El uso constante, la instalación de aplicaciones y la navegación intensiva pueden afectar el rendimiento de un celular y exponerlo a riesgos de seguridad.

En este sentido, existen señales claras que advierten cuándo un dispositivo requiere un reinicio para recuperar su funcionamiento óptimo y proteger la información personal frente a amenazas digitales.

Según expertos en ciberseguridad, ignorar estos avisos podría derivar en un desempeño deficiente del dispositivo, sumado a aumentar la vulnerabilidad ante ciberataques.

Cuáles son las señales más evidentes de que el celular necesita un reinicio

De acuerdo con el centro de ayuda de Android, el funcionamiento lento es una de las señales más notorias. Cuando el dispositivo tarda en abrir aplicaciones, muestra demoras en las respuestas táctiles o experimenta bloqueos frecuentes, suele indicar que diversos procesos en segundo plano están saturando la memoria y los recursos del sistema.

Otra señal relevante es la demora excesiva al ejecutar tareas simples, como enviar mensajes o realizar llamadas. Estos retrasos, en ocasiones, se acompañan de pantallas congeladas o respuestas erráticas.

Además, la acumulación de actualizaciones pendientes y la falta de espacio de almacenamiento pueden contribuir al deterioro del dispositivo.

Qué pasos seguir para reiniciar y verificar el estado del celular

El procedimiento para reiniciar un celular varía según el modelo, pero en la mayoría se logra al presionar el botón de encendido durante unos 30 segundos, hasta que el aparato se apaga y vuelve a encenderse. En algunos casos, la pantalla ofrece la opción de seleccionar “Reiniciar”.

Para complementar esta acción, Google sugiere comprobar si existen actualizaciones del sistema operativo. En dispositivos con Android, se sugiere abrir la app de Configuración, seleccionar Sistema y luego Actualización de software.

Otro punto clave es el almacenamiento. Un teléfono con menos de un 10% de espacio libre puede experimentar fallos y lentitud. En la app de Configuración se puede consultar el espacio disponible y liberar memoria eliminando archivos o aplicaciones innecesarias.

Por qué es importante reiniciar el celular de forma periódica

El reinicio periódico del teléfono no solo resuelve problemas de rendimiento. De acuerdo con la Agencia de Seguridad Nacional de Estados Unidos (NSA), apagar o reiniciar el dispositivo corta automáticamente la actividad de amenazas que dependen de conexiones sostenidas para persistir en el sistema.

Asimismo, el primer ministro de Australia, Anthony Albanese, impulsó una pauta sencilla: apagar el teléfono cinco minutos cada día interrumpe procesos en segundo plano, incluyendo aquellos que podrían haber sido comprometidos por malware.

Según Albanese, “todos tenemos una responsabilidad. Apaga el teléfono cinco minutos cada noche. Hazlo cada 24 horas, mientras te cepillas los dientes o haces lo que sea”. Esta práctica reduce el tiempo de exposición a amenazas y dificulta la labor de los atacantes.

Qué medidas adicionales mejoran la seguridad del celular

Los expertos en ciberseguridad aconsejan complementar el reinicio periódico con otras medidas. Entre ellas, el uso de contraseñas robustas y únicas para cada cuenta, activar la autenticación en dos pasos para servicios sensibles y descargar aplicaciones únicamente desde tiendas oficiales.

Los expertos desaconsejan conectarse a redes WiFi públicas o compartir información confidencial a través de canales no oficiales.

Se debe considerar que muchos fraudes comienzan cuando los usuarios bajan la guardia y entregan datos sensibles a supuestos representantes de empresas legítimas. Los especialistas insisten en que la prevención es la mejor defensa ante la creciente sofisticación de los ataques.

Cuáles son los ciberataques más comunes que afectan a los celulares

Entre los ataques más frecuentes figuran el phishing, el spyware y los denominados ataques zero-click. El phishing utiliza mensajes falsos, a menudo a través de SMS, correos o aplicaciones de mensajería, que buscan engañar al usuario para obtener contraseñas o información bancaria.

El spyware, por su parte, se instala sin conocimiento del usuario y permite a desconocidos acceder a información personal, ubicaciones y comunicaciones privadas.

Los ataques zero-click representan otra amenaza importante. No requieren que el usuario interactúe con el mensaje o archivo malicioso; solo hay que recibirlo para que el dispositivo resulte comprometido.

Booking.com confirma hackeo y filtración de datos de clientes, reservas y contactos. La plataforma, reconocida a nivel mundial por su servicio de reservas de alojamiento, ha notificado a una parte de sus usuarios sobre el acceso no autorizado a información sensible vinculada a sus reservas.

Aunque la empresa descarta que los atacantes hayan accedido a datos financieros, recomienda a sus clientes permanecer atentos ante posibles intentos de fraude y phishing derivados del incidente.

Datos personales comprometidos por el ciberataque a Booking.com

La compañía ha comunicado que detectó actividad sospechosa en sus sistemas, lo que derivó en un acceso no autorizado a datos relacionados con las reservas. Booking explicó a Infobae que “terceros no autorizados lograron acceder a parte de la información de reservas de algunos de nuestros clientes”.

Entre los datos comprometidos figuran nombres, direcciones de correo electrónico, domicilios, números de teléfono y detalles de las reservas, así como cualquier otra información compartida con el alojamiento correspondiente.

A pesar del alcance del ataque, la empresa asegura que la información financiera de sus usuarios permanece segura, ya que no se accedió a esos datos desde sus sistemas. Como medida de precaución, Booking actualizó el número PIN de las reservas afectadas e informó puntualmente a los clientes involucrados.

Además, es menester indicar que la firma con sede en Ámsterdam reiteró su compromiso con la seguridad y protección de la información de los huéspedes.

Recomendaciones de seguridad para usuarios de Booking.com tras la filtración

Ante el escenario generado por la brecha de seguridad, Booking insta a sus usuarios a estar especialmente atentos a posibles intentos de phishing. La plataforma advierte que nunca solicitará información de tarjetas de crédito por canales como correo electrónico, teléfono, WhatsApp o SMS, ni requerirá transferencias bancarias fuera de las condiciones de pago estipuladas en la confirmación de la reserva.

Durante las próximas semanas, es recomendable que los usuarios de Booking extremen la precaución ante mensajes, correos o llamadas que puedan simular comunicaciones oficiales y transmitir urgencia.

Los ciberdelincuentes suelen emplear tácticas de presión para inducir respuestas rápidas, presentando falsas alertas sobre cargos inminentes o supuestos problemas con la reserva. Es fundamental desconfiar de cualquier comunicación que exija acciones inmediatas para evitar cargos, ya que suelen ser intentos de fraude.

La empresa no especificó cuántos clientes resultaron afectados ni la duración exacta del acceso no autorizado, aunque confirmó haber notificado a la autoridad de protección de datos de Países Bajos, en cumplimiento de la normativa vigente. Booking también anunció el refuerzo de sus medidas de seguridad para proteger a sus usuarios en el futuro.

Ola de ciberataques y filtraciones en empresas de servicios

El incidente registrado en Booking.com se suma a una tendencia creciente de ataques informáticos dirigidos a empresas que gestionan datos personales y bancarios de sus clientes.

En los últimos meses, compañías como Endesa y la cadena de gimnasios Basic Fit también han sido objeto de filtraciones. En el caso de Basic Fit, los atacantes lograron acceder incluso a números de cuenta bancaria y titulares, lo que eleva el riesgo de fraudes financieros directos.

La Asociación Española de Consumidores recomienda a quienes hayan sido afectados por filtraciones de este tipo que vigilen de cerca sus movimientos bancarios. Ante cualquier cargo no reconocido, es crucial informar de inmediato tanto a la empresa implicada como a la entidad financiera, y proceder con la reclamación correspondiente para intentar recuperar los fondos.

La exposición de datos personales y de contacto, como evidencian estos incidentes, convierte a los usuarios en blancos potenciales para campañas de phishing y fraudes adicionales. Por ello, la vigilancia y la actuación rápida ante cualquier anomalía resultan esenciales para minimizar el impacto de estos ciberataques.

En 2023, una brecha de datos, considerada la mayor en la historia de la educación en Estados Unidos, puso en alerta a las autoridades más altas: un ataque dirigido contra PowerSchool, proveedor líder de tecnología educativa que opera en cerca de 90 países, expuso información sensible de 60 millones de niños y 10 millones de docentes.

Las reuniones urgentes en la Sala de Situación de la Casa Blanca, comunicadas por el medio ABC News, evidenciaron la magnitud del incidente.

El responsable, Matthew Lane, un joven de 20 años, habló por primera vez antes de ingresar en una prisión federal de Connecticut para cumplir cuatro años de condena y afrontar una restitución de más de USD 14 millones.

Un ataque que paralizó al sector educativo y forzó el pago de un rescate millonario

El Departamento de Justicia de Estados Unidos detalló que la intrusión a PowerSchool permitió el acceso a nombres, números de la seguridad social, información familiar, calificaciones académicas y datos médicos de los afectados. Para evitar la divulgación masiva de esta información, PowerSchool pagó casi USD 3 millones en criptomonedas como rescate, acción que la propia compañía calificó como una “decisión muy difícil”, pero asumió como “deber”.

Un portavoz de PowerSchool informó a ABC News que no la totalidad de los clientes fue afectada, aunque no ofreció una cifra precisa.

Tras el pago, una parte de los datos sustraídos quedó en poder de otro miembro vinculado al grupo, lo que motivó nuevos intentos de extorsión a distritos escolares en Estados Unidos y Canadá, según declaraciones de funcionarios federales recogidas por ABC News.

Descubierta la causa: credenciales obtenidas de un contratista y utilizadas para acceder a los sistemas mediante un servidor alquilado en Ucrania. El FBI, la agencia federal de investigación, destinó recursos prioritarios a esclarecer lo ocurrido.

En abril, agentes irrumpieron en la residencia universitaria de Lane en Massachusetts, incautando dispositivos y bienes adquiridos con fondos ilícitos. Lane relató a ABC News que sintió “un alivio” tras su detención: “Estoy sinceramente agradecido con el FBI. Después de que se fueron, pensé: ‘Se acabó... terminé con esto’”.

En junio, el joven se declaró culpable de acceso ilegal y extorsión informática, imputaciones a las que se sumaron delitos adicionales por otra brecha.

La jueza de distrito federal Margaret Guzman concluyó: “Si ponemos la computadora en su cuarto, el teléfono en su mano, es como un arma. Debemos encontrar la forma de ayudar a nuestros hijos a usar la tecnología de manera constructiva”.

Cómo operan los hackers adolescentes y las respuestas institucionales

El caso de Lane evidencia los riesgos que plantea una generación con acceso temprano y extendido a plataformas digitales. El agente especial Doug Domin, responsable de la investigación para el FBI en Boston, detalló a ABC News: “Hemos tenido casos con individuos de tan solo 14 años entrevistados por el FBI”.

El acceso facilitado a herramientas de hacking y una cultura digital donde la ciberdelincuencia recibe reconocimiento generaron oportunidades para quienes no cuentan con altos conocimientos técnicos.

Según Fergus Hay, director ejecutivo de The Hacking Games, organización europea de prevención del delito informático juvenil, las redes sociales y los videojuegos permiten tanto la capacitación como el reclutamiento de posibles atacantes, que son captados por grupos delictivos que simulan ser pares y prometen recompensas y nuevas técnicas de intrusión.

Roblox, la plataforma de juegos donde Lane inició su incursión en el hacking a los nueve años, explicó en un comunicado a ABC News que la ciberdelincuencia señala un desafío constante en la industria y sostuvo que colabora regularmente con la policía.

Desde junio, anunció la creación de cuentas con verificación de edad y controles más estrictos sobre contenido y comunicaciones entre usuarios jóvenes. La compañía también incorporó a varios jóvenes que participaron en programas de cacería de vulnerabilidades gestionados por HackerOne, empresa especializada en ciberseguridad y pruebas de vulnerabilidad.

El daño a las víctimas, según Domin, se proyecta a largo plazo: “Van a ser revictimizados cada vez que ese conjunto de datos reaparezca en la red. Tendrán que mitigar este problema toda su vida”. PowerSchool, ante ello, ofreció dos años de monitoreo de crédito e identidad para los afectados.

Neurodiversidad y reinserción: alternativas en ciberseguridad

Lane reconoció en conversación exclusiva con ABC News las razones que lo guiaron al delito: aislamiento en la infancia, los primeros contactos con foros de hackers, el deseo de reconocimiento en grupos donde circulan lujos y complicidades ilegales, el consumo de drogas para silenciar la culpa y el impulso adictivo de vulnerar sistemas.

Sobre su etapa más activa, Lane puntualizó que a los 15 años había atacado “objetivos grandes” con una herramienta desarrollada en conjunto y utilizada para identificar vulnerabilidades en webs de empresas Fortune 500.

The Hacking Games, grupo integrado por emprendedores y expertos, impulsa una campaña educativa y la plataforma Hacking Aptitude AI Platform (HAPTAI), dirigida a identificar talento neurodivergente y orientar su potencial hacia empleos legales en ciberseguridad.

Fergus Hay remarcó: “La neurodiversidad suele verse como una desventaja, pero estas personas ven soluciones a los problemas que otros no pueden encontrar”.

Lane, ahora en prisión, busca servir de advertencia. Según declaró a ABC News: “Espero convencer al menos a una persona de no seguir mi camino... aunque solo fuera una, me sentiría satisfecho“. Asegura que su rehabilitación avanzó significativamente: ”En los últimos tres meses en prisión he progresado más en mi bienestar mental y general que en los últimos seis años“. Domin confirmó a ABC News que la investigación sobre otros posibles implicados continúa.

Rockstar Games, estudio responsable de franquicias como Grand Theft Auto y Red Dead Redemption, ha confirmado una nueva filtración de datos tras un ciberataque a sus servidores en la nube.

El grupo de hackers ShinyHunters ha asegurado haber accedido a información interna y exige un rescate para no hacerla pública, un episodio que se suma a una serie de incidentes de seguridad que han afectado a la compañía en los últimos años.

La filtración fue anunciada el pasado 11 de abril de 2026 en la dark web, donde ShinyHunters reclamó haber comprometido las instancias de Rockstar en Snowflake, un servicio de alojamiento en la nube ampliamente utilizado. El ataque se habría producido a través de Anodot.com, una plataforma de análisis de datos que monitoriza métricas de negocio y que también fue vulnerada recientemente, facilitando incidentes similares en otras empresas que utilizan Snowflake.

¿Qué datos fueron comprometidos y cuál es el riesgo?

Aunque Rockstar asegura que solo se accedió a “una cantidad limitada de información no relevante”, los hackers han amenazado con filtrar públicamente los datos si la empresa no paga el rescate antes del 14 de abril.

Hasta el momento, no se ha especificado qué tipo de información fue robada ni su volumen, pero la intrusión ya ha ocasionado “problemas digitales molestos” para la compañía, según la propia declaración del grupo de ciberdelincuentes.

El historial de este grupo incluye ataques a empresas como Pornhub, Microsoft, Ticketmaster y Cisco, donde la extorsión y la filtración de datos han sido el modus operandi habitual. El riesgo para Rockstar podría terminar siendo significativo, ya que una fuga masiva podría afectar la reputación de la empresa y exponer detalles sensibles de futuros lanzamientos o datos personales de empleados.

Qué problemas ha tenido Rockstar con los hackers

No es la primera vez que Rockstar Games se enfrenta a un incidente de seguridad de esta magnitud. En 2022, la compañía sufrió una filtración histórica que expuso cerca de 90 vídeos del anticipado Grand Theft Auto VI, obligando a Rockstar a adelantar el primer tráiler del juego tras un acceso no autorizado a su red.

En diciembre de 2023, otra filtración forzó cambios en la estrategia de comunicación de la empresa. Estos antecedentes subrayan la presión constante que enfrentan los estudios de videojuegos ante ciberataques cada vez más sofisticados y la importancia de robustecer las medidas de protección tanto en infraestructuras propias como en servicios de terceros.

El grupo ShinyHunters ha dejado claro que el ataque busca obtener un rescate económico a cambio de no publicar los datos sustraídos. Aunque Rockstar minimiza el impacto y sostiene que el incidente no afecta a los jugadores ni a la operación de la empresa, la amenaza de filtración mantiene en alerta a la comunidad.

El uso de plataformas externas como Anodot y Snowflake demuestra que la cadena de seguridad es tan fuerte como su eslabón más débil. La industria observa con atención el caso, ya que la tendencia a migrar servicios críticos a la nube se ha acelerado en los últimos años, exponiendo a las empresas a nuevas vulnerabilidades.

Cuál va a ser el precio de GTA 6

El ciberataque coincide con una alta expectativa por el lanzamiento de Grand Theft Auto 6, el título más ambicioso de Rockstar. Durante meses, se especuló con que el juego podría superar los 100 dólares, lo que generó debate sobre el costo de los videojuegos de última generación.

Strauss Zelnick, CEO de Take-Two Interactive, aclaró en una reciente entrevista que GTA 6 se mantendría en el rango de precios habitual para juegos AAA, entre 70 y 80 dólares, descartando la inclusión de publicidad intersticial o aumentos desmedidos.

En medio del interés suscitado para el lanzamiento del nuevo GTA, el caso de Rockstar Games pone de manifiesto la vulnerabilidad de las empresas de tecnología y entretenimiento ante ciberataques.

Investigadores en ciberseguridad han detectado un grupo de ciberdelincuentes que opera bajo la modalidad de “hack-for-hire” y que apunta a periodistas, activistas y funcionarios gubernamentales de Medio Oriente y el norte de África.

Esta red ha realizado ataques a través de métodos de phishing para acceder a copias de seguridad de iCloud y cuentas de mensajería como Signal, además de desplegar software espía en dispositivos Android, logrando el control total de los equipos de sus víctimas.

Un fenómeno en expansión: hackers a sueldo en operaciones estatales

El caso ilustra una tendencia creciente entre agencias gubernamentales que tercerizan operaciones de espionaje digital a empresas privadas especializadas. Según Access Now, organización dedicada a la defensa de derechos digitales, durante 2023 y 2025 se documentaron al menos tres incidentes contra dos periodistas egipcios y uno libanés, el último en colaboración con la organización SMEX.

La firma de ciberseguridad Lookout también participó en la investigación y confirmó que los ataques no solo se dirigieron a miembros de la sociedad civil en Egipto y Líbano, sino también a funcionarios en Baréin, Emiratos Árabes Unidos, Arabia Saudita, el Reino Unido y, posiblemente, Estados Unidos o personas vinculadas a instituciones estadounidenses.

Un grupo vinculado a empresas indias de ciberespionaje

Lookout identificó que los responsables de la campaña de espionaje trabajan para un proveedor de servicios de hackeo por encargo con conexiones al grupo BITTER APT, sospechoso de tener vínculos con el gobierno de la India.

Justin Albrecht, investigador principal de Lookout, declaró a TechCrunch que la compañía detrás de estos ataques podría ser una escisión de la firma india Appin, activa en el negocio del ciberespionaje hasta que fue expuesta y aparentemente cerrada. Tras el cierre, los atacantes habrían migrado a empresas más pequeñas, como RebSec, que actualmente no tiene presencia pública tras eliminar redes sociales y sitio web.

Según Albrecht, estas estructuras otorgan a los clientes “negación plausible”, ya que todo el control operativo recae en los proveedores y resulta difícil rastrear al beneficiario final. Además, subrayó que contratar estos servicios puede resultar más económico para los gobiernos que adquirir spyware comercial desarrollado por grandes empresas.

Técnicas de ataque: phishing y suplantación de aplicaciones

Los investigadores detallaron varias tácticas empleadas por los ciberdelincuentes. Al atacar usuarios de iPhone, los hackers intentaron obtener credenciales de Apple ID mediante engaños, lo que les permitiría acceder a las copias de seguridad almacenadas en iCloud y, por tanto, a la totalidad de la información del dispositivo. Access Now señaló que este método representa una alternativa de menor costo frente a la adquisición de spyware avanzado para iOS.

Cuando el objetivo eran dispositivos Android, el grupo desplegó un software espía denominado ProSpy, que imitaba aplicaciones populares de mensajería como Signal, WhatsApp, Zoom, ToTok y Botim, estas últimas muy usadas en la región.

En algunos casos, los atacantes intentaron registrar un nuevo dispositivo bajo su control en la cuenta de Signal de la víctima, una estrategia ya observada en campañas atribuidas a agentes de inteligencia rusos.

Dificultad para rastrear a los responsables

Mohammed Al-Maskati, director de la línea de ayuda de seguridad digital de Access Now, explicó que la externalización de estas operaciones reduce costos y permite a los clientes eludir la responsabilidad, ya que la infraestructura utilizada no revela la identidad del usuario final. Aunque los grupos como BITTER APT no cuentan con las herramientas más sofisticadas de espionaje, sus métodos han demostrado ser efectivos.

La embajada de India en Washington, D.C., no respondió a las solicitudes de comentarios sobre estas investigaciones. La publicación de los informes de Access Now, SMEX y Lookout fue coordinada, pero cada entidad difundió sus hallazgos por separado.

El caso pone de relieve la facilidad con la que gobiernos y actores privados pueden contratar servicios de espionaje digital con altos niveles de anonimato y a costos menores que los de los programas de spyware tradicionales. Los expertos advierten que el fenómeno seguirá expandiéndose, con ataques dirigidos a sectores clave como el periodismo, el activismo y las administraciones públicas.

Durante más de una década, el escenario de la ciberseguridad en América Latina estuvo dominado por amenazas externas como el malware y el ransomware. Hoy, expertos y empresas de seguridad alertan sobre una transformación de este panorama a causa de un fenómeno creciente: el acceso indebido a sistemas críticos a través de credenciales legítimas y privilegios mal gestionados.

De acuerdo con la compañía de ciberseguridad One Identity, más de 25% de las intrusiones en la región tienen su origen en accesos comprometidos.

La identidad como vector de ataque y defensa

Las organizaciones en América Latina han invertido históricamente en soluciones para bloquear amenazas externas. Sin embargo, la tendencia actual muestra que el actor malicioso ya no necesita forzar la entrada; muchas veces utiliza inicios de sesión legítimos para acceder a la infraestructura corporativa. Este cambio convierte a la identidad en el nuevo perímetro de seguridad, desplazando a las redes y los sistemas como el principal punto de defensa y vulnerabilidad.

Gabriel Lobitsky, gerente general de la firma de ciberseguridad en América Latina, describe el fenómeno de la siguiente manera: “Durante años, las organizaciones invirtieron en bloquear amenazas externas. Hoy, el peligro proviene de la violación de credenciales. El actor malicioso ya no necesita necesariamente forzar la entrada, ya que muchas veces simplemente utiliza inicios de sesión legítimos para atravesar la puerta principal”.

Las soluciones de Privileged Access Management (PAM), Active Directory Management y Access Management ya no son herramientas complementarias, sino piezas estratégicas en la gobernanza corporativa.

El riesgo invisible detrás del acceso privilegiado

La falta de control sobre los perfiles privilegiados puede tener consecuencias financieras directas para las empresas. Entre los riesgos más frecuentes se encuentran la interrupción de operaciones críticas, fraude interno o externo, pérdida de información confidencial, sanciones regulatorias y daños a la reputación corporativa. Estos impactos pueden igualar o incluso superar los daños ocasionados por un ataque de ransomware tradicional.

En sectores clave como la banca, el retail, la energía, las telecomunicaciones y el gobierno, el crecimiento acelerado de la transformación digital ha dejado brechas estructurales en la gestión de accesos, lo que incrementa el riesgo de incidentes graves. La conversación, según Lobitsky, ha dejado de ser exclusivamente tecnológica y se ha trasladado a la gobernanza, la responsabilidad ejecutiva y el riesgo financiero.

La prioridad en 2026 está en la gobernanza estricta de los accesos privilegiados: quién accede, desde dónde y con qué permisos, un enfoque que requiere un compromiso de los comités ejecutivos y nuevas estrategias de gestión de riesgo.

En esa línea, ESET recomienda aplicar el principio del menor privilegio, que parte de la premisa de otorgar solo los permisos necesarios y suficientes a un usuario para desempeñar sus actividades, siempre por un tiempo limitado.

Los casos de México y Brasil

México se distingue como uno de los mercados más activos en la adopción de soluciones de gestión de identidad y acceso. El país presenta un crecimiento anual compuesto del 11,4% en el sector de PAM entre 2026 y 2031. El ecosistema mexicano de ciberseguridad, aunque fragmentado, avanza hacia la consolidación con una mayor especialización técnica y profesionalización de los canales de distribución.

Entre los desarrollos recientes destacan:

• Implementación de tecnologías PAM en grandes grupos empresariales del sector retail
• Proyectos en organismos gubernamentales enfocados en reforzar los controles de identidad
• Capacitación avanzada de consultorías especializadas en gestión de accesos
• Lanzamiento de nuevas plataformas de Access Management orientadas a la autenticación segura y el control centralizado de identidades

Estas iniciativas buscan reducir el riesgo financiero y operativo derivado de accesos no controlados, sobre todo en organizaciones complejas con alta rotación de proveedores y usuarios privilegiados.

En Brasil, el avance en la gestión de identidad está estrechamente vinculado al cumplimiento regulatorio. La entrada en vigor de la Lei Geral de Proteção de Dados (LGPD) impuso nuevas obligaciones para la protección de datos personales, lo que ha repercutido en la forma en que las empresas gestionan los accesos a información crítica.

Las empresas brasileñas han adoptado algunas de las siguientes prácticas:

• Auditoría y trazabilidad estricta de accesos privilegiados
• Aumento en la demanda de monitoreo continuo y segregación de funciones
• Prevención basada en control de identidad, más allá de la mera reacción ante incidentes

A pesar de contar con un mercado más maduro en términos de cumplimiento, Brasil enfrenta el mismo desafío que el resto de la región: garantizar una gobernanza estricta de los accesos privilegiados en entornos híbridos y multicloud.

El uso de inteligencia artificial está transformando el cibercrimen a nivel global, haciendo que los ataques sean más sofisticados, rápidos de ejecutar y cada vez más difíciles de rastrear.

Así lo advierte un reciente informe de la firma de ciberseguridad Kaspersky, que señala que la adopción de herramientas de IA por parte de grupos maliciosos está modificando incluso la “huella digital” que tradicionalmente permitía identificar a los responsables de los ataques.

Según el estudio, una de las principales consecuencias de esta evolución es la dificultad creciente para atribuir los ciberataques. Históricamente, los analistas podían identificar a los atacantes mediante patrones específicos, como errores lingüísticos, estilos de programación o estructuras repetitivas en el código malicioso. Estos elementos funcionaban como una firma única.

Sin embargo, con la irrupción de la IA generativa, ese rastro comienza a desaparecer. Los modelos automatizados ahora son capaces de producir código, correos de phishing y otros componentes de ataque con un estilo uniforme, sin errores evidentes ni rasgos distintivos. Esto genera resultados “neutrales y estandarizados”, lo que complica el trabajo de los investigadores encargados de rastrear el origen de las amenazas.

El informe también destaca el avance de la llamada IA agéntica, que permite desarrollar herramientas maliciosas en cuestión de días, en lugar de los meses que requerían anteriormente. Esta aceleración reduce las barreras técnicas para los ciberdelincuentes y facilita la creación de ataques complejos con menos recursos humanos.

Un ejemplo de esta nueva etapa es VoidLink, considerado uno de los primeros marcos de malware desarrollados casi en su totalidad por inteligencia artificial. Este sistema está diseñado para atacar entornos en la nube y puede adaptarse a diferentes escenarios mediante la incorporación de módulos como cargadores, implantes o rootkits.

Investigaciones de Check Point Research indican que el desarrollo de VoidLink fue guiado por una sola persona, mientras que la IA se encargó de traducir instrucciones generales en una arquitectura completa y funcional. Este enfoque marca un cambio significativo en la forma en que se diseñan las amenazas digitales.

Otro caso reciente es el de Slopoly, una herramienta utilizada en campañas de extorsión a gran escala. Detectada por IBM X-Force a inicios de 2026, esta amenaza permitió a los atacantes mantener acceso a servidores comprometidos durante varios días, gracias a su capacidad de comunicación constante con sistemas de control remoto.

Aunque técnicamente no representa un salto disruptivo, los expertos señalan que este tipo de herramientas reduce considerablemente el tiempo necesario para ejecutar ataques, lo que incrementa su frecuencia y alcance.

El uso de inteligencia artificial en el cibercrimen no es nuevo, pero su evolución reciente ha ampliado sus capacidades. Ya en 2024, el grupo Lazarus utilizó imágenes generadas por IA para explotar vulnerabilidades en navegadores web y robar criptomonedas, demostrando el potencial de estas tecnologías para fines ilícitos.

Además, la IA generativa permite crear correos electrónicos de phishing altamente realistas, mensajes fraudulentos en múltiples idiomas e incluso perfiles falsos en redes sociales. Según el Instituto Nacional de Ciberseguridad de España, estas herramientas facilitan la automatización de campañas de fraude y aumentan su efectividad.

