernamental, destacan el de transportes y el energético, así como el manufacturero.

Además, en este primer trimestre se han detectado un total de 33 supuestas filtraciones de datos referentes a organizaciones e instituciones españolas en foros clandestinos y canales de Telegram, 16 más que en el último trimestre de 2024.

Respecto al ransomware, Cl0p ha sido el actor hostil con mayor incidencia a nivel mundial, superando a Ransomhub, que durante el último trimestre de 2024 fue el grupo más activo.

Akira, la bestia negra

En total se ha detectado un incremento del 11,07 % de ataques frente al tercer trimestre. Sin embargo, en el Estado español el que mayor número de incidentes ha protagonizado ha sido Akira.

Entre las campañas detectadas destaca un nuevo malware, atribuido a un grupo hacktivista proiraní, que supone una amenaza seria para infraestructuras críticas puesto que permite a los atacantes ejecutar comandos, robar información y mantenerse dentro de los sistemas a largo plazo.

También se ha percibido un aumento del uso del ransomware Ghost, una cepa altamente agresiva y persistente que ha comprometido infraestructuras críticas, entidades gubernamentales y empresas en más de 70 países.

Errores humanos

Según recuerda Ziur, operando desde China, este grupo cibercriminal se infiltra en redes para robar credenciales, desactivar defensas y cifrar datos en cuestión de horas, una amenaza que se agrava en entornos industriales.

A ellos se suma UAC-0063, un grupo vinculado a Rusia, que ha ampliado sus ciberataques a embajadas europeas utilizando documentos robados como señuelo.

No obstante, el informe de Ziur advierte de que la mayoría de las intrusiones se producen debido a errores humanos y recuerda que el uso de contraseñas poco seguras y su reutilización en múltiples servicios es uno de los principales problemas.