Ante este panorama, las principales empresas tecnológicas han comenzado a coordinar esfuerzos. Compañías como Google, Meta y Microsoft han suscrito acuerdos para compartir información sobre amenazas y desarrollar sistemas de detección más avanzados.

Estas iniciativas incluyen el uso de inteligencia artificial para identificar patrones sospechosos, mejorar la verificación de transacciones y ofrecer canales de denuncia más eficaces para los usuarios afectados.

Especialistas del sector coinciden en que la IA representa un arma de doble filo. Mientras los ciberdelincuentes la utilizan para perfeccionar sus ataques, las organizaciones de seguridad también la emplean para fortalecer sus defensas y responder con mayor rapidez.

El escenario actual refleja una carrera tecnológica en la que tanto atacantes como defensores evolucionan constantemente. En este contexto, la prevención, la actualización de sistemas y la concienciación de los usuarios se mantienen como elementos clave para reducir riesgos.

La inteligencia artificial no solo está redefiniendo la forma en que se producen los ciberataques, sino también los mecanismos para combatirlos. Su impacto seguirá creciendo, y con él, la necesidad de adaptarse a un entorno digital cada vez más complejo.

La startup de reclutamiento basada en inteligencia artificial Mercor confirmó haber sido víctima de un ciberataque vinculado a una vulneración en la cadena de suministro de software abierto, un tipo de incidente que podría tener implicaciones más amplias en el sector tecnológico.

El origen del problema se sitúa en LiteLLM, una biblioteca ampliamente utilizada para gestionar interacciones con modelos de lenguaje, lo que ha elevado la preocupación sobre el alcance potencial del ataque.

Según detalló la compañía, el incidente no es aislado, sino que forma parte de una intrusión que ha impactado a múltiples organizaciones que dependen de esta herramienta. Este tipo de ataques a la cadena de suministro permite a los ciberdelincuentes infiltrarse en numerosas empresas a partir de un único punto vulnerable, lo que multiplica el riesgo y dificulta su contención.

Un ataque que se propagó rápidamente

El problema se detectó tras el hallazgo de código malicioso en un paquete vinculado a LiteLLM. Aunque el componente fue identificado y retirado en cuestión de horas, su uso extendido —con millones de descargas diarias según firmas de seguridad— facilitó su rápida propagación en entornos productivos.

Las investigaciones preliminares apuntan a que la vulnerabilidad habría sido explotada por el grupo TeamPCP. Posteriormente, el colectivo de extorsión Lapsus$ aseguró haber accedido a datos internos de Mercor, aunque el vínculo exacto entre ambos hechos no ha sido confirmado.

Esta falta de claridad refleja una de las principales dificultades en la ciberseguridad actual: rastrear con precisión el origen y la evolución de ataques en los que intervienen múltiples actores.

Qué hace Mercor y por qué es un objetivo atractivo

Fundada en 2023, Mercor se ha consolidado como un actor relevante en el ámbito del reclutamiento especializado en inteligencia artificial. Su plataforma conecta empresas tecnológicas con profesionales altamente cualificados —como científicos, médicos o abogados— para entrenar sistemas avanzados.

La startup colabora con compañías como OpenAI y Anthropic, y gestiona más de dos millones de dólares diarios en pagos. Este volumen de operaciones y el acceso a datos sensibles convierten a la empresa en un objetivo atractivo para los ciberdelincuentes.

En octubre de 2025, la firma alcanzó una valoración de 10.000 millones de dólares tras una ronda de financiación Serie C, consolidando su posición dentro del ecosistema tecnológico.

Respuesta y medidas tras el incidente

Desde la compañía aseguran haber actuado con rapidez para contener la intrusión. La portavoz Heidi Hagberg indicó que se inició una investigación exhaustiva con el apoyo de expertos forenses externos.

“Actuamos con rapidez para contener y remediar el incidente de seguridad”, señaló la empresa, que también prometió mantener informados a sus clientes y colaboradores conforme avance el análisis.

Sin embargo, Mercor no ha confirmado si los datos de usuarios fueron efectivamente comprometidos, lo que mantiene la incertidumbre sobre el alcance real del ataque.

Indicios de filtración y presión de los atacantes

El grupo Lapsus$ publicó una muestra de datos que, según afirma, provienen de sistemas internos de la empresa. Entre el material se incluirían referencias a comunicaciones en Slack, sistemas de gestión de tickets y videos de interacciones con herramientas de inteligencia artificial.

No obstante, la autenticidad de estos datos no ha sido verificada públicamente por la compañía. Este tipo de filtraciones parciales es común en campañas de extorsión, donde los atacantes buscan presionar a las organizaciones afectadas.

LiteLLM y el desafío del software abierto

El incidente ha puesto el foco sobre LiteLLM y, en general, sobre los riesgos asociados al uso de software de código abierto en entornos críticos. Tras el ataque, el proyecto ha implementado cambios en sus procesos de seguridad y cumplimiento, incluyendo la adopción de nuevas herramientas de auditoría.

Este caso refleja una tendencia creciente en la industria: la necesidad de reforzar los controles sobre dependencias externas, especialmente en un contexto donde el software abierto es fundamental para el desarrollo tecnológico.

Un alcance aún por determinar

Por ahora, no se ha establecido cuántas organizaciones han sido afectadas ni el volumen total de datos expuestos. Las investigaciones continúan tanto por parte de las empresas implicadas como de firmas especializadas en ciberseguridad.

El incidente subraya los riesgos inherentes a la interconexión de sistemas y la dependencia de herramientas compartidas. En un entorno digital cada vez más complejo, un solo punto vulnerable puede desencadenar consecuencias a gran escala, afectando a múltiples actores de forma simultánea.

El informe más reciente de LexisNexis Risk Solutions reveló que al menos uno de cada diez fraudes registrados en el mundo durante 2025 fue cometido mediante una identidad sintética, una modalidad en pleno crecimiento que desafía los sistemas tradicionales de detección y pone en alerta a empresas y consumidores.

El documento, elaborado tras analizar más de 116.000 millones de transacciones digitales a través de la red LexisNexis Digital Identity Network, muestra cómo los ciberdelincuentes han perfeccionado sus métodos y priorizan el uso de identidades falsas creadas a partir de datos robados.

El auge global de la identidad sintética

De acuerdo con el informe, fraude de identidad sintética aumentó ocho veces en el último año, representando ya el 11% de los casos globales y consolidándose como la modalidad de fraude de mayor crecimiento. Este tipo de delito consiste en la combinación de diferentes atributos personales —como nombres, números de identificación y direcciones— para crear una identidad ficticia capaz de sortear los controles de verificación en plataformas digitales.

Asimismo, se detalla que América Latina concentra el 48,3% de los casos de fraude de identidad sintética, muy por encima de otras regiones, mientras que Europa, Medio Oriente y África muestran una prevalencia mayor del fraude de primera persona. El atractivo de esta tendencia radica en la posibilidad de operar durante meses sin ser detectados, ya que no existe una víctima directa que denuncie el uso indebido de sus datos.

Bots avanzados y apropiación de cuentas

La sofisticación de los ataques se refleja también en el uso creciente de bots y agentes automatizados. El tráfico de este tipo de agentes creció un 450% entre enero y diciembre de 2025, afectando especialmente los pagos con tarjeta y los inicios de sesión en sitios de juegos y apuestas. Aunque no siempre tienen una intención maliciosa, estos agentes dificultan la identificación de fraudes al sumar una tercera categoría de interacción digital, junto a las transacciones humanas genuinas y los bots tradicionales.

El reporte destaca que los bots maliciosos ya logran imitar con precisión los movimientos y acciones humanas en pantallas de inicio de sesión, engañando incluso a las herramientas más modernas de detección conductual.

Durante 2025, los ataques de bots aumentaron un 59%, con picos especialmente altos en marzo, abril y agosto. Este fenómeno se suma al incremento del 64% en los ataques de fraude en comercio electrónico y al 216% de crecimiento en los intentos de apropiación de cuentas, especialmente en sectores como juegos online y apuestas.

El fraude de primera persona sigue liderando, pero cambian las tácticas

Pese al avance de las identidades sintéticas, el fraude de primera persona sigue siendo la forma más reportada a nivel global, representando el 38,3% de los casos. Esta variante ocurre cuando un cliente genuino engaña a una organización para obtener algún beneficio ilícito. En Europa, Medio Oriente y África, este tipo de fraude supera el 50% de los reportes, mientras que en América Latina su peso resulta menor frente al avance de las identidades sintéticas.

Stephen Topliss, vicepresidente de fraude e identidad, explicó que “el fraude evoluciona rápidamente gracias a la innovación digital”, y advirtió que las redes cibercriminales “escalan la automatización, cambian de táctica y buscan cualquier debilidad disponible a lo largo del recorrido digital del cliente”. Topliss señaló que el desarrollo de bots avanzados y herramientas de inteligencia artificial facilita que los atacantes imiten el comportamiento humano y prueben defensas con una velocidad y precisión inéditas.

Desafíos para la detección y tendencias regionales

El informe también resalta que los patrones de fraude varían según la región. Norteamérica registró picos periódicos de fraude en comercio electrónico, mientras que Asia-Pacífico observó un alza en los ataques a navegadores de escritorio.

En Europa, Medio Oriente y África, la tasa de apropiación de cuentas creció un 27% interanual, asociada a intentos de vulnerar sistemas de autenticación en servicios digitales. En América Latina, la expansión de los servicios digitales y la regulación de los juegos online impulsaron la prevalencia del fraude de identidad sintética.

La investigación concluye que “las organizaciones deben prepararse para un futuro donde tanto usuarios legítimos como atacantes dependerán de agentes automáticos para interactuar en línea”. El reporte remarca que la colaboración intersectorial y el intercambio de inteligencia digital serán claves para distinguir entre humanos, bots y agentes, y para proteger la confianza en la economía digital.

El atacante que ha reivindicado la autoría del acceso no autorizado sostiene que obtuvo más de 350 gigabytes de información, entre los que se incluyen bases de datos y registros asociados a empleados del organismo, según reportó Bleeping Computer. Con el objetivo de demostrar la veracidad de sus afirmaciones, el ciberatacante proporcionó capturas de pantalla que presentan datos personales de trabajadores de la Comisión Europea y del sistema de correo electrónico institucional. Junto a estas evidencias, comunicó públicamente su intención de filtrar la información en internet, descartando la opción de un posible rescate económico o negociación para evitar su publicación.

Según publicó Bleeping Computer, el ciberataque se detectó el pasado martes 24 de marzo y motivó la activación inmediata de los protocolos de seguridad de la Comisión Europea, que confirmó la intrusión sobre su infraestructura en la nube. Este entorno informático forma parte del portal Europa.eu, que centraliza la presencia digital de los servicios y páginas web europeas dirigidas a ciudadanos y otros usuarios. Tras tomar conocimiento del incidente, la Comisión implementó medidas de mitigación consideradas necesarias para proteger tanto la continuidad de los servicios como la integridad de los datos, priorizando que la disponibilidad de los portales web no quedara interrumpida.

De acuerdo con un comunicado oficial difundido por la Comisión Europea y consignado por Bleeping Computer, se establecieron contactos con las entidades sindicales y organizaciones internas que pudieran haberse visto impactadas por la filtración de información, mientras el equipo de respuesta a incidentes de ciberseguridad continúa los trabajos de análisis forense. Las primeras indagaciones indican que los sistemas internos sensibles de la Comisión no han resultado afectados por el ataque, aunque la investigación para determinar el alcance real del acceso y la naturaleza exacta de la información sustraída sigue en curso.

La estructura digital comprometida actúa como puerta de entrada a diferentes servicios clave para usuarios y empleados, resaltando la magnitud que podría alcanzar la brecha de seguridad en función de los datos involucrados. Fuentes de la Comisión confirmaron a Bleeping Computer que el robo de información afecta a diversos sitios web alojados bajo la plataforma Europa.eu, donde se integran recursos institucionales y herramientas de servicio a la ciudadanía europea y actores internacionales.

En relación con la postura institucional tras el ataque, la Comisión Europea aseguró que las lecciones extraídas de este episodio contribuirán a fortalecer sus estrategias y medidas de protección cibernética. Según el comunicado mencionado por Bleeping Computer, se implementarán acciones adicionales para aumentar la seguridad de los sistemas y datos internos, subrayando el compromiso de la Unión Europea frente a la amenaza constante de ataques informáticos.

La Comisión puntualizó que la Unión Europea avanza en el desarrollo de marcos regulatorios y normativos, tales como el Reglamento de Ciberseguridad, la Directiva NIS2 y la Ley de Cibersolidaridad, cuyo objetivo es elevar la resiliencia de infraestructuras y servicios esenciales. En ese marco, el organismo europeo reiteró la importancia de la colaboración entre países miembros y la necesidad de adaptarse a un contexto de ciberamenazas persistentes.

De acuerdo con la información recabada por Bleeping Computer, aunque la identidad del atacante no ha sido confirmada oficialmente, el responsable del incidente comunicó que su propósito no se centra en obtener compensaciones económicas, sino en divulgar el contenido sustraído. Hasta el momento, la Comisión Europea sigue supervisando la situación de seguridad y monitorea la posible difusión de material robado por canales digitales.

El impacto de la filtración es evaluado en una serie de reuniones y procedimientos internos, que involucran tanto a expertos en ciberseguridad como a instancias administrativas de la Unión Europea. La difusión posterior de los datos podría incrementar los riesgos de suplantaciones de identidad, ciberataques dirigidos contra empleados o explotación de vulnerabilidades detectadas en los sistemas afectados.

El medio Bleeping Computer detalló que, ante la gravedad del suceso, la Comisión continuará informando y colaborando con los organismos pertinentes de la Unión Europea para asegurar una gestión coordinada de la crisis y una revisión exhaustiva de los hechos. Entre las tareas prioritarias figuran el seguimiento del flujo de información en internet, la actualización de protocolos de protección y la implementación de mejoras tecnológicas para impedir ataques similares en el futuro.

El registro del incidente también se suma a una serie de eventos recientes que han afectado a otras instituciones europeas, subrayando la relevancia de nuevas regulaciones y la urgencia de actualizar mecanismos de defensa digital. Conforme avanza la investigación, la experiencia adquirida en este proceso servirá como referencia en la evolución de políticas regionales relacionadas con la ciberseguridad y la protección de datos en el entorno digital europeo.

La protección de la información digital se ha convertido en una prioridad a nivel global. En un contexto donde los ataques informáticos crecen en frecuencia y sofisticación, las estrategias de backup y cibervigilancia se consolidan como herramientas indispensables para reducir el impacto de incidentes y garantizar la continuidad operativa de empresas y usuarios.

El 31 de marzo, Día Mundial del Backup, recuerda la necesidad de adoptar medidas preventivas para evitar pérdidas irreparables de datos.

La evolución de las amenazas y el rol crítico de los backups

Los ciberdelincuentes adaptan sus tácticas frente a los avances tecnológicos, enfocándose en los datos más sensibles y regulados para maximizar sus posibilidades de extorsión. No solo buscan acceder a información activa, sino también a las copias de seguridad, que pueden ser blanco de ataques como el ransomware.

La restauración de datos, tras un ataque, no siempre resulta sencilla. El ransomware puede inutilizar no solo archivos originales, sino también los respaldos almacenados en el mismo entorno comprometido. Esto genera consecuencias que van más allá de la pérdida de información: afecta procesos, operaciones y cumplimiento normativo, con el riesgo de provocar daños financieros y reputacionales de gran magnitud.

Un ejemplo paradigmático sobre la importancia de una estrategia adecuada de backup es el caso de Code Spaces. En 2014, esta empresa de hosting y gestión de código sufrió un ataque que permitió al atacante eliminar servidores, datos y también todas las copias de seguridad, ya que estaban almacenadas en el mismo entorno comprometido.La

pérdida total de información forzó el cierre definitivo de la compañía pocos días después del incidente. Este caso expone la necesidad de diversificar la ubicación física y lógica de los respaldos.

Estrategias actuales: la regla 3-2-1 y la descentralización del backup

De acuerdo con el centro de operaciones de seguridad Sparkfound, una de las tendencias para 2026 será almacenar los backups en múltiples ubicaciones. La regla 3-2-1, ampliamente aceptada en la industria, establece que se deben mantener al menos tres copias de los datos, almacenadas en dos tipos distintos de medios o ubicaciones, y al menos una copia fuera del sitio principal, ya sea en otra sede física o en la nube. Esta diversificación reduce el riesgo de perder toda la información ante un ataque dirigido a un único entorno.

La capacidad de anticipar y gestionar amenazas cibernéticas se vuelve fundamental. Sergio Oroña, fundador y CEO de la organización, sostiene que los ciberataques son cada vez más sofisticados y difíciles de detectar, lo que exige monitoreo constante, detección temprana y respuesta proactiva. Estas capacidades permiten identificar amenazas, analizar su alcance y mitigar su impacto antes de que comprometan la operación completa de una organización.

Las evaluaciones periódicas de ciberseguridad, realizadas por profesionales, son esenciales para conocer el grado de exposición de una organización y su capacidad de recuperación frente a incidentes. Existen herramientas especializadas que permiten detectar amenazas potenciales en pocos minutos, lo que acorta los tiempos de reacción y facilita la protección de los datos críticos.

El respaldo como inversión en continuidad y seguridad

Un plan de backup sólido acelera la recuperación ante incidentes como fallos de hardware, robos, pérdida de dispositivos o desastres naturales. Esta práctica minimiza el impacto sobre usuarios y operaciones diarias, y se convierte en un pilar fundamental para la continuidad del negocio y la protección de la información.

El sector tecnológico avanza en el desarrollo de soluciones basadas en inteligencia artificial para prevenir y mitigar ciberataques, añadiendo nuevas capas de defensa para las organizaciones.

La plataforma de pagos instantáneos PIX ha introducido ajustes en sus controles de seguridad que incluyen la posibilidad de que las entidades participantes establezcan un saldo mínimo para sus cuentas operativas. De acuerdo con el Banco Central de Brasil (BCB), este mecanismo busca garantizar que, cuando se alcance ese nivel mínimo, no se emitan nuevas órdenes de pago, reduciendo así el impacto potencial de fraudes o actividades irregulares. La noticia principal radica en la respuesta de las autoridades a un reciente robo cibernético que afectó a BTG Pactual.

Según informó el BCB mediante un comunicado oficial, estas modificaciones llegan tras el anuncio de BTG Pactual sobre un robo de cerca de 100 millones de reales, equivalentes a 16,5 millones de euros. Los cambios en la plataforma de pagos electrónicos permiten bloquear temporalmente las transferencias una vez alcanzado el saldo de seguridad, siempre que el banco o usuario haya activado previamente la función. Además, el BCB ha puesto a disposición un medio alternativo para que las entidades consulten el saldo de su Conta Pagamentos Instantâneos (Conta PI), reforzando la capacidad de monitoreo y protección.

El medio detalló que el propósito central de estas medidas se enfoca en salvaguardar los fondos depositados dentro del sistema gestionado por el Banco Central y preservar la confianza de las entidades y los usuarios en el entorno de pagos instantáneos. "Esta mejora tiene por objeto reforzar la seguridad de las entidades participantes, proteger los fondos depositados en el Banco Central y reforzar la confianza en el entorno de los pagos instantáneos y en el sistema financiero en su conjunto", según el comunicado difundido por el BCB.

La implementación de estos nuevos controles se realiza en un contexto de creciente preocupación tras el incidente sufrido por BTG Pactual. El pasado domingo, esta entidad suspendió sus operaciones en la red PIX como medida de precaución después de notar movimientos bancarios irregulares de alto valor, de acuerdo con el BCB. Aunque las investigaciones continúan, el instituto emisor reportó que la mayor parte del dinero desviado ya fue recuperado, aunque cantidades que oscilan entre 20 y 40 millones de reales (entre 3,3 y 6,6 millones de euros) siguen bajo revisión para su recuperación.

El Banco Central de Brasil ha señalado que los delincuentes involucrados en este ciberataque no tuvieron acceso a las cuentas ni a los datos personales de los clientes de BTG Pactual. El incidente se limitó a los fondos y operaciones del banco en la plataforma PIX, sin afectar la información privada de los usuarios.

El sistema de pagos electrónicos PIX, gestionado por el Banco Central de Brasil, ha transformado la manera en que personas y empresas realizan transferencias electrónicas en el país. Ante el aumento de los riesgos asociados a la ciberseguridad en el sector financiero, el reciente refuerzo de sus protocolos ejemplifica la reacción institucional frente a amenazas de gran escala. Según publicó el BCB, la decisión de ofrecer herramientas adicionales, como la consulta alternativa de saldos y el establecimiento de saldos mínimos, busca restringir la capacidad de los ciberdelincuentes para efectuar transferencias no autorizadas o comprometer fondos institucionales.

BTG Pactual, uno de los bancos de inversión más importantes del país, eligió interrumpir de forma temporal sus operaciones a través de PIX tras identificar movimientos injustificados que alertaron a su área de seguridad. Fuentes del BCB indicaron que la suspensión de actividades permitió reducir el riesgo de mayores pérdidas, mientras las investigaciones internas y externas determinan el origen y alcance preciso del ataque. El procedimiento seguido por BTG Pactual incluyó acciones para potenciar la recuperación de los fondos desviados y el fortalecimiento de sus infraestructuras defensivas, detalló el Banco Central.

En cuanto a las medidas preventivas introducidas por el BCB, se destaca que el nuevo sistema de saldo mínimo operativo vuelve obligatorio el bloqueo de transferencias que puedan poner en riesgo los recursos administrados por las instituciones participantes. Sólo se podrán emitir nuevas órdenes de pago si el saldo de la entidad supera dicho mínimo; en caso contrario, la ejecución de transferencias quedará automáticamente bloqueada, siempre y cuando se haya habilitado la opción correspondiente.

El canal alternativo habilitado por el BCB para la consulta de saldos de la Conta PI constituye un instrumento de respaldo para las instituciones, permitiendo verificar la disponibilidad y detectar cualquier discrepancia sin entrar en la plataforma principal. De acuerdo con el Banco Central, esta alternativa facilita el monitoreo constante y proporciona una capa adicional de respaldo ante eventuales incidentes informáticos.

Las autoridades financieras, según consignó el BCB, mantendrán en evaluación constante el impacto de estas medidas y su eficacia frente a nuevas modalidades de ataque. El organismo ha insistido en que el fortalecimiento de los protocolos de seguridad responde tanto al incidente reciente como a la importancia estratégica que reviste PIX dentro del sistema financiero nacional, que canaliza millones de transacciones diariamente.

El caso de BTG Pactual, según reportó el Banco Central, no alteró las operaciones individuales de los clientes ni comprometió las bases de datos personales, asegurando así que las consecuencias del ataque quedaron contenidas en el ámbito institucional. Estas afirmaciones surgen de la investigación y del monitoreo realizado tras el fraude, según aclaró el propio banco junto con el BCB.

Las medidas dadas a conocer por el Banco Central de Brasil se suman a una serie de actualizaciones periódicas de seguridad que apuntan a mantener la resiliencia del sistema ante el desarrollo de técnicas cada vez más sofisticadas por parte de los atacantes. El caso de BTG Pactual, con la recuperación parcial de los fondos y la ausencia de impacto directo en los usuarios, marca un nuevo capítulo en la gestión de riesgos dentro del sector financiero brasileño, según la información divulgada por el BCB.

BTG Pactual comunicó que pudo recuperar casi la totalidad de los fondos desviados tras un incidente que involucró movimientos sospechosos detectados en su sistema de pagos electrónicos. Según datos publicados por Bloomberg, el banco brasileño suspendió temporalmente su servicio en la plataforma Pix después de identificar transferencias no autorizadas que sumaron aproximadamente 100 millones de reales, equivalentes a 16,4 millones de euros.

De acuerdo con Bloomberg, BTG Pactual adoptó esta decisión como una "medida de precaución", en respuesta a la detección de operaciones fuera de lo habitual en la red Pix, mecanismo de pagos instantáneos usado en Brasil y gestionado por el Banco Central. La entidad informó que, aunque gran parte del monto sustraído ya se recuperó, las labores siguen enfocadas en ubicar entre 20 y 40 millones de reales más —una cifra que corresponde a entre 3,3 y 6,5 millones de euros—.

El banco señaló que los fondos de sus clientes se mantienen protegidos y afirmó que los atacantes no lograron acceder a cuentas particulares ni a datos personales de usuarios. Bloomberg especificó que, pese al ciberataque, BTG Pactual garantizó la seguridad de la información y la integridad de los recursos individuales, recalcando que ninguna cuenta fue vulnerada.

La suspensión del sistema Pix por parte de BTG Pactual se produjo en medio de preocupaciones por incidentes similares ocurridos en el pasado. Según Bloomberg, la plataforma Pix —respaldada por el Banco Central de Brasil— ya había registrado hechos de esta naturaleza previamente. En julio de 2025, C&M Software sufrió un ciberataque que resultó en el robo de más de 1.000 millones de reales, equivalentes a 163,6 millones de euros. Además, Sinqia y Banco do Nordeste reportaron incidentes en agosto de 2025 y enero pasado, respectivamente.

La red Pix se ha consolidado en Brasil como una herramienta fundamental para la realización de pagos y transferencias inmediatas, proceso que ha transformado los mecanismos de envío y recepción de dinero en el país. Bloomberg precisó que los ataques recientes han planteado interrogantes sobre las vulnerabilidades existentes en el sistema y la capacidad de respuesta de las entidades participantes.

Además de destacar que la mayor parte del dinero desviado por los responsables del ciberataque a BTG Pactual ya fue rastreada y restituida, Bloomberg puntualizó los esfuerzos en curso para recuperar el resto de los fondos. El banco reiteró en sus declaraciones que trabaja junto a las autoridades y organismos de control pertinentes para esclarecer la naturaleza y el alcance del incidente.

El medio internacional también recordó que los incidentes reportados por otras empresas vinculadas a Pix motivaron al Banco Central de Brasil a reforzar protocolos de seguridad y monitoreo en la infraestructura de la red, así como a fomentar la cooperación entre instituciones financieras y proveedores de tecnología.

El caso de BTG Pactual se suma a la lista de desafíos que enfrente la banca digital brasileña en la protección de sistemas transaccionales y la prevención de delitos informáticos. Según Bloomberg, el desarrollo y expansión del sistema Pix implican una supervisión constante ante nuevas amenazas y la actualización de los estándares de seguridad adoptados por los participantes.

Los actores involucrados en las investigaciones continúan analizando las causas de la vulnerabilidad explotada en este episodio, mientras el banco sostiene que ningún dato confidencial de sus clientes resultó expuesto. Bloomberg subrayó que para la institución la prioridad actual es restablecer la totalidad del servicio de pagos digitales bajo condiciones de plena confianza y resguardar la operatividad de sus herramientas tecnológicas ante riesgos futuros.

De acuerdo con la información difundida por Kaspersky y citada en el reporte, la herramienta ExifTool, ampliamente utilizada por especialistas en archivado, análisis forense y fuentes abiertas, gestionaba algunos metadatos en macOS sin verificar adecuadamente su contenido. Esto permitía que un atacante insertara comandos maliciosos en los metadatos de archivos multimedia, como imágenes, vídeos o archivos PDF, de modo que dichos comandos se activaran de forma automática al ser procesados, detalló el equipo Global Research Analysis Team (GReAT) de Kaspersky.

La explotación de la brecha resultaba sencilla para los actores maliciosos, explicaron expertos de GReAT en el comunicado reproducido. Solo requería la creación de una imagen manipulada y la ejecución posterior de un segundo comando en la máquina objetivo. De esta manera, los atacantes podían descargar y ejecutar software malicioso, extrayendo después información sensible de los dispositivos afectados, entre la que se contaban documentos, imágenes o archivos PDF, puntualizó el reporte.

ExifTool, desarrollado por Phil Harvey y distribuido como software libre, es una utilidad habitual para procesar información embebida en archivos multimedia. Su uso resulta esencial en rutinas de archivado digital, peritajes informáticos y pruebas OSINT, permitiendo el rastreo de datos como fechas y ubicaciones de captura, la detección de ediciones, o las comparaciones de versiones de un documento. El problema descubierto alteró la percepción de seguridad mantenida por los usuarios de la herramienta, al abrir la puerta a técnicas de inyección de comandos no autorizadas.

El medio que cubrió el análisis indicó que, tras la identificación de la vulnerabilidad, Kaspersky notificó el incidente y este se registró formalmente como CVE-2026-3102. Posteriormente, Phil Harvey lanzó la versión 13.50 de ExifTool el 7 de febrero, corrigiendo el error de validación de metadatos y cerrando la ventana de ataque para los sistemas actualizados, según señaló el propio desarrollador a los medios de comunicación especializados.

En sus declaraciones al medio, Lucas Tay, integrante del equipo GReAT de Kaspersky, afirmó la necesidad de revisar y actualizar la versión de ExifTool implementada en procesos automatizados, debido a la persistencia del riesgo en entornos que, habitualmente, procesan imágenes sin intervención humana. “Los equipos con procesos automatizados deberían verificar qué versión están utilizando sus scripts”, remarcó el investigador, precisando la importancia de mantener control en la gestión de scripts y flujos de trabajo.

Kaspersky enfatizó, en el reporte, la importancia de evitar el procesamiento de archivos multimedia provenientes de fuentes no confiables, en especial en sistemas que aún no se encuentren actualizados a la versión corregida. La compañía recomendó además revisar los procedimientos automatizados que utilicen ExifTool en entornos macOS y recordó que las empresas pueden recurrir a servicios asegurados como el Open Source Software Threats Data Feed para monitorear continuamente las amenazas que afectan a su cadena de suministro de software.

El abordaje de esta vulnerabilidad ilustra los desafíos crecientes en la seguridad de herramientas de código abierto. La difusión rápida del parche correctivo busca mitigar los efectos del fallo y proteger a los usuarios que dependen de ExifTool para el tratamiento y preservación segura de contenidos digitales. Kaspersky y otras organizaciones relacionadas con la ciberseguridad insistieron en la necesidad de mantener actualizado el software, especialmente en contextos empresariales y gubernamentales donde el procesamiento automatizado de archivos resulta frecuente y crítico.

El fabricante estadounidense de dispositivos médicos Stryker sufrió el miércoles un ciberataque masivo que paralizó sus operaciones en todo el mundo. El grupo Handala, vinculado al Ministerio de Inteligencia de Irán según analistas de ciberseguridad, reivindicó la acción y afirmó haber destruido más de 200.000 sistemas, servidores y dispositivos móviles, además de haber extraído 50 terabytes de datos. Las cifras, publicadas por el colectivo en X, no fueron verificadas de forma independiente.

Stryker confirmó la interrupción en un comunicado. La empresa indicó que enfrentaba “una interrupción global de la red en nuestro entorno Microsoft como consecuencia de un ciberataque”, aunque descartó la presencia de ransomware o malware y aseguró que el incidente estaba “controlado”. Empleados en Estados Unidos, Australia, Irlanda e India relataron en foros de Reddit que sus equipos habían sido borrados y que las páginas de inicio de sesión aparecían con el logotipo del grupo. En Cork, donde Stryker concentra su mayor operación fuera de Norteamérica con 4.000 trabajadores, el Centro Nacional de Ciberseguridad de Irlanda confirmó que respondía al incidente.

El ataque es el primero de magnitud conocida vinculado a Irán desde que Estados Unidos e Israel lanzaron la Operación Furia Épica el 28 de febrero. Handala declaró que la operación era “en represalia por el brutal ataque a la escuela de Minab y en respuesta a los continuos ciberataques contra la infraestructura del Eje de la Resistencia”.

La elección de Stryker no fue aleatoria. La empresa, con sede en Portage, Míchigan, adquirió en 2019 la firma israelí OrthoSpace por 220 millones de dólares y obtuvo el año pasado un contrato de 450 millones con el Departamento de Defensa estadounidense. Con 56.000 empleados y presencia en más de 61 países, es uno de los mayores fabricantes de tecnología médica del mundo y proveedor clave de hospitales y fuerzas armadas occidentales. Sus acciones en la Bolsa de Nueva York cayeron alrededor de un 3,5% al conocerse la noticia.

Handala surgió a finales de 2023 tras el inicio del conflicto en Gaza, con un perfil que combina el hacktivismo propalestino con operaciones de inteligencia estatal. FalconFeeds lo clasifica como un grupo de “falso hacktivismo” gestionado por el Ministerio de Inteligencia iraní. Su nombre remite al personaje del caricaturista palestino Naji al-Ali, símbolo de resistencia desde 1969. A diferencia de los grupos criminales convencionales, Handala no opera por dinero, lo que lo convierte en un actor difícil de disuadir: su único objetivo es el daño máximo.

El ataque a Stryker no es un hecho aislado. Desde el 28 de febrero, múltiples grupos afines a Irán han coordinado una campaña bautizada como #OpIsrael que apunta a infraestructuras críticas en países aliados de Washington, incluidos Bahréin, Jordania y Kuwait. La Guardia Revolucionaria Islámica advirtió públicamente que las oficinas e infraestructuras de empresas estadounidenses con vínculos israelíes —entre ellas Google, Microsoft, Oracle, Palantir e IBM— serían consideradas objetivos legítimos. El ataque a Stryker parece ser la primera materialización de esa amenaza a gran escala contra una corporación cotizada en bolsa.

El ataque empleó la técnica “wiper”, diseñada para destruir datos de forma permanente. Irán recurrió a este método por primera vez a escala internacional con el ataque de Shamoon contra Saudi Aramco en 2012. El día anterior, el director del FBI, Kash Patel, advirtió que el organismo trabajaba “las 24 horas” para contener la amenaza iraní en el ciberespacio. El Centro de Estudios Estratégicos e Internacionales ya había advertido que los ataques del 28 de febrero marcaban el inicio de una nueva fase de escalada cibernética, no su conclusión.

Europa enfrenta una nueva amenaza cibernética tras la confirmación de un sofisticado ataque vinculado a hackers rusos, que ha comprometido cuentas de mensajería de altos funcionarios, militares y periodistas en Países Bajos.

Los servicios de inteligencia neerlandeses, el AIVD y el MIVD, han alertado sobre la gravedad del incidente, que ha permitido a los atacantes acceder a información sensible y potencialmente estratégica para la seguridad europea.

El episodio refuerza la preocupación sobre el uso de plataformas de mensajería como WhatsApp y Signal en contextos oficiales y militares. Estas aplicaciones, a pesar de su reputación como canales seguros y cifrados, no están exentas de riesgos cuando los ciberatacantes emplean técnicas de ingeniería social y suplantación de identidad para obtener credenciales de acceso.

Cómo se produjo el ciberataque y qué información fue comprometida

Según los servicios de inteligencia, los cibercriminales se enfocaron especialmente en Signal, debido a su popularidad entre funcionarios gubernamentales y militares por el uso de cifrado de extremo a extremo. Los hackers se hicieron pasar por un chatbot oficial de Signal y, mediante mensajes fraudulentos, consiguieron que las víctimas entregaran sus claves de acceso.

Una vez dentro, los atacantes podían leer conversaciones, acceder a grupos sensibles y extraer datos sin que los usuarios lo notaran.

Las autoridades enfatizan que el ataque no explotó vulnerabilidades técnicas en las plataformas, sino que se basó en engañar a los usuarios. Por eso, subrayan que ni WhatsApp ni Signal son canales adecuados para transmitir información clasificada o de alta confidencialidad, aunque sean muy utilizadas por las instituciones gubernamentales.

Por qué los hackers atacaron organizaciones europeas

El interés de los hackers en Países Bajos no es casual. El país desempeña un papel central en el apoyo a Ucrania y alberga organizaciones internacionales de alto perfil, como la Corte Penal Internacional y la Organización para la Prohibición de las Armas Químicas. Esta relevancia geopolítica convierte a su infraestructura digital y a sus funcionarios en objetivos prioritarios para campañas de espionaje y desestabilización.

Los informes de inteligencia advierten que la operación rusa podría ser solo una de muchas acciones similares dirigidas a instituciones europeas clave, especialmente en el contexto actual de tensión internacional y guerra de información.

Recomendaciones de ciberseguridad ante el aumento de ataques

Frente a esta situación, las autoridades han emitido una serie de recomendaciones para reducir los riesgos de intrusión en cuentas de mensajería:

• Verificar la autenticidad de los mensajes recibidos: Signal y otras plataformas no contactan a los usuarios a través de la propia aplicación para solicitar credenciales o información.
• Revisar los miembros de grupos de chat: Estar atentos a la aparición de cuentas duplicadas o nombres desconocidos en los grupos.
• Eliminar cuentas sospechosas: Si se detecta una posible intrusión, es fundamental eliminar las cuentas afectadas del grupo o abandonar y crear uno nuevo si el administrador ha sido comprometido.
• Evitar compartir información sensible: Reservar los canales digitales solo para comunicaciones no confidenciales.

Qué hacer si tu cuenta de WhatsApp o Signal fue hackeada

Los ataques a cuentas de WhatsApp y Signal han aumentado en los últimos años, afectando tanto a usuarios comunes como a figuras públicas. Si sospechas que tu cuenta fue vulnerada, estas son las señales de alerta y los pasos recomendados:

• Cierre inesperado de sesión: Si la aplicación se cierra y solicita volver a verificar el número, puede ser señal de acceso no autorizado.
• Mensajes extraños: Aparición de mensajes o archivos enviados que no reconoces.
• Cambios en el perfil: Modificaciones no autorizadas en foto, nombre o estado.
• Conexiones inusuales: Actividad en horarios en los que no usas la aplicación.

Para recuperar la cuenta y proteger tus datos:

1. Desinstala y reinstala la aplicación para forzar el cierre de sesiones sospechosas.
2. Activa la verificación en dos pasos para añadir una capa adicional de seguridad.
3. Informa a tus contactos sobre el ataque para prevenir fraudes derivados.
4. Revisa las sesiones activas y cierra cualquier dispositivo desconocido en la configuración de la app.

El ciberataque ruso en Países Bajos es un recordatorio de la vulnerabilidad de las comunicaciones digitales, incluso en plataformas consideradas seguras. La ingeniería social y la suplantación de identidad siguen siendo métodos efectivos para romper barreras tecnológicas y acceder a información crítica.

El presidente Donald Trump propuso que las empresas privadas tengan un papel central en la ciberseguridad de Estados Unidos, una transformación que genera dudas técnicas y legales sobre la forma en que las compañías intervendrían en acciones habitualmente reservadas al gobierno.

La Estrategia Nacional de Ciberseguridad, difundida el viernes y firmada por Trump, apuesta por “desatar” la capacidad ofensiva de empresas para interrumpir redes enemigas y anticipa futuras órdenes ejecutivas, a pesar de la ausencia de detalles sobre el alcance y las limitaciones legales de esa iniciativa, según informó The New York Times.

El nuevo documento marca una diferencia clara respecto a administraciones previas: condensa las metas estratégicas en apenas siete páginas, 32 menos que la estrategia publicada por Joe Biden en 2023, y omite menciones explícitas a China y Rusia, dos países que atacaron reiteradamente infraestructuras estadounidenses, un tema que se desarrolla en la nueva hoja de ruta de ciberseguridad.

Empresas privadas, protagonistas en la ofensiva cibernética

En la actualidad, las empresas privadas pueden ser contratadas para desarrollar componentes de operaciones gubernamentales en el ciberespacio, pero la nueva estrategia supone una ampliación drástica de su papel. El texto oficial advierte: “Estados Unidos desatará” la intervención del sector privado para interrumpir redes enemigas.

Hasta ahora, la ley prohíbe a las empresas lanzar campañas ofensivas en internet. El Congreso debatió la posibilidad de modificar ese marco, aunque Lauryn Williams, experta en ciberseguridad del Center for Strategic and International Studies, que desempeñó funciones de supervisión de políticas en la administración Biden, advierte sobre el riesgo de validar represalias privadas o lo que se conoce como “hacking back”.

Según Williams, esto permitiría que una empresa atacada lleve a cabo contraataques cibernéticos, con la posibilidad de que se abra una escalada de represalias.

Williams sostiene que el mayor interrogante actual para el sector privado es “cómo garantizar que las compañías que participen en ataques cibernéticos ofensivos, en respuesta a haber sido vulneradas, no se conviertan luego en blanco de represalias de adversarios extranjeros”.

El ex vicealmirante retirado Mark Montgomery, actual director sénior del Center on Cyber and Technology Innovation de la Foundation for Defense of Democracies, instituto de análisis geoestratégico, aguarda precisiones del gobierno respecto a cómo se involucrará el sector privado en la ciberdefensa nacional.

Montgomery propone cautela y aclara: “Eso requeriría supervisión directa del ámbito militar”. Aunque se muestra abierto a la intervención empresarial, subraya la necesidad de un control militar sobre cualquier acción ofensiva ejecutada por compañías.

Ausencia de rivales estatales en la nueva estrategia

The New York Times destaca que, al igual que la Estrategia de Seguridad Nacional difundida por la Casa Blanca en diciembre pasado, la nueva hoja de ruta omite identificar adversarios concretos, un cambio respecto a directrices anteriores. Montgomery indicó: “Pierdes una oportunidad de disuasión cuando no nombras al adversario”.

Esta omisión, según el medio, resulta llamativa frente a ataques recientes como las incursiones Salt Typhoon y Volt Typhoon –atribuidas a China– que lograron extraer información de millones de estadounidenses y amenazan con entorpecer operaciones militares nacionales.

La estrategia de Trump menciona algunas acciones pasadas, como el rol de operaciones cibernéticas en la captura de Nicolás Maduro y los ataques estadounidenses contra instalaciones nucleares iraníes.

El texto enfatiza: “A los adversarios se les avisa que los operadores y herramientas cibernéticas de Estados Unidos son los mejores del mundo y pueden desplegarse de forma rápida y eficaz para defender los intereses estadounidenses”.

Williams analiza la descripción abierta de las operaciones cibernéticas del gobierno, una tendencia diferente al tono reservado de gestiones previas, y afirma: “Hemos visto reconocimientos públicos sin precedentes de operaciones cibernéticas tras Venezuela y luego de Irán”.

Inteligencia artificial y redefinición de prioridades

El documento incluye objetivos clásicos como la simplificación normativa, la modernización de las redes gubernamentales, la protección de infraestructuras esenciales y la construcción de una fuerza laboral capacitada en ciberseguridad. Por primera vez, subraya el uso de inteligencia artificial para “detectar, desviar y engañar a actores hostiles”.

Desde 2003, cuando el presidente George W. Bush lanzó la primera estrategia federal de ciberespacio, cada administración propuso su propio enfoque.

El alcance otorgado al sector privado y la brevedad sin detalles sobre adversarios marcan la propuesta de Trump como distinta en el panorama estadounidense reciente.

El primer decreto presidencial firmado el viernes acompañando la nueva estrategia se enfocó en delitos cibernéticos y estafas en línea. Hasta ahora, Trump no emitió órdenes relacionadas con la participación privada en operaciones ofensivas, dejando abierto el interrogante respecto a los mecanismos legales y el tipo de acciones que habilitaría para las empresas involucradas.

La acción judicial busca que las autoridades investiguen las circunstancias en las que se produjo el ataque informático y las posibles conductas penales asociadas.

Ahora puede seguirnos en Facebook y en nuestro WhatsApp Channel

La entidad señaló que el incidente corresponde a un ataque externo contra la plataforma de citas desarrollada por el proveedor tecnológico CIEL Ingeniería. Según explicó la Dian, el hecho permitió el acceso no autorizado a datos personales de algunos usuarios del sistema, lo que llevó a activar los protocolos institucionales de seguridad informática y a iniciar las actuaciones legales correspondientes.

“La Dian interpuso denuncia ante la Fiscalía General de la Nación por los hechos registrados para que se adelanten las investigaciones del caso por el presunto delito de extorsión y demás conductas penales asociadas al ciberataque perpetrado”, señaló la entidad en su comunicado oficial.

El director general de la entidad, Carlos Emilio Betancourt, se refirió al incidente mediante un video difundido por la institución, en el que explicó que las verificaciones técnicas realizadas permitieron establecer el alcance del ataque y descartar afectaciones en los sistemas principales de información tributaria y aduanera.

Acceso a datos personales del sistema

Según explicó Betancourt, el incidente fue confirmado tras un proceso de análisis técnico adelantado por los equipos especializados de la entidad. El ataque involucró específicamente el sistema virtual de agendamiento de citas, que es utilizado por los ciudadanos para programar trámites ante la Dian.

La entidad explicó que, una vez detectada la situación, se procedió a deshabilitar de manera temporal los servicios comprometidos y a activar los protocolos de gestión de incidentes de seguridad. Estas acciones, según la Dian, se adoptaron con el objetivo de contener el evento, proteger la información disponible en los sistemas institucionales y prevenir nuevos accesos no autorizados.

De manera paralela, la institución trabaja con el proveedor tecnológico responsable de la plataforma para implementar ajustes que permitan restablecer el servicio de forma segura. Entre las medidas adoptadas se incluyen análisis de registros, pruebas de seguridad y evaluaciones del comportamiento de los sistemas informáticos involucrados.

Información tributaria no fue comprometida

Durante su pronunciamiento, Betancourt aseguró que las verificaciones realizadas permitieron determinar que la información más sensible administrada por la entidad no fue afectada por el incidente informático.

“Con base en las verificaciones realizadas, puedo indicar que la información tributaria aduanera de los contribuyentes no se ha visto comprometida ni vulnerada, las contraseñas y credenciales de acceso se encuentran protegidas y no han sido objeto de ataque”, afirmó el director general.

La Dian reiteró esta información en su comunicado oficial, en el que precisó que los sistemas misionales de la entidad continúan operando con normalidad y que la prestación de servicios a la ciudadanía no se ha visto interrumpida.

En ese sentido, la entidad señaló que “los servicios misionales y la atención a la ciudadanía continúan prestándose de manera continua y sin afectaciones”, al tiempo que indicó que, hasta el momento, la operación esencial de la institución no ha sido alterada por el incidente.

La atención continúa en algunos puntos

Aunque el sistema virtual de agendamiento de citas permanece temporalmente deshabilitado mientras se adelantan los ajustes técnicos, la Dian informó que la atención presencial continúa funcionando en sus sedes. De acuerdo con la entidad, los 56 puntos de contacto con los que cuenta en todo el país se mantienen operando con normalidad, brindando acompañamiento a los ciudadanos en la realización de trámites y consultas.

La institución también indicó que, como medida temporal, algunas citas relacionadas con solicitudes de devolución por pago en exceso o por pagos no debidos deberán gestionarse a través de atención telefónica. En particular, los contribuyentes de las direcciones seccionales de Bogotá, Bucaramanga, Medellín y Cali que requieran este trámite deberán comunicarse con la línea telefónica +57 601 489 9000 para programar sus citas mientras se restablece el sistema virtual.

Finalmente, la Dian informó que también se adelantan las acciones necesarias para reportar el incidente ante la Superintendencia de Industria y Comercio, autoridad nacional encargada de la protección de datos personales en Colombia, como parte de los procedimientos institucionales previstos para este tipo de situaciones.

Estados Unidos e Israel lanzaron el sábado una ofensiva militar sin precedentes contra Irán, combinando bombardeos convencionales con una dimensión que hasta ahora había permanecido en las sombras: un apagón casi total de Internet. La conectividad iraní registró una abrupta caída llegando al 4% de los niveles normales, mientras ciberataques afectaban a medios, sitios de noticias y aplicaciones locales, incluida la agencia de noticias estatal IRNA. Como represalia, Irán lanzó una segunda ola de misiles balísticos contra Israel y las bases estadounidenses en los países del Golfo.

La operación no fue una sorpresa para quienes seguían de cerca la escalada digital entre ambos países. Irán venía ejecutando desde antes del ataque de Hamas del 7 de octubre campañas sostenidas de espionaje y sabotaje digital contra Israel que, según registros de inteligencia, se triplicaron con posterioridad. Esos ataques incluyeron malware destructivo y correos electrónicos con enlaces a sitios web falsos diseñados para robar credenciales de acceso y códigos de autenticación de dos factores, como parte de operaciones más amplias de recopilación de inteligencia y manipulación de la opinión pública.

El antecedente más elocuente de esta guerra tecnológica ocurrió en enero de 2010, cuando inspectores de la Agencia Internacional de Energía Atómica detectaron que las centrifugadoras de la planta nuclear de Natanz estaban fallando sin explicación aparente. La causa, revelada meses después, fue Stuxnet: un virus informático que tomó el control de 1.000 máquinas y les ordenó autodestruirse. Fue una de las primeras instancias en las que un ciberataque generó daños físicos reales. Lo que ocurre hoy es, en muchos sentidos, su heredero directo.

Por estas horas, las operaciones híbridas sobre el régimen de Irán incluyeron infraestructuras críticas y sistemas de comunicaciones de las fuerzas armadas y de seguridad que dejaron de funcionar, produciendo un apagón de comunicaciones y la ruptura de la cadena de mando, tanto en el país como en el extranjero.

Irán ingresó en una niebla digital casi total, en lo que podría definirse como el primer ciberataque a gran escala.

Los daños a la infraestructura de comunicaciones del CGRI tenían como objetivo impedir la coordinación de contraataques e interrumpir la capacidad de las unidades cibernéticas y electrónicas iraníes para lanzar drones y misiles balísticos.

Actividades preparatorias y de hacktivismo fueron desplegadas desde el mes de enero, cuando las transmisiones satelitales iraníes fueron intervenidas, transmitiendo a millones de hogares contenido que instaba al derrocamiento del régimen.

El ataque del sábado fue descripto como de una escala sin precedentes, combinando guerra electrónica que interrumpió los sistemas de navegación y comunicaciones con ataques de denegación de servicio (DDoS) e intrusiones profundas en los sistemas de datos vinculados a la infraestructura energética y aeronáutica del país, mientras el régimen intentaba apoyarse en su circunscripta y malograda red de “internet nacional”, dejando a Irán expuesto y aislado en un momento de grave crisis. La niebla digital es, a esta altura, tan determinante como la física: quien controla las comunicaciones, controla el campo de batalla.

Gabriel Zurdo es CEO y Fundador de BTR Consulting; especialista en ciberseguridad, riesgo tecnológico y negocios

Un hábito tan sencillo como apagar el celular durante cinco minutos cada día se ha convertido en una pauta respaldada por autoridades internacionales para fortalecer la ciberseguridad de millones de usuarios ante la creciente sofisticación de los ataques digitales.

Sumado a interrumpir el funcionamiento de software malicioso, esta práctica introduce una barrera efectiva ante intentos de acceso no autorizado a datos personales y bancarios en un contexto marcado por el auge de amenazas invisibles.

La medida, impulsada por el primer ministro de Australia, Anthony Albanese, plantea que es suficiente con reservar un intervalo de cinco minutos diarios para desconectar el dispositivo, idealmente durante actividades cotidianas, como cepillarse los dientes.

Albanese instó a la población a adoptar el hábito y subrayó: “Todos tenemos una responsabilidad. Cosas sencillas: apaga el teléfono cinco minutos cada noche. Para quienes ven esto, hazlo cada 24 horas, mientras te cepillas los dientes o haces lo que sea”, dijo.

Por qué apagar el celular por cinco minutos es útil para evitar ciberataques

La base técnica de esta pauta reside en que varios tipos de malware requieren mantener una sesión de usuario activa para operar sin interrupciones.

Entonces, reiniciar o apagar el celular interrumpe estos procesos en segundo plano, lo que dificulta la persistencia de spyware o ataques conocidos como zero-click, capaces de infectar el dispositivo sin intervención directa del usuario.

El periodo mínimo de cinco minutos sugerido por Albanese, responde a la necesidad de asegurar que todos los procesos en segundo plano se cierren completamente, y que la memoria del dispositivo quede libre de cualquier rastro que pudiera aprovechar un agente externo.

De este modo, se reduce la ventana de oportunidad para ataques que explotan vulnerabilidades de software o se valen de conexiones persistentes.

Qué dicen otras organizaciones sobre este método

El consejo del Gobierno australiano coincide con las pautas emitidas en 2020 por la Agencia de Seguridad Nacional de Estados Unidos (NSA), que aconsejó reiniciar los dispositivos al menos una vez por semana como medida para reforzar la seguridad de los teléfonos inteligentes.

Ambas medidas parten de un mismo principio: el mero acto de apagar y volver a encender detiene el funcionamiento de aplicaciones maliciosas que requieren continuidad y corta de cuajo cualquier intento de mantener el acceso remoto por parte de un atacante.

Con qué otros medidas se puede evitar ser víctima de ciberataques

Especialistas en ciberseguridad advierten que apagar el teléfono de forma regular solo constituye una primera barrera, pero no equivale a una protección total frente a amenazas complejas.

Sugieren complementar esta rutina con medidas adicionales: utilizar contraseñas robustas, activar la autenticación en dos pasos, descargar aplicaciones únicamente desde tiendas oficiales y mantener el sistema operativo actualizado.

Asimismo, la elección de una red segura es crítica. Se aconseja evitar WiFi públicas y abstenerse de compartir información sensible a través de canales inseguros o ante personas cuya identidad no pueda verificarse, aunque se presenten como representantes de empresas legítimas.

Cómo crear una contraseña segura

Para crear una contraseña segura se debe usar palabras complejas de al menos 12 caracteres que combinen mayúsculas, números y símbolos. Hay que evitar datos personales como fechas de nacimiento o nombres de mascotas, porque son fáciles de adivinar mediante ingeniería social.

Lo más importante es la exclusividad: jamás hay que reutilizar la misma clave en diferentes sitios. Para gestionar decenas de accesos robustos sin olvidarlos, lo ideal es emplear un gestor de contraseñas confiable que las encripte.

Cuáles son los ciberataques más comunes

El phishing sigue siendo el líder, utilizando correos o mensajes falsos para robar credenciales. Otro que destaca es el malware, que infecta dispositivos para espiar o dañar datos, y el ransomware, que secuestra la información exigiendo un rescate económico.

Otros ataques comunes incluyen la fuerza bruta, donde programas automáticos prueban miles de combinaciones hasta dar con la clave, y las vulnerabilidades en redes WiFi públicas, que permiten interceptar información.

Este 25 de febrero de 2026 el Servicio de Administración Tributaria (SAT) emitió un comunicado luego de que durante el día se compartiera información en medios de comunicación acerca de un presunto ciberataque con inteligencia artificial a instituciones gubernamentales, el cual es incluido en la lista.

El organismo negó de manera categórica haber sufrido un hackeo o robo de información mediante herramientas de inteligencia artificial, tras la circulación de versiones sobre una supuesta filtración de datos confidenciales.

Seguridad alineada a estándares internacionales

El SAT subrayó que sus acciones en materia de ciberseguridad siguen los lineamientos y marcos de gestión definidos por el Gobierno Federal. Estas acciones se encuentran respaldadas por estándares internacionales como la familia ISO/IEC 27000, así como ISO 22301 e ISO 31000. El organismo mantiene un esquema de monitoreo permanente y protocolos de detección temprana para responder ante incidentes informáticos.

De acuerdo con el comunicado, ante cualquier publicación que sugiera la existencia de un incidente de seguridad, el SAT implementa de inmediato sus mecanismos internos para monitorear, contener y mitigar posibles amenazas de ciberdelincuencia.

Revisión de sistemas ante una presunta vulneración

Tras la versión publicada en Bloomberg donde se señala que miles de datos confidenciales fueron robados a través de un chatbot creado con Inteligencia Artificial, el SAT indicó que se llevó a cabo una revisión de las bitácoras de operación de los sistemas relacionados con la supuesta filtración. El análisis no identificó accesos no autorizados ni comportamientos anómalos en los sistemas de operación.

El ciberataque dirigido a los portales de las autoridades se habría iniciado en diciembre y se extendió durante cerca de un mes, periodo en el que los responsables lograron sustraer información.

Entre las acciones que la autoridad fiscal destaca se encuentran:

• Monitoreo constante de plataformas informáticas.
• Actualización permanente de sistemas y herramientas de protección.
• Aplicación de protocolos de contención y mitigación si se detecta alguna amenaza.

El SAT enfatizó que no existe evidencia que confirme el supuesto hackeo o robo de información a través de inteligencia artificial.

Ciberataques con IA van en crecimiento

El SAT reconoció la tendencia creciente de ataques informáticos que utilizan herramientas de inteligencia artificial generativa, en esta ocasión también se destaco al Instituto Nacional Electoral (INE), al Gobierno de la Ciudad de México, Jalisco, Michoacán y Tamaulipas como blanco del robo de información.

Frente a este panorama, el organismo aseguró que mantiene vigilancia continua sobre sus sistemas y realiza mejoras en las medidas de protección para actuar con oportunidad ante cualquier incidencia en materia de seguridad informática.

La autoridad reiteró su compromiso con la protección de los datos de las y los contribuyentes, así como con la transparencia en la gestión de incidentes de ciberseguridad.

La Agencia de Recaudación y Control Aduanero (ARCA) emitió un comunicado oficial a través de su cuenta de X para advertir a los contribuyentes sobre la detección de una nueva modalidad de estafa virtual. El organismo informó que se han identificado correos electrónicos fraudulentos que intentan suplantar la identidad de la institución con el objetivo de obtener información personal y sensible de los ciudadanos.

Según detalló la entidad, estos mensajes falsos circulan bajo una apariencia que simula ser una comunicación oficial del organismo. Sin embargo, el análisis técnico realizado por la agencia permitió determinar que los correos electrónicos provienen de direcciones que no pertenecen a un dominio oficial. Asimismo, se advirtió que el remitente de respuesta configurado en estos envíos tampoco guarda relación con una casilla de correo institucional legítima de la Agencia de Recaudación y Control Aduanero.

Modus operandi y características del fraude

La maniobra detectada se enmarca en las técnicas conocidas como “phishing", donde los ciberdelincuentes buscan engañar al destinatario para capturar datos privados. En este contexto, ARCA enfatizó que su política de comunicación no incluye el envío de correos electrónicos bajo determinadas condiciones.

Desde el organismo aclararon que no se envían correos solicitando datos personales, pagos ni la descarga de archivos. Esta precisión busca que el contribuyente pueda identificar rápidamente una comunicación apócrifa, ya que cualquier requerimiento de información sensible o solicitud de transferencias monetarias vía e-mail queda fuera de los procedimientos estándar de la institución.

Otro punto central de la advertencia reside en la gestión de archivos adjuntos y enlaces. Los correos detectados instan a los usuarios a realizar acciones que comprometen la seguridad de sus dispositivos y datos. Por este motivo, la autoridad fiscal y aduanera recordó que el Domicilio Fiscal Electrónico es el único canal oficial habilitado para la notificación de actuaciones, despachos u operaciones realizadas a nombre del contribuyente.

Recomendaciones de seguridad para contribuyentes

Ante la proliferación de estos intentos de estafa, la Agencia de Recaudación y Control Aduanero estableció una serie de pautas de seguridad estrictas para el manejo de la correspondencia electrónica sospechosa:

• Verificación del remitente: Comprobar que el dominio del correo electrónico corresponda efectivamente a las direcciones oficiales del Estado y no a proveedores genéricos o dominios similares pero incorrectos.
• Restricción de enlaces: En caso de recibir un correo que se considere sospechoso, la instrucción oficial es no hacer clic en ningún enlace contenido en el cuerpo del mensaje.
• Archivos adjuntos: Se recomienda de forma taxativa no descargar archivos adjuntos, ya que estos pueden contener software malicioso diseñado para el robo de información o el bloqueo de equipos.
• Consulta de canales oficiales: Toda notificación legítima sobre la situación fiscal o aduanera de una persona debe ser verificada ingresando directamente con clave fiscal al sitio web oficial de la agencia, específicamente en la sección de Domicilio Fiscal Electrónico.

Procedimiento de denuncia y reporte

Para colaborar con la investigación de estos incidentes y mitigar el alcance del fraude, ARCA solicitó la colaboración activa de la comunidad. En este sentido, habilitó una vía específica para el reporte de estos correos electrónicos fraudulentos.

Los ciudadanos que reciban una comunicación sospechosa deben reenviar el mensaje original a la casilla de correo electrónico especializada en ciberseguridad del organismo: phishing@arca.gob.ar. El objetivo de este procedimiento es que el área técnica de la entidad pueda realizar un análisis exhaustivo de la estructura del correo, los servidores de origen y los enlaces utilizados por los estafadores para proceder con las acciones correspondientes.

La Agencia de Recaudación y Control Aduanero reiteró la importancia de mantener la guardia ante este tipo de contactos imprevistos y recordó que la protección de la información personal es una tarea conjunta entre el organismo y los contribuyentes.

España atraviesa un momento crítico en materia de infraestructuras. Tras un periodo de fuerte crecimiento en inversiones públicas durante los primeros años del siglo XXI, el país ha entrado en una larga fase de recortes presupuestarios que ha dejado un panorama de obsolescencia en las infraestructuras, de pérdida de eficiencia y una mayor vulnerabilidad ante riesgos climáticos y tecnológicos. Así lo expone el estudio La economía de las infraestructuras en España: realidad, retos y recomendaciones, editado por Funcas y coordinado por Ginés de Rus y Carlos Ocaña.

Los autores del informe reconocen que las infraestructuras constituyen un armazón que sostiene la economía y el bienestar social de España, por lo que, cuando fallan, sus efectos son inmediatos y costosos. Por ello, invertir en ellas es una condición necesaria, pero no suficiente, para el crecimiento económico, ya que invertir más no garantiza mejores resultados si no se elige adecuadamente en qué, dónde y cómo se invierte.

La experiencia española muestra casos de sobreinversión con baja utilización, junto a déficits en ámbitos como las infraestructuras hidráulicas o el mantenimiento de redes de transporte y energía.

De la euforia inversora al ajuste estructural

Entre 2000 y la crisis financiera global de 2008, España fue uno de los países de la Unión Europea que más recursos destinó a infraestructuras, con ratios de inversión pública sobre PIB superiores a la media comunitaria. Este impulso permitió construir una red de alta velocidad ferroviaria, autovías, aeropuertos y redes energéticas que situaron al país a la vanguardia en varios modos de transporte y mejoraron la accesibilidad territorial. Esta etapa de expansión actuó como motor de convergencia económica con Europa y facilitó el crecimiento interno.

La situación cambió de forma abrupta con la llegada de la crisis financiera y el posterior ajuste fiscal. El informe de Funcas describe cómo la inversión pública se redujo a mínimos históricos, tanto en nuevas infraestructuras como en el cuidado de las existentes. El repliegue, que en principio se planteó como temporal, se convirtió en estructural, y España pasó a presentar un déficit inversor respecto a la media europea.

Los riesgos de la falta de mantenimiento

La caída en la inversión no solo ha frenado nuevos proyectos, sino que también ha puesto en riesgo la operatividad de las redes ya construidas. El informe advierte que la falta de recursos para conservación y modernización ha generado problemas de sobreinversión con baja utilización en algunos activos, junto a déficits notables en infraestructuras hidráulicas y en el mantenimiento de redes de transporte y energía.

La situación afecta de forma directa a la capacidad de respuesta ante fenómenos extremos, como apagones, sequías, inundaciones y ciberataques. Según los autores, “negar la prioridad al mantenimiento debilita la resiliencia nacional y eleva la exposición a emergencias y pérdidas económicas”.

Además, la obsolescencia de las infraestructuras incrementa los costes futuros, ya que la reparación de daños suele requerir inversiones mucho mayores que la prevención.

Los retos de la transición al cambio climático y la digitalización

El informe de Funcas identifica varios desafíos clave para el futuro inmediato. Entre ellos destacan la adaptación al cambio climático, la transición energética y el avance hacia la digitalización de las redes. También recalca la importancia de reforzar las infraestructuras para garantizar la seguridad del suministro energético y contener los costes en un contexto de transformación hacia fuentes renovables.

En el ámbito del agua, los autores sostienen que la escasez y la variabilidad del recurso, agravadas por el calentamiento global, exigen una gestión basada en criterios económicos y ambientales, con precios que reflejen la escasez y sistemas que incentiven el uso eficiente. La falta de inversión en almacenamiento, prevención de inundaciones y depuración ha elevado la vulnerabilidad de las ciudades y el campo ante episodios extremos.

En cuanto a la digitalización, se perfila como un “elemento transversal imprescindible”, según el informe. España mantiene una posición avanzada en cobertura de fibra óptica y redes móviles, lo que constituye una ventaja competitiva. No obstante, la concentración de mercado, los riesgos para la ciberseguridad y la dependencia de otras infraestructuras críticas “exigen marcos regulatorios sólidos que garanticen competencia y acceso equitativo”.

Recomendaciones para un cambio de rumbo

El estudio expone una batería de medidas concretas para revertir la tendencia en infraestructuras y mejorar la eficiencia del gasto público. Entre las recomendaciones destacan reforzar la planificación estratégica con base en análisis económico; crear sistemas de financiación que permitan la recuperación de costes e internalicen las externalidades y ampliar y profesionalizar la colaboración público-privada.

También aconseja priorizar el mantenimiento y renovación de infraestructuras existentes frente a la construcción de nuevas, impulsar la resiliencia de infraestructuras críticas para minimizar el impacto de crisis imprevistas y mejorar la calidad institucional y la gobernanza del sector, con una evaluación rigurosa de los beneficios y costes sociales.

El informe insiste en que la inversión en infraestructuras compite directamente con otras prioridades como la sanidad, la educación o la seguridad, por lo que urge una evaluación transparente y objetiva para maximizar el retorno social de cada euro público gastado.

Transportes más eficientes y a la “vanguardia” en Telecomunicaciones

El análisis de Funcas repasa de forma monográfica los principales sectores afectados. En transporte, el país cuenta con una red densa y moderna, aunque arrastra problemas de sobrecapacidad y baja utilización en algunos activos. La recomendación de los expertos apunta a reorientar la política hacia la eficiencia, con evaluación estricta de proyectos y tarificación por uso.

En cuanto a energía, la transición hacia un sistema descarbonizado exige inversiones en redes de transporte y almacenamiento, así como en la gestión inteligente de la demanda. El informe alerta sobre los riesgos de una planificación deficiente que pueda derivar en apagones o inestabilidad.

En agua, la urgencia radica en mejorar el almacenamiento, la prevención de inundaciones y la depuración, con una gestión tarifaria que incentive el consumo responsable y garantice la sostenibilidad de las infraestructuras.

Respecto a las telecomunicaciones, España se mantiene a la vanguardia, pero la concentración de operadores y los retos de ciberseguridad obligan a fortalecer la regulación y evitar riesgos sistémicos.

El estudio examina el efecto de la pandemia y la llegada del programa Next Generation EU, que ha incentivado una respuesta fiscal expansiva y un renovado interés por la inversión en eficiencia energética, movilidad sostenible y digitalización. Sin embargo, la ejecución de estos fondos aún resulta baja y el esfuerzo en infraestructuras físicas permanece lejos de los máximos registrados antes de la crisis financiera de 2008.

Nueva política de infraestructuras para impulsar la economía

En cuanto al futuro, el estudio incide en que el futuro de la economía y el bienestar en España dependerá de la capacidad para consensuar una nueva política de infraestructuras basada en la sostenibilidad financiera, ambiental y territorial.

Deja claro que sin una estrategia de largo plazo y una asignación eficiente de recursos, el país corre el riesgo de ver erosionada su competitividad y quedar expuesto a crisis sistémicas.

En Argentina se emitió una nueva alerta sobre una aplicación móvil llamada MorganArg que contiene un malware capaz de tomar el control del celular mediante inteligencia artificial.

Esta aplicación, que integra un software malicioso denominado PromptSpy, fue identificada por la empresa de ciberseguridad SET, que la calificó como el primer caso conocido en Android en el que se emplea inteligencia artificial generativa como parte de su funcionamiento.

La app no está disponible en la tienda oficial de Google, sino que se instala mediante archivos descargados desde enlaces externos, una práctica riesgosa pero cada vez más común.

Ejemplos similares son aplicaciones como MagistTV, utilizadas para acceder a televisión paga y que también requieren la instalación de archivos APK fuera de Google Play Store, lo que constituye una señal de advertencia.

MorganArg replica el esquema típico de fraudes online recientes: promete altos retornos a cambio de una inversión inicial.

La víctima recibe un enlace por redes sociales, mensajes o publicidad en línea que la dirige a descargar un archivo APK. Al instalar la app, esta solicita permisos avanzados, incluido el acceso a funciones de accesibilidad, lo que le permite tomar el control del dispositivo.

Cómo opera esta aplicación móvil fraudulenta

La aplicación fraudulenta MorganArg opera de manera sofisticada tras ser instalada en el dispositivo.

Al ejecutarse, el malware PromptSpy obtiene acceso a funciones críticas del teléfono: puede leer mensajes y notificaciones, interceptar códigos de verificación enviados por SMS, extraer credenciales de acceso y datos personales, manipular aplicaciones bancarias o billeteras digitales y ejecutar órdenes como si fuera el propio usuario.

En la práctica, funciona como una llave maestra que permite a los atacantes controlar la vida digital de la víctima.

El especialista Mario Micucci, del laboratorio de ciberseguridad de ESET Latinoamérica, señala que PromptSpy inaugura una nueva etapa para el malware en Android, ya que la inteligencia artificial delega el control de la pantalla, elevando la efectividad en el robo de información.

El logo de la app imita el de Chase, la marca de JPMorgan Chase, uno de los bancos más grandes de Estados Unidos, para dar apariencia de legitimidad y engañar a los usuarios.

Según Micucci, el uso del nombre MorganArg ejemplifica una ingeniería social cada vez más profesional, orientada a atacar a usuarios locales con operaciones dinámicas y autónomas.

Al no encontrarse disponible en la tienda oficial de Google, la descarga depende de que el usuario acepte instalar apps desde orígenes desconocidos, lo que incrementa considerablemente el riesgo.

Argentina es actualmente el principal objetivo de esta amenaza, que se presenta como una oportunidad financiera legítima y fue identificada como maliciosa el 10 de febrero en la plataforma VirusTotal.

El investigador Lukas Stefanko, de ESET, explicó que el análisis de las muestras detectó un malware de múltiples etapas, con un “dropper” inicial llamado PromptSpy dropper que instala el componente principal, PromptSpy, el cual aprovecha la tecnología de inteligencia artificial generativa como parte de su ataque.

Cuál es el rol de la inteligencia artificial en esta app móvil

La inteligencia artificial cumple un papel central en el funcionamiento de MorganArg, convirtiéndola en una amenaza mucho más dinámica y difícil de erradicar.

Según Lukas Stefanko, investigador de ESET, el malware PromptSpy puede analizar en tiempo real lo que ocurre en la pantalla del dispositivo y generar instrucciones paso a paso que permiten que la aplicación maliciosa permanezca activa en la lista de apps recientes, evitando que el sistema operativo la cierre o elimine fácilmente.

El modelo de IA y los prompts están incorporados directamente en el código, lo que impide que sean modificados por los usuarios o por el propio sistema.

Cómo protegerse de este tipo de fraudes

Para protegerse de este tipo de fraudes, la principal recomendación es evitar la instalación de aplicaciones provenientes de fuentes desconocidas, es decir, aquellas que no se encuentren en la tienda oficial de Google.

Asimismo, evita conceder permisos de accesibilidad a apps que no lo requieran de manera clara, al igual que verificar los permisos solicitados antes de instalar cualquier programa.

Un grupo de hackers vinculados a China accedió de forma no autorizada a los sistemas digitales del Ministerio del Interior de Italia y obtuvo datos de 5.000 agentes de la DIGOS (División de Investigaciones Generales y Operaciones Especiales).

Según reveló el diario Repubblica, el ciberataque, ocurrido entre 2024 y 2025, no fue un sabotaje sino un robo de información dirigido a nombres, funciones y sedes operativas de agentes involucrados en la lucha antiterrorista, la vigilancia de comunidades extranjeras y el seguimiento de disidentes chinos refugiados en el país.

“No parece que se hayan tomado datos sensibles relacionados con actividades operativas”, sostuvo la Policía en un comunicado.

Los ciberdelincuentes descargaron datos confidenciales sobre personal de distintas comisarías italianas tras vulnerar la red del Ministerio. Aunque la autoría se atribuye a actores cercanos al régimen chino, en el ámbito de la ciberguerra las pruebas suelen ser limitadas.

El Ministerio del Interior detectó la filtración mientras se reforzaba la cooperación judicial entre Italia y China. El titular italiano de la cartera, Matteo Piantedosi, ya había mantenido reuniones en 2024 con su homólogo chino, Wang Xiaohon, en Beijing.

La fiscalía de Prato, especializada en delitos relacionados con China, continuó con las investigaciones, y el 25 de noviembre se celebró una reunión entre el fiscal Luca Tescaroli y una delegación encabezada por el ministro adjunto de Seguridad Pública, Zhongyi Liu.

Durante las conversaciones en Prato surgieron sospechas en Roma sobre el conocimiento que tenían las autoridades chinas, lo que llevó a activar la alerta por el acceso no autorizado a los datos del Ministerio del Interior. Las autoridades del régimen no ofrecieron explicaciones a los cuerpos de seguridad italianos, lo que derivó en la suspensión de la reunión y en la interrupción de la cooperación judicial entre ambos países.

“Las actividades maliciosas fueron detectadas rápidamente por la Policía Postal como parte del monitoreo de seguridad rutinario de los sistemas informáticos del Ministerio del Interior”, señaló el comunicado. La Policía Postal de Italia es la encargada de investigar delitos cibernéticos en el país.

Según La Repubblica, el descubrimiento del hackeo afectó negativamente la cooperación creciente entre Italia y China en áreas como la lucha contra las drogas, los delitos informáticos, el tráfico de personas y el crimen organizado. La colaboración bilateral incluía investigaciones conjuntas sobre grupos mafiosos chinos enfrentados en el centro textil de Prato, cerca de Florencia.

Italia neutralizó un ciberataque ruso contra los Juegos Olímpicos de Invierno

Italia frustró una serie de ciberataques rusos dirigidos contra los Juegos Olímpicos de Invierno de Milán-Cortina, según informó la oficina del ministro de Asuntos Exteriores, Antonio Tajani. Los ataques también tuvieron como objetivo oficinas del Ministerio de Asuntos Exteriores, incluida la embajada italiana en Washington, así como diversas sedes olímpicas y hoteles en Cortina d’Ampezzo.

En total, alrededor de 120 sitios resultaron afectados, pero las autoridades aseguraron que los intentos de intrusión fueron “efectivamente neutralizados”. Los incidentes ocurrieron poco antes de la ceremonia de apertura de los Juegos, lo que motivó un refuerzo adicional de las operaciones de seguridad digital.

El grupo de hackers ruso Noname057 se atribuyó la autoría de los ataques mediante un canal de Telegram, señalando que la acción respondía al apoyo del gobierno italiano a Ucrania. “La postura proucraniana del gobierno italiano lleva a que el apoyo a los terroristas ucranianos se castigue con nuestros misiles DDoS en sitios web”, afirmaron en su comunicado. Los ataques DDoS (denegación de servicio distribuida) buscan saturar los servidores de un sitio web, impidiendo su funcionamiento normal.

(Con información de AFP)

La captación indebida de archivos que contienen información clave, como registros de actividad, mensajes privados y eventos de calendario, fue detectada por Hudson Rock en el primer caso conocido de sustracción por malware 'infostealer' en OpenClaw. Según detalló el medio Bleeping Computer, el asistente de inteligencia artificial OpenClaw, anteriormente conocido como Clawdbot y luego renombrado como Moltbot, estuvo implicado en un incidente de ciberseguridad tras la acción de un software malicioso que robó datos de configuración y credenciales en los dispositivos afectados.

El ataque, atribuido a una posible variante del 'infostealer' Vidar y ocurrido el 13 de febrero, no estuvo dirigido de forma exclusiva contra OpenClaw, sino que su objetivo consistió en escanear y sustraer archivos que contienen palabras como "token" o "clave privada" en directorios del sistema, buscando maximizar la obtención de información sensible. Así lo explicó Alon Gal, cofundador y director de tecnología de Hudson Rock, en declaraciones publicadas por Bleeping Computer. El ataque resultó en la extracción de archivos específicos del asistente, como 'openclaw.json', donde figuran correo electrónico, dirección de trabajo y un token identificador; 'device.json', utilizado como firma del usuario; además de 'soul.md' y archivos de memoria con registros de comportamiento del agente, actividades diarias, mensajes y eventos personales.

A raíz de estos hechos, la compañía de ciberseguridad de origen israelí subrayó que el riesgo principal radica en la posibilidad de suplantación de identidad digital de los usuarios cuyos datos hayan sido comprometidos. Hudson Rock advirtió que quienes controlan este tipo de malware pueden acceder a información que va más allá de simples credenciales de inicio de sesión, abriendo la posibilidad de usurpación de identidades digitales y acceso no autorizado a datos privados y actividades cotidianas, así como a información laboral y personal.

La evolución del comportamiento observado en los 'infostealers' quedó registrada en el hallazgo comunicado por Hudson Rock, que calificó este incidente como un punto de inflexión, ya que señala un cambio en la metodología de los atacantes: desde la tradicional recolección de credenciales almacenadas en navegadores, al acopio de configuraciones avanzadas y perfiles de agentes personales de inteligencia artificial como los operados por OpenClaw.

Bleeping Computer subrayó que OpenClaw destaca entre los asistentes de IA por su capacidad de controlar la totalidad de las funciones del ordenador y ejecutar tareas bajo demanda del usuario, lo que amplía la superficie de ataque en caso de que software malicioso obtenga acceso al entorno del sistema. Esta característica, que ha impulsado la popularidad de la herramienta, también la convierte en un objetivo atractivo para extensiones y rutinas que ocultan elementos dañinos.

Según el medio, los archivos involucrados en la filtración almacenan no solo información técnica del dispositivo, sino también datos personales que abarcan movimientos y comunicaciones cotidianas realizadas a través del asistente. La existencia de registros como 'soul.md' y los archivos de memoria, donde quedan reflejados los eventos del calendario y los mensajes privados, evidencia el alcance potencial de las consecuencias de la intrusión.

Alon Gal afirmó a Bleeping Computer que el ataque representa un ejemplo de la creciente sofisticación del malware de tipo 'infostealer', cuya actividad se extiende ahora al ámbito de los agentes de IA, capaces de reunir y gestionar grandes cantidades de datos personales y de usuario. La investigación llevada a cabo por Hudson Rock permitió identificar que el responsable de la sustracción no únicamente obtuvo datos identificativos, sino también elementos esenciales para la autenticación y administración de perfiles en el sistema.

La información obtenida en el incidente puede ser utilizada por atacantes para acceder a servicios, plataformas o dispositivos vinculados con la identidad digital de la víctima, según consignó Bleeping Computer. La exposición de datos como direcciones de correo, claves privadas y tokens aumenta la probabilidad de ataques posteriores, como acceso no autorizado, fraude o apropiación de cuentas asociadas al usuario afectado.

El medio reportó además que el nombre del asistente, OpenClaw, ha variado a lo largo de su trayectoria, partiendo de su lanzamiento como Clawdbot y cambiando posteriormente a Moltbot, logrando en poco tiempo una elevada tasa de adopción entre usuarios interesados en asistentes flexibles y con capacidad de interactuar con diferentes sistemas. Sin embargo, la amplitud de funciones que gestiona la herramienta también incrementa el nivel de exposición en caso de que intrusos logren superponer archivos o ejecutar software malicioso en el entorno del usuario.

La compañía de ciberseguridad israelí concluyó que el incidente detectado representa una advertencia sobre los riesgos de confiar a asistentes de inteligencia artificial permisos para operar libremente en un equipo, alertando sobre la necesidad de implementar medidas de protección específicas y de fortalecer la supervisión sobre la gestión de configuraciones, claves y datos sensibles dentro de estos sistemas inteligentes. Hudson Rock afirmó que el ataque a OpenClaw marca un precedente para la industria de la seguridad informática, dado el salto que supone el robo y utilización de identidades digitales completas derivadas de agentes de IA.

El sistema ferroviario alemán sufrió este martes un ciberataque que dejó fuera de servicio durante varias horas los sistemas de información y reserva de billetes de Deutsche Bahn, la mayor empresa de transporte ferroviario del país.

El ataque, que se produjo en horas del mediodía y se prolongó hasta la tarde, afectó tanto a la popular aplicación móvil DB Navigator como a la página web oficial bahn.de, impidiendo a miles de usuarios consultar horarios, comprar boletos y acceder a información en tiempo real sobre los trenes.

La compañía confirmó que el incidente fue causado por una serie de ataques distribuidos de denegación de servicio (DDoS, por sus siglas en inglés), una modalidad en la que miles de dispositivos infectados saturan los servidores con solicitudes simultáneas, haciendo colapsar los sistemas o volviéndolos inaccesibles.

“Nuestros mecanismos de defensa fueron efectivos para minimizar el impacto en nuestros clientes”, señaló un portavoz de Deutsche Bahn, que aseguró que los datos personales de los usuarios no se vieron comprometidos durante el ataque.

El ciberataque llegó en varias oleadas. Aunque la mayoría de los sistemas fueron restaurados la misma tarde, nuevas interrupciones se registraron en la mañana de este miércoles, con usuarios reportando dificultades de acceso tanto en la app como en la web.

Deutsche Bahn advirtió que no podía descartar nuevos episodios de inestabilidad, ya que los ataques continuaban en curso y podían repetirse en las próximas horas o días.

La empresa destacó que la seguridad y disponibilidad de sus sistemas de reservas y consulta son prioridades, ya que afectan no solo a los pasajeros, sino también a las operaciones logísticas y de carga.

La compañía alemana opera tanto trenes de pasajeros de largo recorrido y cercanías como servicios de transporte de mercancías, por lo que un fallo prolongado en sus sistemas digitales puede tener efectos en cadena sobre la movilidad nacional, la economía y la logística de grandes empresas.

El sector del transporte ha sido blanco de ciberataques en varias ocasiones. En agosto de 2024, la gestión del tráfico aéreo alemán fue interrumpida por un incidente similar, mientras que otros servicios públicos y entidades gubernamentales han reportado intentos de sabotaje y espionaje digital desde diversas fuentes.

Aunque Deutsche Bahn no mencionó a posibles responsables ni confirmó el origen del ataque, fuentes no oficiales apuntaron a la posibilidad de actores extranjeros, dado el contexto geopolítico y los precedentes de campañas cibernéticas atribuidas a grupos vinculados a servicios de inteligencia de otros países.

La empresa declinó hacer comentarios sobre estas especulaciones y se limitó a destacar que su principal prioridad era restablecer la normalidad y proteger los datos de los clientes.

El Ministerio del Interior alemán confirmó que la empresa ferroviaria se encuentra en contacto con las autoridades nacionales de ciberseguridad y que se están investigando las circunstancias del ataque. Las autoridades recordaron que la protección de la infraestructura crítica es un tema de máxima prioridad, especialmente después de incidentes anteriores que afectaron tanto a sistemas digitales como a la infraestructura física del transporte ferroviario.

En los últimos años, ataques de diversa índole han evidenciado la vulnerabilidad de la red ferroviaria alemana. Incidentes previos incluyeron sabotajes físicos, como el corte intencionado de cables y actos de vandalismo en instalaciones clave, que provocaron importantes interrupciones en el servicio.

En septiembre del año pasado, el corte de cables en la ruta Düsseldorf-Colonia dejó sin servicio una de las conexiones más transitadas del país, mientras que un incendio en un centro de control ferroviario en Hannover provocó retrasos masivos y afectó a decenas de miles de pasajeros.

(Con información de EFE y AFP)

El informe 2025 de SOCRadar expuso que más de 2,6 millones de credenciales fueron comprometidas en Latinoamérica durante el último año, lo que refleja un aumento sostenido del robo de contraseñas a medida que avanza la digitalización y el fraude en línea.

Este fenómeno amenaza el acceso a servicios bancarios, plataformas corporativas, información financiera y datos personales en toda la región.

Ingeniería social y phishing: la puerta de entrada más común

La técnica de ingeniería social predomina entre los métodos de robo de credenciales, donde el phishing sobresale como el mecanismo más recurrente. Consiste en el envío de mensajes falsos, tanto por correo electrónico como por aplicaciones de mensajería, en los que el atacante suplanta la identidad de una entidad legítima para obtener datos de acceso.

Estos mensajes suelen simular notificaciones urgentes relacionadas con supuestos problemas en cuentas, pagos o reservas, y contienen enlaces hacia sitios web que imitan a los originales para recoger información sensible, como contraseñas y nombres de usuario.

Una variante reciente de este método se detecta en los anuncios patrocinados en buscadores como Google, empleados por ciberdelincuentes para posicionar sitios fraudulentos que imitan portales reales de bancos, proveedores de correo o servicios en la nube. Incluso personas con hábitos digitales seguros han caído ante estos engaños, debido a la utilización indebida de logotipos y nombres de empresas reconocidas. Este fenómeno responde a la creciente sofisticación de los atacantes.

Malware y ataques directos a organizaciones

El uso de malware específico representa otra vía relevante para el robo de contraseñas. Programas como infostealers, keyloggers y spyware capturan de manera continua datos almacenados en navegadores, aplicaciones y sesiones activas, sin requerir la intervención consciente de la víctima. Según el informe de SOCRadar, los troyanos bancarios han superado las 650.000 detecciones únicas en 2025 en la región, con la familia Guildma liderando los ataques.

El compromiso de bases de datos de organizaciones se ha consolidado como una fuente significativa de filtraciones de credenciales. Cuando una empresa sufre una brecha de seguridad, la información expuesta puede circular durante años en foros clandestinos, facilitando ataques de relleno de credenciales y fuerza bruta. En estos casos, los atacantes aprovechan la reutilización de contraseñas entre distintos servicios y la debilidad en los mecanismos de protección.

Fuerza bruta y reutilización de contraseñas

Los ataques de fuerza bruta completan el repertorio de técnicas empleadas por los ciberdelincuentes. Este método automatiza la prueba de múltiples combinaciones de usuario y contraseña hasta obtener acceso, con mayor éxito cuando los servicios carecen de límites de intentos o sistemas de autenticación adicionales.

El uso de listas de contraseñas comunes y credenciales filtradas potencia la efectividad de estos ataques, especialmente contra aplicaciones web y plataformas corporativas expuestas en Internet.

Cómo protegerse: recomendaciones para usuarios y organizaciones

La empresa de ciberseguridad ESET recomienda adoptar una combinación de medidas para reducir el riesgo de robo de credenciales. Entre las más relevantes se encuentran el uso de contraseñas únicas y robustas para cada servicio, la habilitación de autenticación multifactor, el rechazo a mensajes inesperados y la evitación de enlaces sospechosos, así como el almacenamiento seguro de las claves en gestores especializados.

Además, mantener sistemas y aplicaciones actualizados y revisar la actividad inusual en las cuentas contribuye a fortalecer la seguridad digital. Para las organizaciones, se sugiere implementar políticas de Zero Trust y mínimo privilegio, monitorear intentos de acceso y comportamientos anómalos, y capacitar a los colaboradores frente a ataques de ingeniería social.

En casos de sospecha de robo de contraseñas, la recomendación es cambiar las credenciales afectadas de inmediato, cerrar sesiones activas y verificar posibles accesos o modificaciones no autorizadas. El uso de herramientas de seguridad en los dispositivos también resulta fundamental para detectar y eliminar posibles códigos maliciosos.

Las estafas digitales impulsadas por inteligencia artificial atraviesan una etapa de expansión sin precedentes. Un análisis realizado por especialistas de la AI Incident Database advierte que el fraude basado en contenidos generados por IA, como los deepfakes, ha dejado de ser un fenómeno marginal para convertirse en una herramienta accesible cuyo uso masivo ha llegado a una escala “industrial”.

La facilidad para crear videos, audios e imágenes falsificadas de manera personalizada y a bajo costo está transformando la dinámica de la ciberdelincuencia global.

Deepfakes y su impacto en el fraude digital

El estudio identifica más de una docena de casos recientes donde los delincuentes utilizaron herramientas de IA para suplantar identidades con fines de lucro. Entre los ejemplos figuran videos falsos del presidente de Chipre, periodistas suecos o el primer ministro de Australia Occidental, Robert Cook, promoviendo esquemas fraudulentos. También se reportaron deepfakes de supuestos médicos recomendando productos en línea.

Esta tendencia se refleja en incidentes de alto perfil, como el caso de un responsable financiero en una multinacional de Singapur que transfirió cerca de 500.000 dólares tras una videollamada manipulada con deepfakes que imitaban a sus superiores. En Reino Unido, se estiman pérdidas de 9.400 millones de libras por fraudes entre febrero y noviembre de 2025.

“Las capacidades han llegado a un punto donde prácticamente cualquiera puede generar contenido falso”, señala a The Guardian Simon Mylius, investigador del MIT vinculado al proyecto. Según sus cálculos, los fraudes y manipulaciones dirigidas representan la mayoría de los casos reportados en la base de datos durante los últimos meses.

La facilidad y velocidad de la estafa automatizada

El abaratamiento y mejora de los modelos de IA han acelerado la producción de deepfakes, facilitando su uso en campañas fraudulentas a gran escala. “Es tan barato que cualquiera puede utilizarlo. Los modelos están mejorando más rápido de lo que muchos especialistas preveían”, advierte Fred Heiding, investigador de Harvard enfocado en estafas potenciadas por IA.

Un caso reciente ilustra el alcance de la amenaza. Jason Rebholz, CEO de una compañía de seguridad de IA, publicó una vacante laboral y fue contactado por un candidato que, tras intercambios de correos, resultó ser una imagen generada por IA.

Durante la videollamada, el entorno y los bordes del rostro del supuesto candidato resultaban artificiales y poco definidos. Tras consultar con una firma de detección de deepfakes, Rebholz confirmó que el aspirante era un fraude digital. El objetivo del estafador sigue sin estar claro: podría haber buscado obtener un salario o acceder a información confidencial.

Rebholz advierte que este tipo de ataques ya no se limita a grandes empresas. “Si nosotros somos objetivo, cualquiera puede serlo”, afirma. Los expertos señalan que el verdadero desafío se vislumbra en el futuro próximo, a medida que la tecnología de clonación de voz y video perfeccione su calidad, haciendo aún más difícil distinguir entre lo real y lo falso.

Consecuencias y desafíos para la confianza digital

El crecimiento del fraude con IA plantea riesgos crecientes para la seguridad, la economía y la confianza pública. El uso de deepfakes y clonación de voz ya impacta procesos críticos, desde contrataciones laborales hasta campañas electorales. La capacidad de los estafadores para manipular audiencias, suplantar identidades y acceder a recursos financieros o secretos empresariales genera preocupación entre especialistas y autoridades.

Fred Heiding advierte sobre el peligro de una pérdida generalizada de confianza en instituciones digitales y en la veracidad de los contenidos que circulan en línea. “Ese será el gran punto de dolor: la ausencia total de confianza en las instituciones y materiales digitales”, sostiene.

La facilidad para adquirir y utilizar herramientas de IA abre la puerta a una industrialización del fraude, donde la escala y la personalización de los ataques aumentan el desafío para empresas, gobiernos y usuarios. El estudio concluye que la sociedad enfrentará un escenario en el que la autenticidad digital será cada vez más difícil de garantizar, obligando a reforzar las estrategias de prevención, detección y educación frente a los riesgos emergentes de la inteligencia artificial.

El auge de las redes sociales y el incremento de la información compartida en línea han transformado el panorama de la ciberseguridad. Lo que comenzó como una estrategia para fortalecer la presencia profesional se ha convertido en una oportunidad para los ciberdelincuentes, que emplean técnicas avanzadas de ingeniería social para diseñar ataques cada vez más precisos y difíciles de detectar.

El spearphishing, modalidad personalizada del phishing tradicional, aprovecha datos recogidos de perfiles públicos para engañar a empleados y organizaciones con gran efectividad.

El spearphishing: ataques a medida usando información pública

A diferencia del phishing tradicional, que busca víctimas a través de mensajes masivos y genéricos, el spearphishing apunta a personas o empresas concretas, utilizando información específica obtenida de internet, redes sociales y filtraciones de datos. Los ciberdelincuentes invierten tiempo en investigar a sus objetivos, consultando plataformas como LinkedIn, GitHub, Instagram o X, donde los profesionales suelen compartir logros, proyectos y hasta rutinas laborales.

La ingeniería social es la base de esta técnica. Los atacantes recopilan cada dato disponible para construir mensajes personalizados que imitan comunicaciones reales: un correo que parece provenir de un colega, una solicitud urgente de un supuesto proveedor o referencias a proyectos auténticos. El objetivo es lograr que la víctima baje la guardia y, al confiar en la veracidad del mensaje, revele credenciales, haga clic en enlaces maliciosos o descargue archivos infectados.

Según expertos en ciberseguridad de ESET, la primera etapa de un ataque de spearphishing se basa en la recopilación de información pública. Cada actualización de perfil, publicación o comentario puede convertirse en la pieza clave para construir una estafa convincente. El desafío radica en que estos mensajes pueden pasar inadvertidos incluso para usuarios experimentados, dada su precisión y personalización.

Redes sociales: el terreno fértil para la ingeniería social

Las plataformas profesionales y personales han facilitado la exposición de detalles que antes permanecían privados. LinkedIn, por ejemplo, permite acceder a organigramas, responsabilidades, información sobre proyectos y hasta detalles técnicos que pueden ser aprovechados en ataques. Los reclutadores, al publicar ofertas de empleo, también revelan datos sobre la infraestructura tecnológica de las empresas, lo que puede ser explotado por los atacantes.

GitHub, aunque menos evidente, representa otra fuente de información relevante. Allí, los desarrolladores pueden compartir inadvertidamente direcciones de correo corporativo o nombres de herramientas internas, mientras que los repositorios públicos exponen tecnologías y metodologías utilizadas por la empresa.

Instagram y X permiten a los ciberdelincuentes rastrear movimientos y actividades fuera del entorno laboral. Una publicación sobre un viaje de negocios o la asistencia a una conferencia puede indicar el momento ideal para ejecutar un ataque, aprovechando la ausencia de directivos clave. Incluso la información publicada en el sitio web corporativo puede resultar útil para un atacante.

Este tipo de exposición convierte a empleados con acceso a información sensible, como directivos o personal de recursos humanos, en objetivos prioritarios. Sin embargo, cualquier usuario puede convertirse en víctima si comparte en exceso o no presta atención a los riesgos asociados a la información pública.

Cómo identificar y evitar el spearphishing

El spearphishing se diferencia del phishing clásico en la precisión y personalización de sus mensajes. Mientras que el phishing tradicional distribuye comunicaciones masivas simulando ser una entidad reconocida, el spearphishing selecciona cuidadosamente a sus víctimas y utiliza información real para aumentar la credibilidad del engaño. Los mensajes suelen solicitar datos urgentes o incluyen enlaces a sitios fraudulentos que imitan páginas auténticas.

Las consecuencias de estos ataques pueden ir desde el robo de datos personales y contraseñas hasta la materialización de fraudes económicos, espionaje o sustracción de información confidencial. El spearphishing representa un riesgo significativo para empresas de todos los sectores, especialmente aquellas con empleados que gestionan datos sensibles.

Para reducir la exposición a este tipo de estafas, es fundamental seguir recomendaciones como las del Instituto Nacional de Ciberseguridad de España (Incibe):

• Evitar hacer clic en enlaces o archivos adjuntos de correos y mensajes sospechosos.
• Mantener el software actualizado en todos los dispositivos.
• Utilizar contraseñas robustas y únicas para cada servicio.
• Limitar la cantidad de información personal y laboral que se publica en línea.
• Verificar siempre la autenticidad de las solicitudes, especialmente aquellas que requieren información confidencial o acciones urgentes.

La prevención y la concienciación resultan claves para limitar el impacto del spearphishing. Las empresas y los usuarios deben adoptar una actitud proactiva en la protección de su información, revisando periódicamente su presencia digital y aplicando buenas prácticas de ciberseguridad para evitar caer en estas sofisticadas trampas.

Italia logró frustrar una serie de ciberataques rusos dirigidos contra los Juegos Olímpicos de Invierno de Milán-Cortina. Los ataques, que también tuvieron como objetivo oficinas del Ministerio de Asuntos Exteriores —incluida la embajada italiana en Washington— y diversas sedes olímpicas, como hoteles en Cortina d’Ampezzo, fueron neutralizados antes de causar daños mayores.

Según informó el miércoles la oficina del ministro de Asuntos Exteriores, Antonio Tajani, alrededor de 120 sitios se vieron afectados, pero aseguró que los intentos de intrusión fueron “efectivamente neutralizados”.

Los incidentes se produjeron a pocas horas de la ceremonia de apertura de los Juegos, lo que llevó a reforzar aún más las operaciones de seguridad digital.

Un grupo de hackers rusos, Noname057, se atribuyó la autoría de los ataques a través de un canal de Telegram, al señalar que se trató de una respuesta al apoyo del gobierno italiano a Ucrania.

“La postura proucraniana del gobierno italiano lleva a que el apoyo a los terroristas ucranianos se castigue con nuestros misiles DDoS en sitios web”, afirmaron en el comunicado. Los ataques DDoS (denegación de servicio distribuida) buscan saturar los servidores de un sitio web, impidiendo su acceso normal.

Entre los objetivos afectados figuran varios hoteles en Cortina d’Ampezzo, una de las sedes olímpicas, donde al menos uno de los sitios web permaneció inhabilitado durante la tarde del miércoles.

En cuanto a la seguridad civil, Italia desplegó cerca de 6.000 policías y casi 2.000 militares en las zonas de los Juegos Olímpicos, cubriendo desde la ciudad hasta los Dolomitas. Entre los efectivos asignados se encuentran expertos en desactivación de explosivos, francotiradores, unidades antiterroristas y policías de esquí.

El Ministerio de Defensa también aportó 170 vehículos, así como radares, drones y aeronaves para reforzar la seguridad.

La vigilancia se concentra especialmente en Milán, donde se espera la asistencia de líderes políticos internacionales, incluido el vicepresidente estadounidense JD Vance, a la ceremonia inaugural del viernes.

El despliegue se volvió tema de debate tras conocerse la presencia de agentes de la agencia estadounidense ICE. Ante esta novedad, el ministro del Interior italiano, Matteo Piantedosi, aclaró que los agentes de ICE no patrullarán las calles de Milán y que la rama de Investigaciones de Seguridad Nacional (HSI) de ICE solo operará dentro de las misiones diplomáticas estadounidenses, sin funciones operativas ni ejecutivas.

Piantedosi recordó que la presencia de agentes extranjeros en eventos deportivos es habitual y que Italia también enviará personal a los Juegos de París 2024.

Por su parte, el embajador de Estados Unidos en Italia, Tilman J. Fertitta, explicó que los agentes del HSI tendrán una función estrictamente consultiva y de inteligencia, sin intervención en patrullaje o control policial.

Según Fertitta, en los Juegos Olímpicos los investigadores criminales del HSI se encargarán de aportar inteligencia sobre amenazas criminales transnacionales, con énfasis en ciberdelitos y riesgos para la seguridad nacional.

El director de comunicaciones del Comité Olímpico Internacional (COI), Mark Adams, prefirió no hacer comentarios sobre cuestiones de seguridad, siguiendo la política habitual de la organización. Por ahora, las autoridades italianas y los equipos de ciberseguridad continúan monitoreando la situación para garantizar el normal desarrollo de los Juegos.

En paralelo, activistas pro-palestinos preparan una manifestación en Milán este jueves, coincidiendo con la llegada de la llama olímpica, para protestar por la participación de Israel en la competencia internacional.

Además de las protestas políticas, los críticos del evento expresaron su preocupación por el impacto ambiental de la infraestructura necesaria para los Juegos. Entre los cuestionamientos figuran desde la construcción de nuevos edificios y sistemas de transporte en zonas sensibles de montaña, hasta el uso generalizado de nieve artificial, que requiere un alto consumo energético y afecta a los ecosistemas locales.

(Con información de AFP)

La firma de ciberseguridad Hackmanac difundió a través de la red social X que un grupo identificado como “HaciendaSec” estaría ofreciendo a la venta una base de datos que contendría información de 47,3 millones de ciudadanos relacionada con sus números de DNI o NIF, nombres completos, domicilios, contactos telefónicos, direcciones de correo electrónico, datos bancarios e información fiscal. La Oficina de Seguridad del Ministerio de Hacienda ha tomado conocimiento de esta amenaza e inició una investigación para confirmar su veracidad, aunque hasta el momento no existen pruebas concluyentes de que haya ocurrido un acceso no autorizado a sus sistemas.

Según consignó Europa Press tras consultar fuentes del Ministerio dirigido por María Jesús Montero, la cartera se encuentra analizando la situación y ha incrementado las medidas de control para determinar si realmente se ha visto comprometida la integridad de sus bases de datos. Las autoridades insisten en que no existen indicios claros de que el hackeo haya sucedido, pero mantienen las indagaciones con el objetivo de descartar cualquier vulneración.

De acuerdo con la información publicada por Hackmanac, la supuesta filtración afectaría a casi toda la población española, alcanzando un volumen sin precedentes tanto por la magnitud como por la sensibilidad del material: además de los datos de identidad y contactos, se incluiría información bancaria y fiscal recopilada por el propio Ministerio de Hacienda. El colectivo conocido como “HaciendaSec” sostiene haber atacado los sistemas del organismo hacendario y ha comenzado a ofrecer estos datos para su compra, lo que generó preocupaciones en el ámbito de la ciberseguridad.

Europa Press detalló que la alerta se originó cuando desde la cuenta oficial de Hackmanac en X se difundió una advertencia dirigida tanto a los medios como a la ciudadanía, señalando la posibilidad de que los datos expuestos estuvieran disponibles en la red a través de foros y canales de compraventa ilegales. El anuncio generó repercusiones inmediatas debido a la naturaleza potencialmente masiva de la filtración.

El Ministerio de Hacienda ha reiterado que, pese a la alarma desatada por la divulgación de la supuesta amenaza, no existen pruebas que confirmen la materialización del ataque informático o la extracción real de los datos. Fuentes del Departamento, citadas por Europa Press, recalcaron que los equipos técnicos especializados en seguridad digital permanecen atentos y realizan verificaciones adicionales en los sistemas bajo su control.

El incidente se produjo en un contexto de creciente preocupación por la protección de la información personal en diferentes administraciones y entidades públicas españolas. La posibilidad de que datos fiscales y bancarios se encuentren en riesgo ha motivado que tanto el propio Ministerio como organismos externos refuercen la vigilancia y evalúen posibles vulnerabilidades.

Según el reporte de Europa Press, el episodio ha encendido el debate acerca de la robustez de las infraestructuras informáticas estatales, así como sobre las capacidades de reacción ante amenazas que emplean métodos de ingeniería social y ciberataques cada vez más sofisticados. A raíz de la alerta, responsables de seguridad y expertos consultados recalcan la importancia de actualizar permanentemente los mecanismos de defensa y respuesta ante posibles intrusiones en servicios críticos.

Finalmente, tanto la investigación en curso como el monitoreo de publicaciones en la red y foros clandestinos se mantienen activos. La situación permanece bajo observación mientras el Ministerio de Hacienda trabaja para clarificar la credibilidad de la supuesta vulneración y determinar si efectivamente se ha producido el acceso ilícito a la información de millones de ciudadanos, según ha publicado Europa Press.

El Ministerio de Hacienda investiga un posible ciberataque a sus bases de datos tras una alerta difundida por la firma especializada en ciberseguridad Hackmanac que apunta a una presunta filtración masiva de información personal, bancaria y fiscal correspondiente a unos 47,3 millones de ciudadanos. Por el momento, el Departamento asegura que no existen indicios de que se haya producido una intrusión efectiva en sus sistemas, aunque los equipos técnicos continúan trabajando para verificarlo y descartar cualquier brecha de seguridad.

Fuentes del Ministerio que dirige María Jesús Montero han confirmado a Europa Press que, tras las primeras comprobaciones, no se ha detectado ningún acceso no autorizado, si bien recalcan que el análisis sigue en marcha debido a la gravedad potencial del aviso recibido. “Se está revisando para comprobarlo”, señalan desde Hacienda, que insiste en la prudencia mientras avanzan las labores de verificación.

Una alerta difundida en foros especializados

La alerta inicial partió de Hackmanac, una plataforma dedicada al seguimiento de riesgos cibernéticos y a la difusión de avisos tempranos sobre posibles ataques. A través de la red social X y de su página web, la firma advirtió de un supuesto ciberataque contra el Ministerio de Hacienda que habría puesto en riesgo datos especialmente sensibles de prácticamente toda la población española.

Según la información publicada por Hackmanac, las amenazas procederían de un actor que opera bajo el alias de ‘HaciendaSec’, quien afirma haber accedido de forma fraudulenta a una base de datos del Ministerio. Siempre según esta versión, aún no confirmada oficialmente, el supuesto atacante estaría ofreciendo a la venta una base de datos actualizada que incluiría información de 47,3 millones de personas.

Entre los datos presuntamente sustraídos figurarían números de DNI y NIF, nombres y apellidos completos, direcciones residenciales, números de teléfono, direcciones de correo electrónico, datos bancarios como códigos IBAN y diversa información financiera vinculada a obligaciones tributarias. Hackmanac señala que esta información estaría siendo ofrecida en entornos digitales frecuentados por ciberdelincuentes, donde se comercia con datos robados.

El aviso se apoya, entre otros elementos, en un mensaje publicado en el foro ‘ForumBreach’, acompañado de una supuesta muestra de los datos obtenidos como prueba de la intrusión. La cuenta desde la que se difundió ese mensaje fue creada el mes pasado y cuenta con una única publicación, un detalle que los especialistas tienen en cuenta a la hora de evaluar la credibilidad de este tipo de anuncios.

El Ministerio de Ciencia, también señalado

El posible incidente en Hacienda no es el único que ha sido señalado en las últimas horas por Hackmanac. La plataforma también ha alertado de una presunta brecha de seguridad en el Ministerio de Ciencia e Innovación, igualmente pendiente de confirmación. En este caso, el ataque habría sido atribuido a un usuario distinto, identificado con el seudónimo ‘GordonFreeman’.

Según la información difundida, el supuesto atacante habría aprovechado una vulnerabilidad conocida como referencia directa a objetos insegura (IDOR), combinada con credenciales previamente filtradas, lo que le habría permitido obtener acceso administrativo completo y extraer datos personales y académicos mediante la enumeración secuencial de DNI o NIE. Al igual que ocurre con Hacienda, las autoridades competentes se encuentran analizando la situación para determinar si la brecha se ha producido realmente.

Precedentes recientes

No es la primera vez que el Ministerio de Hacienda se ve vinculado a presuntos episodios de este tipo. En octubre de 2025, varios foros especializados detectaron la posible filtración de 238.799 archivos atribuida a la organización de ransomware Qilin. En aquella ocasión, la Agencia Tributaria negó que se hubieran visto comprometidos datos personales de los contribuyentes.

Ese grupo mantiene desde 2023 un portal en la denominada ‘dark web’ donde publica listados con información de presuntas víctimas. Entre los ataques que se le atribuyen figura una filtración masiva de datos de varios hospitales del Servicio Nacional de Salud del Reino Unido (NHS). Fuentes de Hacienda han explicado que desconocen a esta organización y sus actividades en Europa, así como cualquier relación con la alerta actual difundida por Hackmanac.

La industria del entretenimiento se prepara para un escenario en el que los fraudes, las filtraciones y los ciberataques aumentarán de la mano de la inteligencia artificial. Procesos esenciales como la venta de entradas, la creación y la distribución de contenidos ya están siendo transformados por estas tecnologías, lo que incrementa la exposición a nuevas amenazas.

Así lo ha señalado el último informe de ciberseguridad de Kaspersky, que logró identificar a la IA como un factor clave en la evolución de los riesgos para estudios, plataformas y usuarios.

De acuerdo con el informe, la creciente dependencia de sistemas basados en inteligencia artificial convierte a estas tecnologías en infraestructuras críticas para el sector.

Un fallo, abuso o ataque ya no solo tiene consecuencias técnicas, también económicas, legales y reputacionales, especialmente en un contexto de estrenos globales, transmisiones en directo y audiencias masivas.

Cuáles son los riesgos digitales causados por la IA

Fueron identificadas cinco áreas principales de vulnerabilidad asociadas a la expansión de la inteligencia artificial en la industria del entretenimiento. El documento subrayó que estos desafíos afectan a toda la cadena de valor y requieren atención urgente.

1. Venta de entradas y bots: manipulación automatizada

El uso de inteligencia artificial permite ajustar precios de entradas con mayor rapidez y precisión. Sin embargo, también ofrece nuevas herramientas a los revendedores, que pueden emplear bots para detectar eventos de alta demanda y modificar precios de reventa casi al instante.

Incluso cuando los artistas mantienen precios fijos, los mercados secundarios pueden experimentar aumentos automáticos, reduciendo el acceso legítimo del público.

1. Efectos visuales en la nube: proveedores externos bajo amenaza

El crecimiento del uso de plataformas de IA en la nube para generar efectos visuales incrementa la dependencia de proveedores externos y profesionales independientes. Esto amplía los puntos de vulnerabilidad.

Los atacantes pueden acceder a sistemas de renderizado o herramientas de terceros para obtener escenas o episodios antes del lanzamiento, sin comprometer directamente los servidores de los grandes estudios.

1. Redes de distribución: objetivo de ciberataques

Las redes de distribución de contenidos almacenan materiales valiosos como episodios inéditos, películas terminadas o transmisiones en vivo. Los atacantes emplean inteligencia artificial para analizar estas redes, localizar archivos sensibles y detectar accesos insuficientemente protegidos.

Un solo incidente puede afectar múltiples títulos o permitir la inserción de código malicioso en emisiones oficiales.

1. Videojuegos: generación de contenidos y riesgos para la privacidad

De acuerdo con el equipo de Kaspersky, los usuarios exploran formas de sortear las restricciones de las herramientas de IA para crear personajes, modificar juegos o incorporar materiales inapropiados.

Si los datos empleados para entrenar los modelos no cuentan con controles adecuados, la IA podría producir contenidos con información personal sensible, exponiendo a empresas y jugadores a nuevos riesgos.

1. Regulación y transparencia: nuevas exigencias para el sector

Las regulaciones que se están implementando obligarán a las empresas a ser más transparentes sobre los contenidos generados con IA y sobre el consentimiento y las licencias para entrenar modelos con obras protegidas por derechos de autor. Esto forzará la creación de nuevos roles y procesos internos para supervisar el uso de IA tanto en la actividad creativa como comercial.

Recomendaciones para minimizar los riesgos en ciberseguridad

Expertos en seguridad informática han sugerido que las compañías del sector realicen un inventario y mapeo detallado del uso de inteligencia artificial a lo largo de toda la cadena de valor. Esta información debe integrarse en los modelos de amenaza y evaluaciones periódicas de riesgo.

Capacitar continuamente a los empleados en ciberseguridad, reforzando los conocimientos sobre riesgos relacionados con la IA y estableciendo controles claros sobre los accesos a recursos digitales según el rol y las necesidades operativas.

También plantea la necesidad de revisar la arquitectura de las redes de distribución y desplegar sistemas para detectar anomalías en tráfico y accesos, incluso cuando se trate de proveedores tradicionales.

De acuerdo con el análisis de la compañía, estudios, plataformas y titulares de derechos deben considerar tanto los sistemas de IA como los datos que los alimentan como parte de su superficie crítica de ataque, y no solo como herramientas creativas o de optimización.

WhatsApp ha lanzado una función que centraliza medidas avanzadas de privacidad para proteger a los usuarios frente a intentos de acceso no autorizado y ciberataques sofisticados.

La herramienta, denominada 'Configuración estricta de la cuenta‘, se presenta como una respuesta a las crecientes amenazas sobre la seguridad digital, permitiendo activar múltiples restricciones de forma simultánea y rápida.

Un “confinamiento digital” para momentos críticos

La introducción de la Configuración Estricta de la Cuenta marca un cambio en la manera en que Meta aborda la protección en aplicaciones de mensajería. Este mecanismo permite a los usuarios bloquear archivos adjuntos y contenido multimedia provenientes de remitentes desconocidos, además de silenciar llamadas de números no registrados en la lista de contactos.

Según la información publicada en el blog oficial de WhatsApp, la activación de este sistema se realiza desde el menú de Ajustes, en la sección de Privacidad, bajo la pestaña Avanzado, donde basta con un solo toque para reforzar la seguridad.

Esta función ha sido diseñada pensando en perfiles vulnerables a ataques dirigidos, como periodistas y figuras públicas. Meta detalla que la herramienta actúa como una especie de “confinamiento digital” temporal, limitando funcionalidades de la propia aplicación y restringiendo interacciones que pudieran resultar riesgosas ante un potencial intento de intrusión.

De acuerdo con el comunicado, la activación y desactivación pueden realizarse cuantas veces sea necesario, adaptándose así a diferentes niveles de exposición o amenaza.

Entre las restricciones que se aplican se encuentran el bloqueo automático de archivos y multimedia de desconocidos, el silenciamiento de llamadas de números ajenos a la red de confianza y la desactivación de previsualizaciones de enlaces.

Asimismo, se activa la verificación en dos pasos y las notificaciones de seguridad que alertan sobre cambios en los códigos de los contactos. Esta centralización de mecanismos permite a los usuarios responder rápidamente ante situaciones de riesgo, sin necesidad de modificar cada ajuste de privacidad por separado.

Más privacidad, menos exposición

La actualización también ajusta los parámetros de visibilidad de la cuenta. Solo los contactos autorizados pueden ver la última hora de conexión, la foto de perfil, la información personal y los enlaces compartidos en el perfil. La opción para ser añadido a grupos queda restringida exclusivamente a contactos seleccionados, lo que reduce la probabilidad de ser incorporado en conversaciones por desconocidos.

Meta informó que la Configuración Estricta de la Cuenta solo puede activarse desde el dispositivo principal asociado a la cuenta, excluyendo plataformas como WhatsApp Web o la versión para Windows. Esta limitación busca mantener el control de seguridad en el entorno más seguro posible.

El despliegue de la función es gradual y estará disponible para todos los usuarios en las próximas semanas. La compañía ha reiterado que la iniciativa responde al aumento de intentos de suplantación, accesos indebidos y campañas dirigidas a obtener información sensible de cuentas con riesgo especial.

El objetivo es proporcionar una herramienta eficaz que refuerce la privacidad con pocos pasos y evite filtraciones o secuestros de datos mediante defensas automatizadas.

La nueva función se suma al cifrado de extremo a extremo, que ya constituye un estándar en WhatsApp, y representa una evolución en la estrategia de seguridad de la plataforma. Meta sostiene que la actualización facilita la protección dinámica del entorno digital, permitiendo a los usuarios mantener el control sobre su privacidad y adaptarse a las amenazas cambiantes del panorama digital actual.

Un ataque informático ha paralizado este lunes el funcionamiento interno del Ayuntamiento de Sanxenxo, en la provincia de Pontevedra, después de que un programa malicioso lograse infiltrarse en el servidor municipal y bloquear el acceso a miles de documentos administrativos. El propio gobierno local ha confirmado los hechos a través de un comunicado oficial en el que detalla el alcance del incidente y las medidas adoptadas para contenerlo.

Según la información facilitada por el consistorio, fue a primera hora de la mañana cuando los servicios municipales detectaron una incidencia grave en los sistemas informáticos de la Casa Consistorial. Tras las primeras comprobaciones técnicas, se constató la entrada en la red municipal de un ‘malware’, un tipo de software diseñado para actuar de forma furtiva con el objetivo de dañar o inutilizar los sistemas en los que se introduce.

La acción del virus provocó una encriptación masiva de los archivos que maneja la administración local en su gestión diaria. Como consecuencia directa, los trabajadores del Ayuntamiento se vieron imposibilitados para acceder a una gran cantidad de documentos, lo que paralizó durante horas la actividad administrativa ordinaria. La afectación alcanzó a expedientes, archivos internos y documentación necesaria para la tramitación de procedimientos municipales.

La exigencia de pago

Una vez ejecutado el bloqueo de los archivos, el ataque dio paso a una extorsión digital. Los responsables del malware exigieron al Ayuntamiento el pago de 5.000 dólares en bitcoins como condición para facilitar la clave que permitiría desencriptar los documentos y recuperar el acceso a la información secuestrada. Se trata de un patrón habitual en este tipo de ataques, conocidos como ‘ransomware’, que buscan obtener un beneficio económico directo mediante el chantaje a instituciones o empresas.

El gobierno municipal decidió no acceder a la exigencia económica. En lugar de efectuar el pago solicitado, el Concello optó por activar los protocolos de seguridad y poner los hechos en conocimiento de las fuerzas de seguridad. En este sentido, se presentó la correspondiente denuncia ante la Guardia Civil, que ya ha iniciado las diligencias oportunas para investigar el origen y las características del ataque.

Desde el Ayuntamiento se subraya que la negativa a pagar responde tanto a criterios de seguridad como a la voluntad de no fomentar este tipo de delitos, que en los últimos años han afectado de forma creciente a administraciones públicas de distintos tamaños en todo el país.

Recuperación a partir de copias de seguridad

Para revertir los efectos del malware y restablecer el funcionamiento normal de los sistemas, los servicios técnicos y de seguridad informática del Concello recurrieron a las copias de seguridad de las que dispone la administración local. Según ha explicado el gobierno municipal, el sistema informático del Ayuntamiento realiza una réplica diaria de los datos, lo que ha permitido contar con un respaldo actualizado de la información afectada.

Gracias a este mecanismo, se prevé que la recuperación de los archivos y la normalización de los servicios internos pueda completarse en las próximas horas. Las tareas de restauración se centran en la comprobación de la integridad de los datos y en garantizar que el ‘malware’ ha sido completamente eliminado antes de volver a poner en funcionamiento los equipos afectados.

Mientras se desarrollaban estos trabajos, la actividad administrativa se mantuvo parcialmente detenida, a la espera de que los sistemas recuperen la operatividad necesaria para el acceso seguro a la documentación municipal.

El ataque informático no tuvo impacto en todas las áreas vinculadas al Ayuntamiento. Según ha precisado el propio Concello, las empresas municipales Nauta y Turismo de Sanxenxo no se vieron afectadas por el virus, ya que operan con una red informática independiente de la del Ayuntamiento. Esta separación de sistemas permitió que ambas entidades continuasen prestando sus servicios con normalidad durante la jornada.

Tampoco resultó afectada la sede electrónica municipal, que permaneció operativa a lo largo de la mañana. De este modo, los trámites electrónicos accesibles para la ciudadanía pudieron seguir realizándose sin incidencias, pese a la paralización interna de los equipos de la Casa Consistorial.

El gobierno local ha recalcado que el incidente se circunscribe al ámbito interno de la red municipal y que, en ningún caso, se ha confirmado la filtración de datos personales o información sensible de los vecinos. Las investigaciones en curso deberán determinar el alcance exacto del ataque y si los autores lograron acceder a algún contenido más allá del bloqueo de los archivos.

Óscar Puente, ministro de Transportes y Movilidad Sostenible, destacó hoy que en los últimos cinco días Rodalies atravesó una de las semanas más difíciles tras el accidente en Gelida que provocó la muerte de un maquinista. Ahora, después de nuevos incidentes ocurridos durante la madrugada en la Estación de Francia, las autoridades investigan diferentes posibles causas, incluyendo una acción informática, aunque todavía no disponen de datos concluyentes. La noticia de la investigación se conoció durante una entrevista con TVE, reproducida por Europa Press, donde el titular de Transportes señaló que se manejan varias hipótesis ante las dos interrupciones prácticamente consecutivas en la red ferroviaria catalana.

Según explicó Puente durante su intervención en el medio estatal, no se descarta la posibilidad de que los fallos registrados respondan a un ciberataque, si bien reiteró la falta de información suficiente para afirmar o descartar esta hipótesis con certeza. “Es una de las hipótesis de ciberataque, pero en fin, yo tampoco quiero aquí decir nada porque no quiero alimentar nada que no sabemos lo que ha sucedido”, expresó el ministro, tal como recogió Europa Press.

Durante la entrevista, el titular de Transportes explicó que todavía analizan las causas de las interrupciones. Las incidencias afectaron en dos ocasiones el servicio de Rodalies la pasada madrugada en la Estación de Francia, una de las principales terminales ferroviarias de Cataluña, según reportó Europa Press. Ante la falta de información definitiva, Puente insistió en la importancia de no lanzar conclusiones precipitadas y mantener la prudencia mientras continúan las pesquisas técnicas en busca de detalles concretos sobre lo ocurrido.

El ministro remarcó que las averías, catalogadas como “caídas” del sistema, tuvieron lugar con muy poco margen de tiempo entre una y otra, lo que ha forzado a los equipos técnicos y de seguridad ferroviaria a analizar diferentes escenarios, entre ellos el de una posible acción maliciosa sobre los sistemas informáticos que controlan el tráfico de trenes. Europa Press detalló que el funcionario enfatizó la normalidad previa al suceso, lo que refuerza la incógnita del origen de las fallas.

Al margen del episodio reciente, el responsable de la cartera de Transportes abordó el contexto en el que se produjeron las incidencias, ya que Rodalies venía de soportar varias jornadas con paros y limitaciones, con especial gravedad tras el choque en Gelida donde se registró una víctima mortal y la circulación ferroviaria sufrió trastornos significativos. Según consignó Europa Press, Puente recalcó que tras estos “terribles cinco días en Rodalies”, la prioridad pasa por una restauración plena del servicio y la vuelta a la normalidad para los miles de usuarios cotidianos.

El Ministerio de Transportes y Movilidad Sostenible colabora con los equipos técnicos y organismos implicados para determinar si las incidencias responden a un fallo técnico fortuito, a un problema recurrente de la infraestructura o si existe efectivamente alguna intencionalidad digital detrás de las dos interrupciones. Puente insistió, según Europa Press, en la necesidad de esperar a los informes preliminares antes de alimentar cualquier hipótesis y centrar los esfuerzos en garantizar la regularidad y seguridad de las operaciones ferroviarias.

Europa Press informó que el ministro adoptó una postura cautelosa, subrayando que, aunque el entorno tecnológico de las infraestructuras públicas es un objetivo habitual de intentos de ataque, la falta de información concreta en este caso concreto obliga a mantener todas las opciones abiertas y avanzar en la investigación antes de hacer declaraciones definitivas. Además, Puente remarcó la relevancia de mantener operativo el servicio de Rodalies, dada la importancia que tiene para los desplazamientos diarios en la región catalana.

En sus declaraciones, el ministro subrayó que solo una vez completados los análisis técnicos y conclusiones de los equipos responsables se podrá transmitir información más precisa sobre el origen de las caídas del sistema. Europa Press recogió que, hasta entonces, la administración optará por comunicar solo los hechos verificados, evitando alimentar especulaciones sobre posibles ataques o motivos detrás de las interrupciones en la Estación de Francia.

Mientras tanto, el tráfico ferroviario en la red de Rodalies restaura progresivamente la frecuencia y normalidad en los trayectos habituales, con el objetivo de minimizar el impacto sufrido por las incidencias. El ministro concluyó que, tras los incidentes recientes y el accidente en Gelida, la atención del Ministerio de Transportes sigue puesta en recuperar la plena operatividad de la línea y proteger a los usuarios frente a futuros imprevistos.

Apagar el celular periódicamente se posicionó como una medida clave de ciberseguridad cuando el primer ministro de Australia, Anthony Albanese, impulsó públicamente este hábito como defensa frente a los ciberataques.

La propuesta coincidió con las pautas previas de la Agencia Nacional de Seguridad de Estados Unidos (NSA), instalando el debate sobre la frecuencia y efectividad real de esta práctica.

Tanto la NSA como el gobierno australiano afirman que reiniciar o apagar los dispositivos interrumpe la actividad de programas maliciosos y dificulta el acceso no autorizado a datos privados. La discusión actual se centra en la frecuencia adecuada y en cómo integrar esta medida en la vida cotidiana sin afectar la rutina del usuario.

Qué aconsejan las autoridades: una vez al día o una vez a la semana

Las sugerencias varían. Mientras el primer ministro australiano sugiere un apagado diario, la NSA sugiere hacerlo al menos una vez por semana. Ambas opciones buscan el mismo objetivo: impedir que los software dañinos mantengan una conexión persistente que permita el acceso remoto al dispositivo.

Los expertos debaten la frecuencia óptima. Algunos sostienen que la regularidad diaria fortalece la protección, aunque realizar el reinicio semanal aporta beneficios importantes. En ambos casos, la interrupción del funcionamiento continuo de los dispositivos reduce las oportunidades para los atacantes.

Por qué se sugiere apagar el celular periódicamente

La sugerencia de apagar el celular durante 5 minutos cada día fue presentada por el primer ministro de Australia, quien alentó a la población a adoptar esta acción como parte de sus hábitos diarios.

Según Albanese, solo es necesario realizarla durante actividades cotidianas, como cepillarse los dientes, para que el beneficio sea efectivo.

Apagar o reiniciar un teléfono ayuda a interrumpir la persistencia de programas maliciosos, incluidos aquellos que operan en segundo plano sin que el usuario lo perciba. Al cortar la sesión activa, se dificulta la continuidad de amenazas como spyware o ataques que pueden operar sin intervención del usuario.

Cuánto tiempo debe durar apagado el celular para reducir los ciberataques

El lapso de 5 minutos se estableció para asegurar que todos los procesos en segundo plano se detengan completamente. Este periodo resulta suficiente para liberar la memoria del dispositivo y cerrar la actividad de software malicioso que depende de sesiones activas.

Durante esos minutos, el sistema operativo y las aplicaciones se reinician sin cargas residuales, impidiendo que amenazas ocultas sobrevivan al apagado. Al tratarse de una acción sencilla y breve, es fácil incorporarla a la rutina diaria sin generar grandes molestias.

Hasta qué punto protege esta medida frente a ciberataques complejos

Aunque apagar el teléfono reduce las ventanas de oportunidad para los atacantes, no garantiza una protección absoluta ante amenazas sofisticadas que pueden persistir tras un reinicio si logran modificar elementos profundos del sistema.

Sin embargo, este hábito dificulta la labor de los ciberdelincuentes y los obliga a emplear métodos más complejos para mantener el acceso a los dispositivos.

Por ello, las autoridades lo consideran una medida preventiva sencilla y eficaz, que debe integrarse junto a otras prácticas de seguridad para formar una defensa integral frente a los riesgos digitales.

Qué otras pautas acompañan esta medida de ciberseguridad

Apagar el teléfono periódicamente debe complementarse con otras prácticas de seguridad digital. Entre ellas se encuentra el uso de contraseñas robustas, que cuenten con más de 12 caracteres, la activación de la autenticación en dos pasos y la descarga de aplicaciones únicamente desde tiendas oficiales.

Asimismo, mantener el sistema operativo del teléfono actualizado, evitar conectarse a redes WiFi públicas desconocidas y no compartir información sensible a través de vías no oficiales o con personas no identificadas, son medidas adicionales que refuerzan la protección ante posibles ciberataques.

Un fallo detectado en un popular complemento de WordPress ha dejado a más de 50.000 sitios web expuestos a la posibilidad de ser controlados por atacantes.

La vulnerabilidad afecta al plugin Advanced Custom Fields: Extended (ACF Extended), utilizado principalmente por desarrolladores y administradores de páginas que buscan ampliar las capacidades de personalización de sus sitios.

El fallo permite que personas no autenticadas obtengan permisos de administrador y, en consecuencia, puedan tomar el control total de los sitios afectados.

Detalles de la vulnerabilidad crítica

La brecha de seguridad, identificada como CVE-2025-14533, fue descubierta por el investigador de seguridad Andrea Bocchetti y reportada a la firma de ciberseguridad Wordfence a mediados de diciembre de 2025. El plugin ACF Extended está presente en unos 100.000 sitios web activos.

El riesgo se centra en las versiones 0.9.2.1 y anteriores del complemento, en las cuales no se aplican correctamente las restricciones de roles durante la creación o actualización de usuarios mediante formularios personalizados.

La vulnerabilidad específica reside en la acción de formulario “Insert User / Update User” del plugin. Wordfence detalla: “En la versión vulnerable, no existen restricciones para los campos del formulario, por lo que el rol del usuario puede establecerse de forma arbitraria, incluso como ‘administrador’, sin importar la configuración de los campos, siempre que exista un campo de rol en el formulario”.

Cualquier usuario externo, sin autenticación previa, puede autoconcederse privilegios de administrador y obtener control total sobre el sitio.

Aunque la gravedad del fallo es alta —con una puntuación de 9,8 sobre 10 según los criterios de ciberseguridad—, el alcance de la explotación está limitado a aquellos sitios que utilizan formularios personalizados para crear o actualizar usuarios y que incluyen un campo de rol asignado. Los expertos advierten que este tipo de vulnerabilidad de escalada de privilegios podría derivar en la completa toma de control de los portales afectados.

Actualizaciones urgentes y recomendaciones

El error fue subsanado por el desarrollador del plugin apenas cuatro días después de ser informado, mediante el lanzamiento de la versión 0.9.2.2 de ACF Extended. Sin embargo, los datos de descargas oficiales de wordpress.org muestran que unas 50.000 instalaciones ya han sido actualizadas, lo que deja a una cifra similar de sitios aún expuestos al ataque.

Los administradores de sitios web que utilizan WordPress y especialmente el complemento ACF Extended deben comprobar de inmediato la versión instalada y, de ser necesario, aplicar la actualización correspondiente. Los expertos recomiendan evitar el uso de formularios personalizados con campos de rol configurados mientras persista el riesgo, y revisar los permisos de usuario asignados.

La consultora de seguridad Wordfence remarcó la importancia de mantener los complementos de WordPress actualizados, ya que vulnerabilidades como CVE-2025-14533 pueden permitir a atacantes remotos tomar el control de los portales afectados. El 50 % de los usuarios ya corrigió el fallo, pero otros tantos permanecen vulnerables, lo que representa un riesgo persistente para miles de páginas en todo el mundo.

Prácticas que debes evitar en internet

Esta es una serie de recomendaciones de hackers profesionales orientadas a reducir los riesgos al navegar por internet:

• Reaccionar sin pensar ante mensajes urgentes o emocionales: Los ciberdelincuentes suelen apelar a la emoción o la urgencia para que los usuarios actúen impulsivamente. Antes de responder a mensajes sospechosos, se recomienda verificar su autenticidad.
• Navegar sin protección antivirus: Mantener un antivirus actualizado es clave para bloquear software malicioso y prevenir infecciones.
• Abrir enlaces o archivos de correos electrónicos sospechosos: Hacer clic sin precaución en enlaces o archivos adjuntos puede facilitar el robo de datos. Es mejor ingresar manualmente a los sitios oficiales o consultar fuentes confiables.
• Repetir contraseñas o usar combinaciones predecibles: Utilizar la misma clave en varios servicios multiplica el riesgo de accesos no autorizados. Se aconseja usar contraseñas fuertes y diferentes para cada cuenta apoyándose en gestores de contraseñas.
• Compartir información personal en formularios o respuestas online: Proporcionar datos sensibles puede facilitar el acceso a cuentas personales. Es preferible omitir detalles privados o usar respuestas ficticias en preguntas de seguridad.
• Acceder a cuentas importantes desde redes Wi-Fi públicas: Estas conexiones pueden facilitar la interceptación de información sensible. Se recomienda evitarlas para operaciones delicadas.
• Instalar aplicaciones sin revisar los permisos solicitados: Algunas apps piden permisos excesivos que podrían comprometer la privacidad y seguridad del usuario. Solo se deben instalar aquellas que soliciten permisos acordes a su función.

El avance de la digitalización ha creado nuevas oportunidades para la ciberdelincuencia, y recientemente los fraudes con códigos QR en correos electrónicos se han consolidado como una de las amenazas más preocupantes para empresas y usuarios.

Datos recientes de la firma de ciberseguridad Kaspersky revelan que la detección de mensajes fraudulentos que incluyen estos códigos pasó de menos de 50.000 en agosto a casi 250.000 en noviembre de 2025, lo que refleja una tendencia alarmante.

El principal atractivo de los códigos QR para los atacantes radica en su capacidad para ocultar enlaces maliciosos y evadir los sistemas de seguridad convencionales. A diferencia de los hipervínculos tradicionales, los códigos QR trasladan la decisión de clic al usuario, quien suele escanearlos con su teléfono móvil fuera del entorno protegido del correo empresarial.

Este cambio debilita los controles y facilita la obtención de credenciales, el acceso no autorizado y la filtración de información sensible.

Cómo operan y quiénes son propensos a estos fraudes

La táctica más común consiste en incrustar el código QR directamente en el cuerpo del correo o, en casos más sofisticados, dentro de archivos adjuntos en PDF. El usuario recibe un mensaje que aparenta provenir de servicios legítimos como Microsoft, plataformas corporativas o áreas de recursos humanos. Entre los ganchos habituales se encuentran:

• Formularios de inicio de sesión falsos: Dirigen a páginas que imitan portales oficiales para robar nombres de usuario y contraseñas.
• Notificaciones de recursos humanos: Solicitan revisar documentos internos, como calendarios de vacaciones o listas de personal, pero redirigen a sitios fraudulentos.
• Facturas y confirmaciones de compra: Archivos PDF que simulan ser documentos de cobros o reembolsos y emplean nuevas estrategias de ingeniería social, como el vishing.

En todos los escenarios, la urgencia y la apariencia legítima del mensaje inducen al usuario a escanear el código QR sin comprobar su autenticidad.

El riesgo principal se encuentra en la interacción humana. Los empleados, habituados a escanear códigos QR en restaurantes, eventos y actividades cotidianas, tienden a repetir este comportamiento en el entorno laboral, muchas veces desde sus dispositivos personales. Al hacerlo fuera de los filtros de seguridad corporativos, los ataques pueden eludir las defensas y comprometer sistemas internos.

Una vez que el dispositivo móvil participa en el ataque, el malware puede propagarse, robar información adicional y facilitar el acceso a otros sistemas conectados.

Las consecuencias incluyen robo de credenciales, acceso a cuentas empresariales, filtración de datos sensibles y fraude financiero. El informe mencionado advierte que esta técnica de bajo costo se está consolidando como una de las más eficaces y persistentes, con perspectivas de crecimiento en 2026.

El daño reputacional y las pérdidas económicas pueden ser considerables, sobre todo en organizaciones sin políticas de capacitación ni herramientas de análisis de imágenes en sus sistemas de correo.

Estrategias de protección para empresas y usuarios

Para mitigar los riesgos, los expertos recomiendan:

• Capacitación continua para que los empleados identifiquen correos sospechosos y comprendan los peligros de escanear códigos QR recibidos por email.
• Evitar escanear códigos QR de remitentes desconocidos o no verificados. Ante la duda, se debe contactar al remitente por otro canal.
• Fortalecer el acceso con autenticación multifactor y controles adicionales.
• Utilizar soluciones de seguridad que analicen imágenes y bloqueen archivos adjuntos sospechosos.
• Definir políticas claras sobre el manejo de correos y archivos, restringiendo la apertura de documentos y enlaces no identificados y reportando incidentes al equipo de IT.

El incremento de los fraudes con códigos QR en correos electrónicos es una advertencia para empresas y usuarios. La prevención y la formación continua siguen siendo las mejores armas para enfrentar estas amenazas que explotan la confianza y la rutina digital cotidiana.

El presidente estadounidense, Donald Trump, planea una reunión el próximo martes con un grupo de altos funcionarios sobre las posibles acciones del Gobierno de EE.UU. para responder a la represión en las protestas de Irán, según informó este domingo The Wall Street Journal.

La reunión del martes será la primera “discusión formal” de Trump sobre el asunto con su gabinete, e incluirá a los secretarios de Estado, Marco Rubio, y de Guerra, Pete Hegseth, y el presidente del Estado Mayor Conjunto, Dan Caine, indica el diario, que cita fuentes gubernamentales.

Esa discusión abordará acciones como “potenciar fuentes ‘online’ contra el Gobierno, desplegar ciberarmas secretas contra sitios (web) del Ejército iraní y civiles, imponer más sanciones al régimen y bombardeos militares”, agregaron esas fuentes gubernamentales.

Por otra parte, el diario digital Politico señala que no se espera que Trump tome una decisión final en la reunión, porque las deliberaciones están en una fase temprana, ni que el presidente envíe tropas a Irán. Este medio, que cita también fuentes gubernamentales, dice que se abordarán “algunas (acciones) cinéticas y muchas no cinéticas”. Las primeras se refieren a acciones militares que usan la fuerza física de un proyectil sin necesidad de explotar, y las segundas a opciones cibernéticas o encubiertas.

Líderes iraníes buscan negociar

Trump dijo este domingo que los líderes de Irán lo “llamaron” ayer y “quieren negociar” tras amenazar con posibles acciones militares en represalia por la violencia en las protestas que tienen lugar en el país.

“Se está preparando una reunión. Irán llamó. Quieren negociar”, dijo Trump a un grupo de periodistas a bordo del avión presidencial, tras señalar que está recibiendo información cada hora sobre la evolución de las protestas y su Gobierno “va a hacer una determinación”.

“Quizás tengamos que actuar antes de una reunión”, agregó.

El mandatario consideró que el Gobierno iraní “está empezando” a cruzar una línea porque “ha muerto gente que no tenía que morir”, algo que atribuyó al imperio de la “violencia” por parte de sus líderes.

“Algunos de los manifestantes murieron por estampida, había muchos. Y a algunos les dispararon”, declaró.

Trump dijo que el Ejército de EE.UU. está “estudiando” el asunto y “hay un par de opciones” que describió con varias preguntas: “¿Me están preguntando qué haré, dónde atacaré, cuándo y desde qué ángulo atacaremos?”.

Advertencias cruzadas

El presidente del parlamento iraní, Mohamed Baqer Qalibaf, advirtió este domingo de que, en caso de un ataque estadounidense sobre Irán, “tanto los territorios ocupados (Israel) como todos los centros militares, bases y barcos” de EE.UU e Israel en la región “serán objetivos legítimos”.

Trump minimizó su preocupación por posibles ataques iraníes contra bases estadounidenses después de las amenazas vertidas por Qalibaf: “Si lo hacen, les atacaremos a unos niveles que nunca les han atacado antes”.

El republicano dijo creer que Irán se toma sus amenazas en serio después de “años” tratando con él, y remitió a las muertes del general de la Guardia Revolucionaria Qassem Soleimani, el líder del Estado Islámico, Abu Bakr al Baghdadi, o “la amenaza nuclear iraní que disminuyó”.

“Y ahora acabamos de tener lo de Venezuela. ¿No diría usted que sí (Irán se toma en serio las amenazas) después de todas estas cosas que hicimos?”, apostilló.

Antes de irse, Trump indicó además que planea llamar al magnate Elon Musk para abordar el envío de satélites de su empresa Starlink a Irán para ayudar en los apagones y “que internet siga funcionando”.

Trump ofreció ayer en un mensaje en Truth Social la “ayuda” de su Gobierno para la “libertad” de Irán y anteriormente ha advertido de una posible intervención en el país ante la violencia ejercida contra los manifestantes.

Al menos 538 personas han muerto, según datos de la ONG Human Rights Activists News Agency (HRANA), con base en Estados Unidos, en las manifestaciones que empezaron el pasado 28 de diciembre por la crisis económica y que se han propagado por todo el país y el extranjero.

La eléctrica Endesa Energía ha informado a sus clientes sobre un ciberataque ha dado como resultado la extracción de datos personales y financieros. La notificación, remitida directamente a los usuarios, afecta a clientes de ambas ramas de la compañía: Endesa Energía, responsable del mercado libre, y Energía XXI, operadora en el ámbito regulado. La propia firma ha subrayado que el acceso ilícito por parte de actores maliciosos ha comprometido tanto la información de los contratos como, en algunos casos, los códigos IBAN vinculados a los pagos bancarios, aunque las contraseñas de usuario se han mantenido a salvo.

En el comunicado oficial, Endesa ha detallado que los ciberdelincuentes han conseguido acceder a una base de datos en la que figuran nombres, apellidos, información de contacto y los números de DNI. Asimismo, la compañía ha destacado desde el primer momento que la sustracción afecta a datos relacionados con los contratos de suministro eléctrico y de gas y, de forma puntual, a referencias bancarias de los usuarios afectados. Esta información ha sido recogida de manera directa en la comunicación transmitida por Endesa a sus clientes.

La compañía asegura que ha activado los protocolos de seguridad previstos para estos incidentes. Según Endesa, se han puesto en marcha todas las medidas técnicas y organizativas necesarias para contener el incidente, mitigar sus efectos y evitar que se repita en el futuro. A pesar de la magnitud de los datos comprometidos, la empresa ha subrayado en todo momento que las contraseñas de los clientes no se han visto comprometidas.

La investigación interna iniciada por Endesa sostiene que el atacante informático ha tenido acceso, y posiblemente ha exfiltrado, información sensible que incluye datos de contacto, documentos identificativos e IBAN de cuentas bancarias. Hasta la fecha, según ha trasladado la propia compañía en su comunicado, no se han constatado usos fraudulentos de los datos robados. No obstante, Endesa ya ha advertido a sus clientes sobre el riesgo de utilización de la información sustraída en intentos de suplantación de identidad, así como en la difusión de los datos a través de foros digitales o su utilización en campañas de correos y mensajes fraudulentos de tipo phishing o spam.

A fin de minimizar cualquier posible consecuencia, la empresa ha transmitido a sus usuarios que considera improbable que este incidente se traduzca en un riesgo elevado para los derechos y libertades de los clientes. Pese a ello, ha recomendado “prestar especial atención a posibles comunicaciones sospechosas” durante los próximos días y ha facilitado el número de teléfono 800 760 366 para que los afectados puedan comunicar cualquier actividad anómala. Toda esta información ha sido confirmada y trasladada por Endesa a los afectados.

Las dimensiones de la filtración

El alcance real de la brecha y la posible publicación de los datos han quedado reflejados tras las informaciones difundidas por el portal Escudo Digital, que fue el primero en informar sobre el ataque a Endesa el pasado 6 de enero. Según ha revelado Escudo Digital, el autor del ciberataque hizo públicos los detalles del incidente en un foro de la dark web el 4 de enero, asegurando haber accedido a más de 1 TB de datos confidenciales relacionados con más de 20 millones de personas.

El mismo medio ha desgranado el contenido y la sensibilidad de la información comprometida: “Por los nombres de tablas y ficheros, el nivel de sensibilidad de los datos es extremo. Hay datos personales, como nombres y apellidos, datos de contacto, dirección postal, y relación cuenta-persona; datos financieros, como IBAN, datos de facturación e historial de cuentas y cambios; datos energéticos, como CUPS (identificador único de punto de suministro), contratos activos de luz y gas, datos del punto de suministro y datos regulatorios, como Listas Robinson, cuentas exentas e historial de incidencias”, según ha señalado el propio Escudo Digital.

La saturación de llamadas spam y fraudes telefónicos es una molestia cada vez más frecuente para los usuarios de celulares. Aunque muchas personas asocian este problema a filtraciones masivas de datos o al uso de formularios en internet, existe un hábito cotidiano que suele pasar desapercibido y que puede facilitar la exposición de datos personales: dejar las etiquetas de los paquetes visibles al desechar cajas y embalajes.

Cuando realizas compras en línea y recibes paquetes en tu domicilio, las cajas suelen llegar con una etiqueta que muestra tu nombre completo, dirección y, en muchos casos, tu número de teléfono o correo electrónico. Esta información, que parece inofensiva, se convierte en un blanco fácil para quienes buscan obtener datos con fines fraudulentos.

Las autoridades han advertido que desechar las cajas sin eliminar estas etiquetas equivale a regalar información personal a cualquier persona que tenga acceso a los contenedores de cartón, exponiéndote a llamadas no deseadas, intentos de estafa y posibles ataques de phishing.

El riesgo detrás de las etiquetas visibles

No eliminar estas etiquetas implica que datos sensibles, como nombre, dirección, teléfono y correo, queden al alcance de desconocidos. Cualquier individuo con malas intenciones puede recolectar esta información del contenedor y utilizarla para lanzar mensajes personalizados, llamadas o correos electrónicos fraudulentos que aparentan legitimidad, ya que cuentan con detalles reales sobre la víctima.

Estos ataques suelen ser más efectivos porque generan una falsa sensación de confianza durante los primeros minutos de la conversación.

El proceso suele comenzar con una llamada en la que el interlocutor menciona información precisa, como tu nombre y dirección, y avanza solicitando datos adicionales bajo pretextos engañosos. Ante estas situaciones, la recomendación principal es colgar de inmediato y bloquear el número, evitando así caer en el engaño o abrir la puerta a nuevos intentos de contacto.

Medidas para proteger tu información

Cambiar este hábito es sencillo y puede reducir considerablemente el riesgo de ser víctima de spam y estafas telefónicas. Antes de desechar cualquier caja, toma uno de estos recaudos:

• Arranca la etiqueta y córtala en pedazos pequeños, distribuyéndolos en diferentes contenedores si es posible.
• Utiliza rotuladores de tinta opaca para tachar todos los datos, asegurándote de que la información sea completamente ilegible.
• Emplea sellos de protección de identidad, que cubren la información con patrones ilegibles y dificultan su recuperación.
• Aplica calor en etiquetas térmicas con un secador de pelo, lo que ennegrece la superficie y vuelve los datos invisibles.

Estos gestos simples toman solo segundos, pero pueden evitar que tus datos personales terminen en manos de estafadores. La destrucción física de las etiquetas es una de las opciones más seguras, ya que impide cualquier intento de reconstrucción de la información.

La prevención en una época de ciberataques

En épocas de alto volumen de compras online y aumento de envíos a domicilio, la cantidad de paquetes y cajas a descartar crece notablemente. Por eso, es fundamental incorporar este hábito para preservar la privacidad y dificultar el acceso a datos sensibles. No solo se trata de evitar llamadas molestas, sino de protegerte contra fraudes más sofisticados que pueden incluir suplantación de identidad y ataques dirigidos.

Modificar este hábito cotidiano es una medida efectiva para cuidar tu información y reducir la exposición a amenazas digitales y telefónicas. Mantener la vigilancia sobre los datos que desechas es una forma simple y al alcance de todos para proteger tu seguridad y tranquilidad en el día a día.

Un grupo activista ha afirmado haber extraído, mediante técnicas automatizadas, cerca de 86 millones de archivos musicales y una vasta base de metadatos de Spotify, lo que supondría el 99,6% de toda la música escuchada en la plataforma. El colectivo, conocido como Anna’s Archive, planea publicar este archivo de manera masiva en línea, hecho que ha generado preocupación en la industria musical y entre los titulares de derechos de autor.

Anna’s Archive es conocido por su actividad previa en el ámbito de los libros pirateados. Según sus declaraciones, descargaron no solo millones de pistas de audio, sino también 256 millones de registros que contienen información relativa a intérpretes y álbumes. El colectivo afirmó que la filtración representa el 99,6% de la música reproducida por usuarios, y justificó su acción como parte de un “archivo de preservación” para asegurar el patrimonio musical mundial.

Reconocieron que Spotify no alberga todo el contenido musical existente, pero consideran este acto “un gran comienzo” en su misión de preservar la cultura y el conocimiento humano. El material estaría destinado a compartirse a través de torrents, facilitando el acceso descentralizado a los archivos extraídos.

Respuesta de Spotify

Desde su sede en Estocolmo, Spotify —que supera los 700 millones de usuarios globalmente— confirmó en un comunicado la existencia del ataque y una investigación en curso sobre el mismo.

No obstante, aclararon que la filtración, si bien relevante, no comprometería su biblioteca en su totalidad. Entre las primeras medidas tomadas, la compañía identificó y bloqueó cuentas fraudulentas responsables de la extracción automatizada, detectando además el uso de métodos ilícitos para evadir los mecanismos de gestión de derechos digitales (DRM).

La empresa informó haber reforzado los controles internos y vigila señales de comportamiento sospechoso alusivo a incidentes similares. Según la plataforma, los archivos extraídos aún no se habrían hecho públicos.

Posibles consecuencias de la publicación de los datos

El alcance de la presunta filtración plantea riesgos considerables para los derechos de autor y abre el debate sobre posibles usos por parte de la inteligencia artificial.

Expertos apuntan que la base de datos filtrada resultaría sumamente útil para compañías tecnológicas interesadas en alimentar modelos generativos de IA. Ed Newton-Rex, compositor y defensor del copyright, advirtió que el entrenamiento de sistemas de inteligencia artificial con material pirateado es una práctica común en la industria. Destacó la necesidad de exigir transparencia a las empresas tecnológicas sobre los datos empleados en el desarrollo de sus algoritmos.

Desde el ámbito tecnológico, se señala que la disponibilidad de esta información permitiría crear versiones domésticas gratuitas de la plataforma. El cofundador de Third Chair, Yoav Zimmerman, subrayó que tales archivos facilitarían el entrenamiento masivo de algoritmos de música moderna, aunque recalcó que los límites los establece la legislación sobre derechos de autor y la posibilidad de sanciones legales.

El historial de Anna’s Archive está relacionado con el alojamiento de enlaces a libros pirateados, inspirado en iniciativas como LibGen, cuyo contenido digital ha sido empleado por grandes empresas tecnológicas para entrenar inteligencia artificial y ha derivado en litigios judiciales en Estados Unidos.

En uno de estos casos, se reveló que Meta integró datos de LibGen en sus procesos pese a advertencias internas sobre la ilegalidad del material. Si bien Meta evitó una condena por infracción de derechos, los demandantes buscan ampliar sus alegaciones ante los tribunales.

El caso ilustra nuevamente la tensión entre creadores, artistas y gigantes de la tecnología respecto a la utilización de obras protegidas en el desarrollo de herramientas de IA.

La afirmación de que el ataque se centró especialmente en el Ministerio de Exteriores británico figura entre los datos señalados por Chris Bryant, secretario de Estado de Comercio, quien abordó públicamente el incidente tecnológico ocurrido en octubre pasado. Bryant reconoció la existencia del ciberataque tras varias semanas en las que medios británicos habían avanzado información sobre el caso. Al oficializar estos hechos, el Gobierno británico confirmó la veracidad de los reportes que habían circulado recientemente en la prensa local acerca de una agresión informática dirigida a sus infraestructuras estatales, según consignó Sky News.

La cadena de televisión Sky News transmitió las declaraciones de Bryant, quien aclaró que la intrusión cibernética no representa un peligro elevado para ciudadanos individuales. Tras la pregunta sobre posibles responsables, el funcionario resaltó la necesidad de adoptar una postura de cautela ante las especulaciones sobre la autoría del ataque. Bryant evitó precisar autores y subrayó que muchas de las publicaciones sobre supuestos responsables se basan en conjeturas. El diario The Sun, según detalló Sky News, vinculó el incidente con China, mencionando específicamente al grupo chino Storm 1849 como presunto autor.

Durante su intervención, Bryant reiteró que "ciertamente, se produjo un ciberataque en octubre que afectó fundamentalmente al Ministerio de Exteriores", lo que refuerza la versión de que el ataque estuvo focalizado en esa cartera estatal. El ministro insistió en la importancia de no sacar conclusiones precipitadas y recordó que la investigación sobre el episodio sigue en proceso. Bryant explicó que las pesquisas sobre este tipo de incidentes suelen prolongarse, aunque dejó entrever que las autoridades se acercan a esclarecer los detalles. "A menudo, la investigación lleva mucho tiempo, pero estamos acercándonos. Hubo un problema técnico, pero creo que el riesgo es bajo para la mayoría", declaró, según recogió Sky News.

En relación con las voces que atribuyen el ataque a Storm 1849, Bryant se mostró reacio a señalar responsables sin pruebas concluyentes. "No quiero especular sobre esto. No está muy claro de dónde salen algunas cosas", manifestó el ministro, y añadió que varias de las informaciones divulgadas en los medios pueden pertenecer más al ámbito especulativo que al fáctico, según reportó Sky News.

El secretario de Estado también hizo un llamado a la población para no caer en alarmismos respecto al grado de amenaza que podría implicar el incidente para la seguridad ciudadana, insistiendo en que la mayoría de las personas no enfrenta riesgos significativos como consecuencia directa del ciberataque. El énfasis de Bryant en la prudencia se extendió tanto a la evaluación de las consecuencias técnicas como a la interpretación de los datos publicados por los medios, manteniendo que el nivel de riesgo está bajo control por parte de los equipos de seguridad digital del gobierno británico, según reportó Sky News.

El medio The Sun aportó que, según sus fuentes, el supuesto grupo responsable estaría vinculado a intereses del gobierno chino, aunque el gobierno británico, en voz de Bryant, optó hasta el momento por no confirmar estas aseveraciones y mantener abierta la investigación. Las autoridades británicas no han ofrecido detalles sobre el método utilizado en el ataque ni sobre compromisos específicos de información que pueda haber producido la intrusión, de acuerdo con la cobertura de Sky News.

Tras la confirmación oficial del incidente, aumentó la atención sobre las medidas de protección digital y protocolos de ciberseguridad implementados en organismos clave del gobierno del Reino Unido. Sky News destacó que el Ministerio de Exteriores, al ser el principal afectado, evaluó los posibles daños y colaboró estrechamente con equipos técnicos y de inteligencia para contener cualquier brecha de seguridad. También persiste la intención de esclarecer la magnitud y objetivos de la operación cibernética registrada en octubre.

Finalmente, Bryant reiteró, según Sky News, que la prudencia debe prevalecer hasta que las investigaciones arrojen resultados definitivos. El proceso continúa y el gobierno británico sigue sin confirmar sospechas sobre posibles orígenes extranjeros, ni emitir valoraciones sobre el posible impacto más allá de los órganos gubernamentales directamente involucrados.

Las autoridades de Dinamarca han responsabilizado a Rusia de una serie de ciberataques calificados como “destructivos y disruptivos” contra infraestructuras críticas y páginas web oficiales en 2024 y 2025, según una reciente evaluación publicada esta semana por el Servicio de Inteligencia de Defensa danés (FE). El informe describe incidentes no reportados previamente, incluyendo un ataque a una empresa de agua que provocó la rotura de tuberías y el corte temporal del suministro para decenas de hogares.

El FE detalló el jueves que el ataque al sistema de aguas, atribuido al grupo de hackers Z-Pentest –vinculado al Estado ruso–, permitió modificar la presión del agua, lo que causó daños en la red y la suspensión del servicio. En total, alrededor de 50 familias estuvieron sin agua durante unas siete horas y unas 450 viviendas estuvieron afectadas durante aproximadamente una hora. El suceso se registró en Tureby Alkestrup Waterworks, una planta situada en el sudoeste de Copenhague.

Jan Hansen, responsable de esa compañía de agua, declaró en entrevista con DR que el incidente se produjo tras cambiar a un proveedor de ciberseguridad más barato; advirtió a otras empresas sobre la importancia de invertir en protección digital y recomendó contratar seguros especializados.

El mismo organismo de inteligencia atribuyó al grupo NoName057(16) otro ataque en noviembre de 2025, coincidiendo con las elecciones municipales y regionales. Este consistió en una serie de acciones de denegación de servicio que bloquearon numerosas webs oficiales, complicando la comunicación y los servicios públicos en varias localidades durante la campaña electoral. Las autoridades señalaron que ambos grupos “son utilizados como instrumentos por Rusia en su guerra híbrida contra Occidente”, con la intención de generar inseguridad interna y penalizar a los países que respaldan a Ucrania.

Durante una conferencia de prensa el jueves, Torsten Schack Pedersen, ministro danés de Resiliencia y Preparación, afirmó ante DR que, “aunque los daños fueron limitados, estos hechos demuestran que existen actores capaces de paralizar componentes clave de nuestra sociedad”. También reconoció que Dinamarca aún no está lo suficientemente preparada para afrontar ataques de esta magnitud.

Las investigaciones posicionan estos incidentes dentro de una campaña más amplia de “sabotaje y desestabilización” desplegada por el Kremlin en Europa desde la invasión rusa sobre Ucrania en 2022. El FE subrayó que los ciberataques buscan debilitar el apoyo occidental a Kiev, al tiempo que identifican puntos vulnerables del continente y desgastan los recursos policiales. Según la base de datos de la Associated Press, ya se han documentado 147 incidentes de este tipo en Europa.

Las reacciones alcanzaron el plano internacional. Anitta Hipper, portavoz de la Alta Representante de la Unión Europea para Asuntos Exteriores, Kaja Kallas, manifestó a través de redes sociales el respaldo de la Unión Europea (UE) a Dinamarca ante “las actividades cibernéticas maliciosas de Rusia”, y enfatizó que el bloque exigirá responsabilidades, comprometiéndose a “fortalecer la resiliencia” de sus estados miembros.

En paralelo, autoridades de Alemania convocaron al embajador ruso tras acusaciones de sabotaje, ataques cibernéticos e injerencia electoral, incluyendo un ataque contra el control del tráfico aéreo alemán en 2024, según declaraciones del portavoz del Ministerio de Exteriores alemán, Martin Giese.

El FE advirtió que no todos los ataques salen inmediatamente a la luz, ya que a menudo puede requerirse un periodo prolongado para rastrear y confirmar el vínculo con Rusia. Mientras, las autoridades recalcan la necesidad de endurecer las defensas tecnológicas para proteger la infraestructura frente a futuras amenazas.

(Con información de AP, EFE y Europa Press)

La intrusión informática perpetrada por un grupo no identificado logró acceder durante varios días a servidores del Ministerio del Interior de Francia, extrayendo millones de archivos vinculados con investigaciones oficiales y con personas buscadas por la justicia. Según indicó el ministro del Interior francés, Laurent Nunez, este incidente comprometió bases de datos críticas y derivó en la obtención ilícita de contraseñas de correos electrónicos ministeriales, aunque las autoridades descartan que la seguridad pública se haya visto afectada.

De acuerdo con lo informado por France Info y recogido por diversos medios europeos, el ataque informático permitió el robo de decenas de carpetas con información clasificada, especialmente registros pertenecientes al Historial Criminal y a la Lista de Personas en Busca y Captura del Ministerio. Las pesquisas apuntan a que los atacantes consultaron y sustrajeron datos de relevancia para investigaciones en curso, con la potencial consecuencia de entorpecer el trabajo judicial y policial.

Tal como reportó France Info, la incursión se llevó a cabo accediendo a credenciales obtenidas de cuentas de correo electrónico del propio ministerio. El titular de Interior detalló que los hackers se hicieron con las contraseñas, lo que permitió la infiltración prolongada en los sistemas de información gubernamentales. Según declaró Nunez en una entrevista con el medio citado, todavía no se ha precisado el alcance total del robo ni se conocen las implicancias concretas para la operatividad de las fuerzas de seguridad y para la protección de los expedientes judiciales.

El ministro recalcó ante France Info que, pese a la magnitud del incidente y al volumen de datos sustraídos, las autoridades consideran que la integridad de los ciudadanos no corre peligro. “No han solicitado ningún rescate, pero se trata de un acto grave que puede obstaculizar las investigaciones judiciales”, puntualizó Nunez, subrayando que el Gobierno francés evalúa la situación con máxima atención.

El medio France Info señaló que el ataque, de acuerdo con lo admitido por el Ministerio del Interior, fue una acción persistente que se extendió por varios días antes de ser detectada y contenida. Si bien no se ha atribuido la responsabilidad explícita a ningún grupo específico, las autoridades francesas reconocen la necesidad de reforzar los protocolos de seguridad digital para evitar incidentes similares en el futuro.

Además, fuentes oficiales consultadas por France Info sostienen que se investiga cómo lograron los delincuentes acceder a información sensible mediante las cuentas de correo ministeriales y cuáles pueden ser las consecuencias para las investigaciones criminales en marcha. El robo de contraseñas sugiere un nivel de sofisticación importante por parte de los atacantes, quienes consiguieron sortear barreras de protección y poner en riesgo datos clave para la lucha contra el delito.

El Ministerio del Interior francés, de acuerdo con declaraciones a France Info, ha iniciado un proceso de revisión de los sistemas comprometidos y trabaja de manera coordinada con los servicios judiciales y de ciberseguridad para cercar a los responsables y reducir al mínimo las repercusiones del ataque. Mientras continúan las tareas técnicas y legales, el Gobierno insiste ante la ciudadanía que no existen factores de riesgo inmediato para las personas cuyos datos pudieron verse afectados por esta intrusión.

La investigación sobre este incidente persiste, mientras el Ejecutivo explora alternativas para reforzar la seguridad digital en áreas críticas del aparato estatal. Laurent Nunez, en sus declaraciones reproducidas por France Info, reiteró que la prioridad es restablecer completamente la seguridad en los sistemas del ministerio y colaborar con la justicia para identificar a los autores del ataque y limitar el daño potencial sobre los procesos judiciales vigentes.

El Ministerio del Interior de Francia fue víctima de un ciberataque que resultó en la extracción ilícita de decenas de archivos confidenciales relacionados con antecedentes penales y con personas buscadas en el país, según informó el miércoles Laurent Núñez, máximo responsable de la institución, en declaraciones a la emisora Franceinfo. Núñez precisó que la intrusión fue detectada “hace unos días” y afectó principalmente a los servidores de correo electrónico del ministerio. Las autoridades francesas han iniciado una investigación judicial para esclarecer los hechos e identificar a los autores del ataque.

Según las declaraciones de Núñez en la entrevista recogida por Franceinfo, los sistemas comprometidos incluyen el Sistema de Tratamiento de Antecedentes Penales (TAJ) y el Archivo de Personas Buscadas (FPR). El ministro reconoció la gravedad del incidente al referirse a estos archivos como “importantes para nosotros” e indicó que todavía no es posible determinar completamente el alcance de la filtración. Subrayó que “aún desconocemos el alcance total de la filtración, desconocemos qué se extrajo: hasta la fecha, se han eliminado varias decenas de archivos del sistema, estamos hablando de millones de datos”.

Respecto al método utilizado, Núñez señaló que la intrusión “provino de un individuo o grupo de individuos que obtuvieron acceso a través de ciertas cuentas de correo electrónico profesionales y pudieron obtener códigos de acceso”. El número exacto de personas implicadas en el ataque no ha sido precisado y, por el momento, las autoridades desconocen la extensión y el impacto final de la sustracción de datos. La Fiscalía de París ya ha abierto una investigación por “actividad sospechosa dirigida a servidores de correo electrónico”.

El ciberataque contra las autoridades francesas coincide con una semana en la que también se han producido incidentes similares en otras instituciones europeas. En Alemania, el Gobierno federal convocó el viernes al embajador ruso Serguéi Necháyev, tras atribuir a los servicios secretos de Moscú la responsabilidad de un ataque informático dirigido al control del tráfico aéreo alemán, perpetrado en 2024, así como de una campaña de desinformación desarrollada durante el periodo previo a las elecciones generales del pasado febrero. La confirmación de esta atribución la realizó Martin Giese, portavoz del Ministerio de Exteriores alemán, en una rueda de prensa recogida por medios internacionales.

Giese manifestó que “Rusia amenaza nuestra seguridad, no sólo con su guerra de agresión contra Ucrania, sino también aquí, en Alemania”. Añadió que el gobierno germano ha comenzado a aplicar una serie de contramedidas junto con sus socios europeos, entre las que se contemplan sanciones individuales como la prohibición de entrada a territorio europeo y la congelación de activos a diversos individuos relacionados con estos ciberataques y acciones de desinformación.

El portavoz precisó que, tras un exhaustivo análisis de los servicios de inteligencia, se puede “reconocer claramente la firma y demostrar la responsabilidad de Moscú”, señalando específicamente al GRU (servicio de inteligencia militar ruso) y al colectivo de jáqueres APT28 (Fancy Bear) como responsables del incidente contra la infraestructura aérea alemana. Respecto a la campaña de desinformación, Giese detalló que fue ejecutada a través del laboratorio ruso Center for Geopolitical Expertise y el Movimiento del Águila Bicéfala, ambos con vínculos con el GRU.

El gobierno alemán estima que el objetivo de estas acciones es dividir la sociedad, erosionar la confianza social e institucional y debilitar el sistema democrático mediante la manipulación selectiva de la información y la difusión de campañas orientadas a fomentar el rechazo y la desconfianza hacia las instituciones públicas. Según Giese, Berlín tomará nuevas medidas para “que Rusia pague un precio por sus acciones híbridas” en territorio europeo.

“El compromiso, peritaje y lealtad” del personal técnico de la estatal venezolana, Petróleos de Venezuela S.A. (PDVSA), permitió detectar y frenar un ataque digital que habría tenido como blanco sus sistemas internos y administrativos, orientado a interferir en la operación de la compañía. La noticia se reveló en un comunicado oficial donde la empresa atribuyó la responsabilidad a Estados Unidos, al considerar el incidente parte de lo que describen como una “estrategia pública” de Washington para obtener el control sobre los recursos petroleros venezolanos. Según informó el medio que difundió el mensaje, PDVSA subrayó que sus áreas clave no resultaron dañadas y que la producción y distribución de hidrocarburos, tanto dentro como fuera del país, continúan de acuerdo a lo previsto.

La petrolera estatal dio a conocer el incidente a través de su canal oficial en Telegram, donde detalló que la ofensiva afectó únicamente sus sistemas administrativos, sin lograr progresar hasta las áreas críticas de operación, gracias a la implementación de los protocolos de seguridad de la empresa y la actuación de su personal. Tal como publicó la fuente citada, PDVSA aseguró que la actividad regular en el suministro nacional de productos, así como la realización de los acuerdos internacionales de exportación, permanecen sin cambio tras el suceso.

El comunicado difundido por la empresa estatal calificó el evento como un nuevo “intento de agresión” e hizo énfasis en que, a juicio de la corporación, estos hechos no son independientes, sino que forman parte de una línea de acciones impulsadas desde Washington para doblegar la operatividad venezolana en el sector energético. Según detalló la petrolera, este ciberataque replicaría patrones de episodios anteriores en los que, sostiene la empresa, sectores extranjeros y actores identificados como “factores apátridas” habrían coordinado intentos para debilitar la soberanía energética del país.

El medio que recogió la declaración de PDVSA sumó que la compañía lamenta que episodios como el reciente incidente vehiculen la continuidad de esas estrategias orientadas supuestamente a entorpecer el funcionamiento nacional y a “robarle las navidades al pueblo venezolano”, citando la expresión textual incluida en el comunicado. Desde la empresa se reiteró la denuncia de ataques previos contra la industria petrolera nacional, argumentando que la plantilla laboral ha confrontado circunstancias similares en otras ocasiones y que su actuación ha permitido limitar el alcance de los daños.

PDVSA concluyó su mensaje con el rechazo de toda acción protagonizada por “intereses extranjeros en complicidad con factores apátridas” que, según afirmaron, procuran frenar el derecho al desarrollo energético del país. De acuerdo con el reporte, la declaración finalizó con una afirmación de continuidad y compromiso por parte de la empresa y su personal, orientada a mantener la operatividad “al servicio de todos los venezolanos y venezolanas”.

En el contexto de las tensiones regionales, la denuncia de PDVSA se produce al tiempo que se registran ataques de fuerzas estadounidenses contra embarcaciones en el Caribe, lo que, según consignó la fuente, ha intensificado la atención sobre la seguridad energética en la región. Por el momento, ningún portavoz del gobierno estadounidense ha emitido declaraciones oficiales en respuesta a las denuncias presentadas por la empresa venezolana sobre el incidente digital en sus sistemas.

La creciente sofisticación de los ciberdelincuentes y la expansión de la inteligencia artificial han situado la ciberseguridad en el centro de las preocupaciones, tanto de empresas como de los particulares. A esta situación, cabe añadir la educación digital que no poseen todos los espectros de la población. En ocasiones, los trabajadores de las empresas donde se facilitan dispositivos electrónicos reciben formación acorde a sus tareas, pero no siempre es así.

En este contexto, Sergio Rubio, responsable comercial para España de Synack y experto en seguridad, ha advertido sobre los riesgos que implica utilizar el ordenador del trabajo para fines personales. El técnico en la empresa de ciberseguridad subraya que “el 70% de los ataques comienzan por nuestros clics”, según ha declarado en una entrevista con elEconomista.es.

Rubio ha explicado que Synack, compañía estadounidense fundada en 2013, se dedica de forma exclusiva a la seguridad ofensiva y a los servicios de pentesting, es decir, pruebas simuladas de ciberataques. La empresa cuenta con un equipo de 1.500 hackers éticos repartidos en 90 países, cuya labor principal es identificar vulnerabilidades críticas en los sistemas de sus clientes. Según ha detallado el experto, la plataforma de Synack permite conectar directamente a estos profesionales con los activos tecnológicos de las empresas, iniciando cualquier test en un plazo máximo de 72 horas y sin demoras para el cliente.

El proceso de pentesting, tal y como ha descrito Rubio, consiste en intentar vulnerar de manera controlada los sistemas de una organización para detectar y corregir posibles fallos de seguridad. Cada prueba implica la participación simultánea de entre 30 y 50 expertos, lo que incrementa la profundidad y eficacia de la búsqueda de errores. Además, las vulnerabilidades se actualizan y notifican al cliente en tiempo real, lo que permite actuar con rapidez ante cualquier hallazgo.

El papel de los hackers éticos y no los delictivos

La figura del hacker suele asociarse a actividades delictivas, pero Rubio ha querido matizar que existen profesionales que emplean sus conocimientos para proteger, no para atacar. Según ha afirmado, “la parte ética tiene una gran importancia”. De acuerdo a las explicaciones del técnico, “un hacker ético es un profesional de la ciberseguridad con un amplio conocimiento técnico y un fin completamente opuesto al del cibercriminal“. Su labor es “detectar fallos, no aprovecharlos”, ha señalado en declaraciones a elEconomista.es.

El experto ha alertado de que los ciberdelincuentes disponen de múltiples vías para acceder a la información de las empresas. Ha puesto como ejemplo que, mediante una simple modificación en el identificador de un documento, un atacante podría obtener datos sensibles como las nóminas de cualquier empleado. Además, ha advertido de que los avances tecnológicos facilitan a los delincuentes la posibilidad de ejecutar código en los servidores de una compañía como si estuvieran físicamente presentes, lo que puede desembocar en robos de datos o en ataques de ransomware.

Más allá de la detección de vulnerabilidades técnicas, Rubio ha insistido en la necesidad de sensibilizar a los trabajadores sobre su papel en la protección de la información corporativa. Ha subrayado que “el 70% de los ataques comienzan por nuestros clics. La ciberseguridad no empieza en la empresa, empieza en casa. Hay que evitar usar equipos corporativos para nuestras aplicaciones sociales”, ha concluido el experto en su entrevista.

Un presunto hackeo a la Policía Municipal de Hermosillo atribuido al grupo Chronus Team desató preocupación en el sector de seguridad digital luego de que se difundiera un archivo de gran volumen con información personal, operativa y fotográfica de más de mil 200 agentes municipales en el estado de Sonora.

El incidente fue dado a conocer después de que se reportara la difusión de un archivo de 738 megabytes (MB) con nombres completos, fotografías, descripciones de armamento y otros datos de la estructura operativa de la corporación.

La filtración atribuida a Chronus se posicionó rápidamente como uno de los ciberataques más relevantes contra infraestructura municipal durante el último año.

La aparente filtración: documentos internos, fotografías y archivos JSON

El paquete divulgado por los atacantes incluye documentos internos, listados de personal y archivos formato JSON (JavaScript Object Notation en inglés) con categorías como “abusos autoridad”, “asignaciones”, “días descanso”, “jerarquías”, “modelo telecomunicación”, “multas”, “registros cambio contraseñas”, “telecomunicaciones”, “reglamentos”, “tipos arma” y “tipos policías”.

De acuerdo con la información difundida, el archivo contiene también fotografías del rostro de los elementos y documentos que describen equipo, armamento y registros internos de uso cotidiano.

La respuesta de la corporación policiaca: “No fue vulnerado el actual sistema”

Tras la publicación del material, la Policía Municipal de Hermosillo emitió una postura oficial. La corporación afirmó que el sistema de Seguridad Pública actualmente en operación no fue hackeado y que los datos corresponden a una base “antigua”, presuntamente, de hace al menos cuatro años:

Así lo dijo:

“Respecto a la información que circula sobre un hackeo en la Policía Municipal se precisa que tras llevar a cabo una revisión, se determina que el actual sistema de Seguridad Pública Municipal *NO* fue hackeado. La información publicada es de hace cuando menos *4 años*” (sic), se lee en el mensaje.

Hasta el momento, no se ha informado si se desplegó alguna auditoría forense interna para confirmar el origen de la base filtrada. Tampoco si se aplicarán protocolos para notificar a los elementos cuyos datos forman parte del archivo expuesto.

Ataques previos contra el Ayuntamiento de Hermosillo

La filtración ocurre semanas después de otros incidentes que ya habían puesto en entredicho la seguridad digital del Ayuntamiento de Hermosillo. El pasado 6 de noviembre, el grupo Chronus realizó un defacement al portal de Transparencia Presupuestaria, lo cual sustituía el contenido principal del sitio por un mensaje directo:

“Mejoren su seguridad (…) o la próxima vez eliminaremos su página”, acompañado de supuestas firmas de los integrantes del grupo.

Para verificar el ataque, especialistas y periodistas recurrieron a Web Archive, plataforma que conserva versiones históricas de sitios web. A través de estas capturas fue posible confirmar la alteración del portal oficial, el cual permaneció sin cargar correctamente hasta el 11 de noviembre, bloqueando temporalmente el acceso a información pública obligatoria.

El 10 de diciembre, registros en la misma plataforma mostraron que el portal gubernamental volvió a ser vulnerado con un segundo defacement atribuido al mismo grupo, lo que evidenció fallas persistentes en la seguridad informática municipal.

Persisten dudas sobre el origen de la base filtrada

Aunque la corporación insiste en que no se trató de un hackeo al sistema actual de la Policía Municipal, la magnitud del archivo divulgado por Chronus mantiene abiertas las interrogantes sobre cómo una base histórica —aparentemente fuera de operación— fue extraída, descargada o localizada.

La estafa del ‘doble disparo’ es una de las más sofisticadas. Consiste en una estrategia de dos pasos. En primer lugar, la víctima recibe un mensaje de texto o una llamada telefónica. El mensaje te informa de que has sufrido un pequeño cargo en la tarjeta bancaria (a veces de tan solo unos céntimos) y que contactan contigo por algo relacionado con un servicio que realmente utilizas.

Los estafadores buscan así generar una oportunidad, provocar la reacción del consumidor o comprobar que el correo electrónico o el número de teléfono estén en activo. Tras la primera fase y la prueba de reconocimiento, llega la segunda ola. Esta consiste en la llamada telefónica. La víctima descuelga y al otro lado se encontrará un supuesto experto que asegura haber visto una amenaza o una actividad sospechosa en su perfil. La víctima no duda en ningún momento, ya que el estafador cuenta con información previa (recopilada durante la primera fase). En tono alarmista, este le ofrece ayuda y la víctima, convencida de la buena intención, sigue los pasos. Así termina dando información clave sobre sus contraseñas, su tarjeta bancaria y otros datos financieros.

Según el diario francés Sud Ouest, las instrucciones que sigue la víctima son las siguientes: validar un código SMS, instalar un software de acceso remoto, y finalmente, transferir los fondos a otra cuenta, en teoría para asegurarla. En este momento, el estafador actúa y vacía la cuenta bancaria en cuestión de minutos.

Es un fraude bastante complejo, pues se basa en la transmisión de confianza y la aparente coherencia del contexto. Los timadores se encargan de construir esta situación y utilizan técnicas persuasivas. Son expertos en usar códigos institucionales, como un lenguaje profesional, un tono tranquilizador pero insistente y un vocabulario muy técnico propio del sector bancario.

Pese a todo, hay varias señales que pueden alertar inmediato a la víctima. En primer lugar, los bancos suelen recordar que los asesores bancarios nunca pedirían validar transacciones y tampoco instalar software de control remoto. También aconsejan desconfiar de mensajes que recurran a la urgencia, el miedo o la culpabilización.

Crecen las estafas en España

La ciberdelincuencia en España ha aumentado un 25% en los últimos dos años. Un 35% de los usuarios han sido víctimas de phishing telefónico, también conocido como vishing (los atacantes se hacen pasar por entidades de confianza). Un 35% han recibido SMS con enlaces fraudulentos, un 28% a través de WhatsApp, y un 30,63% asegura haber sido contactado telefónicamente por bots para intentar venderles algo.

La grabación de voz también es una de las tácticas fraudulentas más utilizadas por los estafadores. Consiste en simular una llamada comercial para grabar la voz del consumidor. Para ello hacen alguna pregunta y cuando contestas ‘Sí’, los estafadores lo utilizan para suscribirte a servicios de pago.

La primera norma es no confirmar nunca ni reenviar ningún código recibido por SMS. Si el consumidor duda, lo mejor es llamar al banco y preguntar al respecto. Los propios bancos cuentan con unidades especializadas en fraude que pueden actuar con rapidez. También se puede presentar una denuncia a la policía, que recomienda actuar cuanto antes.

El año 2026 podría marcar un punto de inflexión en la ciberseguridad global, según el más reciente informe de Experian, que advierte sobre la inminente llegada de una nueva ola de ataques cibernéticos impulsados por inteligencia artificial. La compañía señala que estas amenazas serán más sofisticadas y personalizadas, lo que plantea desafíos inéditos tanto para empresas como para consumidores.

El informe anticipa que los ciberdelincuentes aprovecharán tecnologías emergentes para diseñar ataques más difíciles de detectar y combatir. Michael Bruemmer, vicepresidente de Resolución Global de Brechas de Datos en la firma, advierte que “la tecnología está evolucionando a una velocidad vertiginosa, y los ciberdelincuentes suelen ser los primeros en adoptar herramientas como la IA para superar las defensas y explotar vulnerabilidades”.

Bruemmer destaca que, aunque las organizaciones pueden emplear estas mismas innovaciones para fortalecer su seguridad, deben estar preparadas para gestionar las consecuencias de posibles incidentes.

En tanto, se identifica seis tendencias clave que definirán el panorama de amenazas en 2026. Entre ellas, sobresale el uso de inteligencia artificial para crear identidades sintéticas, capaces de engañar incluso a los sistemas de verificación más avanzados. Además, la irrupción del cómputo cuántico podría abrir nuevas brechas en la protección de datos, mientras que los agentes autónomos de IA y el malware cambiante permitirán a los atacantes adaptar sus métodos en tiempo real para evadir la detección.

El informe también alerta sobre la aparición de vulnerabilidades en interfaces cerebro-computadora, una tecnología emergente que conecta dispositivos directamente con el cerebro humano. Estas innovaciones amplían el espectro de riesgos y exigen una vigilancia constante por parte de los equipos de seguridad.

Las investigaciones entre consumidores de Estados Unidos y Reino Unido revelan un aumento en la preocupación por el impacto de la inteligencia artificial en la seguridad personal. Más de cuatro de cada cinco encuestados expresan inquietud ante la posibilidad de que la IA se utilice para crear identidades falsas prácticamente indistinguibles de las reales.

El informe destaca que las generaciones más jóvenes, especialmente los millennials, se encuentran entre los grupos más vulnerables. Uno de cada cuatro adultos millennials consultados afirma haber sido víctima de robo de identidad en el último año, y casi una cuarta parte reconoce haber caído en ataques de phishing en el hogar o en el trabajo durante los últimos 12 meses. Asimismo, muchas víctimas sienten que las empresas no están preparadas para proteger sus datos ni para responder adecuadamente tras una brecha de seguridad.

El entorno descrito por el informe plantea interrogantes sobre la capacidad de las empresas para anticipar y responder a amenazas cada vez más avanzadas. Jim Steven, director de Servicios de Crisis y Respuesta a Datos en la compañía, sostiene que “estamos entrando en una nueva era en la que los ciberataques ya no se limitan a robar datos; ahora buscan manipular la realidad”.

Steven insiste en que las organizaciones deben adoptar una postura proactiva, utilizando la tecnología no solo para defenderse, sino también para prepararse ante posibles incidentes y minimizar su impacto.

Durante la primera mitad de 2025, se identificó más de 8.000 brechas de datos a nivel mundial, con aproximadamente 345 millones de registros expuestos. Entre los clientes de la compañía, Estados Unidos, Reino Unido y Canadá figuran como los países más afectados por estos incidentes, lo que subraya la dimensión global del desafío.

Frente a este escenario, los autores dele estudio reiteran la necesidad de que empresas y consumidores adopten medidas inmediatas y sostenidas para fortalecer su seguridad digital. La velocidad y sofisticación de las amenazas exigen una respuesta ágil y coordinada, capaz de anticipar los movimientos de los ciberdelincuentes y proteger los activos más sensibles.

El futuro de la ciberseguridad dependerá de la capacidad de adaptación y preparación de todos los actores involucrados, en un contexto donde la innovación tecnológica redefine constantemente los límites de la protección digital.

La investigación en curso sobre la reciente filtración masiva de datos en Corea del Sur determinó la participación de, al menos, un exempleado de nacionalidad china, quien ya abandonó el país, según reportó la agencia de noticias Yonhap. Las autoridades surcoreanas consideran que este caso sobrepasa ampliamente la magnitud de anteriores incidentes similares, incluido el de abril pasado que afectó a SK Telecom, en el que se expusieron datos de 23,2 millones de personas y se impuso una sanción récord de 134.800 millones de wones (aproximadamente 90 millones de euros). El incidente actual destaca como la mayor vulneración de privacidad de la que se tiene registro en el país asiático, involucrando a uno de los actores principales del comercio electrónico.

Según informó Yonhap, la compañía Coupang detectó la brecha el 18 de noviembre y, tras informarlo a las autoridades al día siguiente y el 20 de noviembre, notificó inicialmente que solo 4.500 clientes resultaron afectados. Sin embargo, la escala del ataque resultó mucho más extensa: 33,7 millones de usuarios vieron cómo información sensible quedaba expuesta. Los datos comprometidos incluyen nombres, números de teléfono, direcciones de correo electrónico y de entrega, aunque, de acuerdo con la empresa, la información de pago, las credenciales de inicio de sesión y los números de tarjetas de crédito no se vieron comprometidos. La empresa comunicó públicamente que la filtración tuvo su origen el 24 de junio, cuando se produjo el primer acceso no autorizado a través de servidores radicados en el extranjero.

En un comunicado recogido por Yonhap, Coupang ofreció disculpas públicas y detalló que tomó medidas inmediatas, como el bloqueo de la ruta utilizada para el acceso indebido y la implementación de controles internos ampliados para vigilar cualquier anomalía adicional. "La investigación continúa y Coupang sigue colaborando con las autoridades policiales y reguladoras", aseguró la compañía, destacando su intención de cooperar de manera plena durante el proceso de esclarecimiento.

El alcance de la filtración motivó al Gobierno surcoreano a organizar una reunión de emergencia entre los ministerios involucrados para coordinar la respuesta institucional al ciberataque. La sesión fue presidida por Bae Kyung hoon, ministro de Ciencia y TIC, quien enfatizó el compromiso del Estado en realizar una pesquisa exhaustiva que permita establecer responsabilidades y reforzar los mecanismos de seguridad digitales. De acuerdo con fuentes citadas por Yonhap, la policía surcoreana identificó rápidamente a un sospechoso como principal responsable de la vulneración, centrándose en la búsqueda de un antiguo trabajador de Coupang, cuyo paradero se encuentra fuera de Corea del Sur.

El medio Yonhap detalló que la escala de la filtración supera episodios previos en el entorno digital surcoreano y se produce en un contexto de creciente actividad cibernética en la región. Solo unos días antes, la plataforma surcoreana de intercambio de criptomonedas Upbit, operada por Dunamu, sufrió un ataque perpetrado supuestamente por el grupo norcoreano conocido como 'Lazarus'. En ese caso, la sustracción ilegal alcanzó los 44.500 millones de wones (equivalentes a 26,2 millones de euros), mediante una transferencia sin autorización relacionada con la criptodivisa Solana. Dunamu comunicó que cubrirá íntegramente el monto comprometido utilizando recursos propios, según confirmó la agencia Yonhap.

La filtración que afecta a Coupang movilizó tanto a la esfera empresarial como a las instituciones estatales, que se enfrentan al desafío de restaurar la confianza de millones de ciudadanos cuyos datos quedaron expuestos. La comparación con filtraciones anteriormente consideradas de gran magnitud pone en relieve el incremento en la frecuencia e impacto de los ataques informáticos en Corea del Sur, que en 2023 ya habían generado alerta a raíz de sanciones severas tras brechas en otras grandes compañías tecnológicas. Además, la procedencia internacional del ingreso no autorizado, según las primeras averiguaciones, introduce el componente de ciberseguridad transfronteriza y la dificultad añadida para rastrear y procesar judicialmente a los responsables identificados.

En el comunicado emitido a través de Yonhap, Coupang subrayó la intención de fortalecer sus sistemas de protección y seguir colaborando en las tareas de investigación iniciadas por la policía y los reguladores del sector. Las autoridades han manifestado que continuarán con las labores de seguimiento para evitar filtraciones de datos de este alcance en el futuro, mientras avanzan en las pesquisas para determinar la ruta seguida por los atacantes y el destino final de la información sustraída. La magnitud del incidente quedó en evidencia al comparar los 33,7 millones de registros afectados con el anterior récord nacional, cristalizando una preocupación creciente por la seguridad de los datos personales en el ámbito digital surcoreano, según señaló Yonhap.

Iberia ha alertado a algunos de sus clientes de la posible filtración de datos personales tras identificar la semana pasada un ciberataque dirigido a los sistemas de uno de sus proveedores. Las víctimas potenciales del han recibido notificaciones donde se detalla que la brecha permitió acceder a información como nombre, apellidos, correo electrónico, teléfono y número de la tarjeta Iberia Club, el programa de fidelización de la compañía aérea española, que ahora se enfrenta también a la actualización de los equipos informáticos de parte de su flota por el fallo de seguridad en los aviones Airbus A320.

El pasado domingo 23 de noviembre, la compañía detectó el incidente tras notar un acceso no autorizado en el sistema de un tercero encargado del almacenamiento y gestión de determinados datos. De inmediato, Iberia se puso en contacto con los potenciales afectados y activó su protocolo de seguridad, reforzando controles internos y bloqueando la posibilidad de modificar aspectos críticos como la dirección de correo electrónico en las cuentas afectadas.

Después de darse a conocer la brecha de seguridad, el grupo de ‘hackers’ Everest intentó extorsionar a la aerolínea pidiendo 6 millones de dólares (5,18 millones de euros) a Iberia a cambio de no hacer públicos los datos extraídos, según comunicó la firma de ciberseguridad HackManac en la red social X (antes Twitter).

Pese a que los ciberatacantes han podido hacerse con información de los viajeros, Iberia insiste en que las credenciales de acceso, contraseñas y datos completos de tarjetas bancarias no están comprometidos, por lo que no existe riesgo de que estos medios de pago sean utilizados fraudulentamente. Para tranquilidad de los viajeros, la compañía también ha dejado claro que la seguridad de los vuelos y la operatividad de su sistema central no se han visto amenazadas y no se han registrado alteraciones en la normalidad operativa.

No se han detectado usos fraudulentos

Algunos códigos de reserva de vuelos futuros se encuentran también entre los datos sustraídos, aunque no existen indicios de que hayan sido empleados de manera fraudulenta. A pesar de que la investigación continúa abierta, tanto a nivel interno como con el proveedor implicado, Iberia no ha detectado hasta ahora un uso inadecuado de la información filtrada.

Adicionalmente, la compañía ha puesto a disposición un número de teléfono gratuito para hacerles llegar cualquier sospecha o irregularidad, recomendando mantenerse alerta ante posibles correos o mensajes inusuales en los próximos días.

La aerolínea refuerza sus sistemas de seguridad

Iberia notificó formalmente lo ocurrido a la Agencia Española de Protección de Datos (AEPD), al Instituto Nacional de Ciberseguridad (INCIBE) y a la Unidad Central Operativa de la Guardia Civil (UCO), detallando a todas las autoridades competentes que el acceso externo solo afectó a un sistema de intercambio de información no operacional ni relevante para la gestión de vuelos.

Entre las medidas adicionales adoptadas por la compañía aérea figura la implantación de sistemas de autenticación reforzados para limitar el riesgo de nuevas acciones no autorizadas sobre las cuentas de los pasajeros, así como la monitorización activa de actividades inusuales en todas sus plataformas digitales. La empresa lamenta los inconvenientes derivados de este suceso y asegura a los usuarios que, en caso de actualización de la situación, serán notificados de inmediato.

Autoridades y analistas en Corea del Sur consideran que el grupo norcoreano Lazarus podría estar vinculado al reciente robo de aproximadamente 44.500 millones de wones (30,4 millones de dólares) a Upbit, la mayor plataforma de criptomonedas del país.

La investigación inicial señala que el método utilizado, posiblemente mediante acceso o suplantación de cuentas administrativas, guarda similitudes con ataques previos de Lazarus, según informaron fuentes consultadas por la agencia Yonhap.

“Hemos confirmado que algunos activos de la red Solana, con un valor aproximado de 54.000 millones de wones, se transfirieron a una dirección de billetera externa no autorizada a las 4:42 hora local (19:42 GMT del miércoles)”, informó en un comunicado la firma Dunamu, empresa matriz del exchange de criptomonedas Upbit.

El gobierno recordó que en 2019 la misma plataforma fue blanco de un golpe mayor atribuido a este grupo, cuando fueron sustraídos 580.000 millones de wones (396 millones de dólares) aprovechando el acceso a ‘hot wallets’ —carteras de criptomonedas con conexión constante a internet—. En el caso actual, los atacantes emplearon técnicas de transferencia y dispersión de fondos conocidas como ‘hopping’ y ‘mixing’, asociadas frecuentemente a Lazarus y diseñadas para dificultar el rastreo del dinero.

Dunamu, la empresa operadora de Upbit, confirmó el ciberataque el jueves y ajustó la cantidad afectada a la cifra actualmente reportada, tras una revisión de los daños iniciales. Por prevención, la compañía suspendió temporalmente algunas transacciones y comunicó que asumirá la totalidad de las pérdidas con fondos propios y medidas adicionales de protección.

“Estamos realizando una revisión exhaustiva de la estabilidad y seguridad de todo el sistema de depósito y retiro de activos digitales, no solamente de la red Solana. Los servicios de depósito y retiro se reanudarán de forma secuencial tan pronto como se garantice la seguridad”, añadió el comunicado urgente emitido el miércoles.

El ataque coincidió con el anuncio de la adquisición de Dunamu por parte de la tecnológica Naver Financial, lo que algunos expertos creen que podría deberse a un intento de notoriedad por parte de los responsables del ciberataque. En reacción al incidente, las acciones de Naver cayeron 4,55%.

El operador de Upbit afirmó que la prioridad de la plataforma son sus activos y aseguró que “hará todo lo posible para brindar un servicio más seguro, apoyado en un sistema de seguridad reforzado”.

El Servicio de Supervisión Financiera surcoreano (FSS), la Agencia de Seguridad de Internet (KISA) y otros organismos siguen con las inspecciones en Upbit para determinar el alcance y origen del incidente.

Los hackers vinculados a Corea del Norte robaron 2.000 millones de dólares en lo que va del año

Hackers asociados al régimen norcoreano mantuvieron durante años su actividad centrada en el robo de criptoactivos y, en lo que va de 2025, ya superaron los 2.000 millones de dólares en activos sustraídos, marcando un nuevo récord.

Naciones Unidas y distintas agencias gubernamentales sostienen que estos robos constituyen una fuente de financiamiento para los programas norcoreanos de desarrollo nuclear y de misiles.

La estimación acumulada de fondos robados por estos grupos supera los 6.000 millones de dólares, aunque la cifra real podría ser mayor, ya que no todos los incidentes son denunciados ni atribuidos en forma definitiva a actores vinculados a Corea del Norte, de acuerdo con un análisis de la firma de seguridad Elliptic.

La tecnología blockchain facilita el rastreo de estos activos, lo que permitió vincular a hackers norcoreanos con el robo de 1.460 millones de dólares en la plataforma de intercambio de criptomonedas Bybit en febrero. Además, este año se han registrado ataques relacionados con Corea del Norte en los servicios LND.fi, WOO X y Seedify. Según Elliptic, se atribuyeron a grupos norcoreanos más de 30 robos durante 2025.

(Con información de EFE y Europa Press)

En plena temporada navideña y con con la semana de descuentos por el Black Friday, las autoridades han creado la iniciativa llamada Micropodcast. Una campaña de precaución compartida a través de los distintos perfiles de la Policía Nacional.

La sencillez de este programa permitirá a los ciudadanos acceder a través de los perfiles de WhatsApp, X , Facebook o plataformas de podcast, descargar o escuchar a un audio de poco más de un minuto con diferentes consejos. Será un podcast de un minuto, narrado por agentes de la Unidad Central de Ciberdelincuencia, para explicar de forma sencilla las estafas digitales más comunes y cómo evitarlas.

El primer micropodcast se centra en el ‘skimming’. Esta práctica delictiva consiste en la extracción de los datos de nuestra tarjeta bancaria. Los ciberestafadores hacen llegar a las víctimas un mensaje de texto en el que, entre otras modalidades, pueden hacerse pasar por empresas de paquetería. En este mensaje, se advierte que se ha realizado sin éxito la entrega de un paquete. Las víctimas cliclan en un enlace y añaden sus datos para facilitar la llegada de su paquete. Ahí es cuando son estafados.

Black Friday y compras online

El Black Friday supone el 25% de las compras anuales en comercios online. La Organización de Consumidores y Usuarios (OCU) advierte que la realidad es otra y que solo uno de cada tres productos se abarata de verdad durante esta campaña de rebajas.

“Durante el Black Friday las personas no se comportan de forma irracional o patológica, sino en coherencia con las condiciones del contexto”, apunta el psicólogo Pablo Ruisoto. Con estas afirmaciones, revela que durante esta época del año la gente solo está ansiosa por comprar. Por eso mismo los ciberestafadores aprovechan esta temporada.

Los responsables policíales recomiendan recurrir a comercios de confianza y páginas webs seguras. Sobre todo remarcan que estas páginas cuenten con certificados de encriptación. Así como evitar transferencias bancarias o pagos con trajetas de crédito.

“Hay que recelar siempre si nos piden documentación personal o claves de acceso online; también si nos instan a realizar la compra online con urgencia”, recuerdan desde la Unidad Central de Ciberdelincuencia.

En esta nueva campaña también se tratarán las estafas como la de cambio de factura. Los ciberdelincuentes son capaces de infiltrarse en comunicaciones reales entre empresas y proveedores para modificar facturas legítimasy redirigir pagos a cuentas que controlan.

Otra táctica bastante frecuente, y dirgida a víctimas de mediana o tercera edad, es la estafa del amor. Los estafadores crean perfiles falsos, con fotos de personas famosas o atractivas y crean un vínculo con la víctima, para más tarde poder pedirles dinero.

Ciberdelitos en 2025

El año pasado muchas empresas e instituciones sufrieron ciberataques en España. Entre los afectados hubo grandes compañías del Ibex35, como el Banco Santander, Telefónica o Iberdrola.

A principios de año, se conoció que los correos electrónicos y usuarios 180.000 miembros de la Guardia Civil, las Fuerzas Armadas y de personal del Ministerio de Defensa habían sido filtrados y puestos a la venta. Y más reciente, el pasado octubre Mango entró a la lista de empresas que han sufrido un ataque informático en 2025.

La campaña promete seguridad y concienciación sobre el consumo online, cada vez más presente en nuestra sociedad.

La Fiscalía General del Estado de Guanajuato (FGEG) fijó postura tras la primera filtración masiva de datos sensibles derivada del ciberataque atribuido al grupo internacional de hackers identificado como “Tekir APT”, el cual comenzó a difundir archivos sustraídos de la infraestructura digital del organismo.

En concreto, la institución confirmó la apertura de una carpeta de investigación y aseguró que informará “de manera gradual, responsable y transparente los hallazgos que puedan hacerse públicos sin poner en riesgo ninguna investigación”.

La respuesta institucional llega después de que especialistas en ciberseguridad verificaran la publicación de un volumen aproximado de 70 gigabytes (GB) de información interna, la cual incluye bases de datos, documentos de investigación y registros operativos de la fiscalía estatal.

Acciones oficiales en Guanajuato tras la filtración de datos en la web

En su posicionamiento, la institución señaló que el Ministerio Público agotará todas las líneas de investigación para identificar el origen del ataque y evaluar el impacto real en la infraestructura digital.

Sobre esa línea, el documento establece que se actuará “sin escatimar esfuerzos técnicos, físicos, forenses, tecnológicos o de cualquier otra índole, hasta esclarecer plenamente los hechos”.

Además, confirmó un conjunto de acciones inmediatas orientadas a contener y analizar la intrusión:

• Análisis técnico y forense de infraestructura, sistemas y bases de datos “para determinar con precisión el origen, la naturaleza y el alcance del incidente”.
• Aislamiento y desconexión inmediata de equipos afectados y revisión de accesos privilegiados como parte de los “protocolos de contención, aislamiento y mitigación”.
• Apertura de la carpeta de investigación, vigente desde el momento en que “un grupo intentó adjudicarse el ataque y se aseguraron los entornos comprometidos”.
• Notificación a autoridades competentes en materia de ciberseguridad, con el objetivo de garantizar una revisión “independiente, especializada y con plena trazabilidad”.
• Refuerzo temporal de controles internos y fortalecimiento de mecanismos de protección de información sensible.

La fiscalía reiteró que estas medidas forman parte de un proceso de recuperación progresiva luego de que sus plataformas digitales permanecieran fuera de operación desde el ocho de noviembre.

Garantías sobre protección de información y evaluación del daño

En su comunicado, la institución afirmó que la ciudadanía puede tener certeza de que su información personal no se encuentra en riesgo. Según el análisis forense preliminar, “el porcentaje de los equipos vulnerados fue del uno punto siete por ciento del total de la infraestructura en este rubro”.

Finalmente, agregó que “los servicios continúan brindándose” y que cualquier información adicional se difundirá conforme avance el restablecimiento pleno, pero siempre bajo criterios de rigor técnico y legal.

El despliegue del ciberataque y la primera respuesta de Tekir APT

El posicionamiento institucional ocurre después de que “Tekir APT ”difundiera su primer bloque de archivos robados. El grupo aseguró haber extraído más de 250 GB de información —incluyendo expedientes penales, bases de datos completas y documentos clasificados— y comenzó su liberación luego de que presuntamente no se cumpliera la fecha límite del veinte de noviembre que fijaron para negociar.

Mientras tanto, la fiscalía sostiene que la investigación seguirá todas las vías necesarias: “La información que se ha mostrado o circula públicamente ya fue restablecida”, señalaron, subrayando que continúan los trabajos de recuperación y diagnóstico técnico.

Fortalecimiento de seguridad digital y continuidad operativa para la justicia de Guanajuato

El principal órgano de justicia de Guanajuato destacó que reforzó temporalmente sus mecanismos internos de protección de datos, implementó monitoreo constante de tráfico inusual y fortaleció los controles sobre información sensible.

La institución concluyó que ofrecerá actualizaciones únicamente cuando sea posible hacerlo “sin comprometer el debido desarrollo de la investigación”, al tiempo que reiteró su compromiso con la seguridad de los sistemas, la protección de datos personales y la continuidad operativa del organismo.

Iberia ha informado de un ciberataque que ha comprometido determinados datos personales de sus clientes. La aerolínea ha denunciado lo ocurrido ante la Unidad Central Operativa de la Guardia Civil (UCO), la Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Ciberseguridad (INCIBE). El acceso no autorizado se ha producido en un sistema alojado y administrado por un proveedor externo, lo que ha permitido la extracción de información no relacionada con las funciones operativas de la aerolínea.

La compañía asegura que la seguridad de los vuelos no se ha visto afectada en ningún momento, dado que el sistema afectado solo se usa para almacenar y compartir información y no está conectado a los sistemas que Iberia utiliza para operar sus vuelos.

Tipo de datos comprometidos

Según las investigaciones preliminares comunicadas por la aerolínea, los datos obtenidos por los atacantes incluyen nombre, apellidos y direcciones de correo electrónico. En menor medida, también se ha visto afectada información como números de teléfono y el número de identificación o afiliación a la tarjeta de fidelización Iberia Club.

La compañía ha aclarado que no se han obtenido “ningún dato completo ni usable de medios de pago ni tampoco claves de acceso a las cuentas de Iberia”, según ha informado EFE. Esto significa que los datos sensibles relacionados con tarjetas bancarias u otros métodos de pago no han quedado expuestos en el incidente, reduciendo así el riesgo potencial de uso fraudulento en transacciones económicas.

La aerolínea también ha confirmado que se han extraído algunos códigos de reserva de vuelos futuros. No obstante, indica que “de momento, no hay constancia de que se haya realizado alguna actividad fraudulenta con estos datos”, según el comunicado al que ha tenido acceso la agencia de noticias.

Medidas adoptadas tras el incidente

Iberia ha iniciado el proceso de comunicación individual a todos los clientes afectados. Al mismo tiempo, la compañía ha activado medidas de seguridad adicionales para evitar usos indebidos de la información obtenida. Entre esas acciones destaca la implantación de un doble factor de autenticación para todos los usuarios afectados, de modo que solo ellos puedan acceder, modificar o gestionar sus reservas a través de la aplicación, la web o el centro de atención telefónica.

La aerolínea insiste en que el repositorio atacado es un sistema de comunicación gestionado por un tercero y que los datos almacenados en él son limitados, por lo que los sistemas críticos vinculados a la seguridad de los vuelos no han estado en riesgo en ningún momento.

Para facilitar la detección temprana de posibles irregularidades, Iberia ha habilitado un número de atención específico: 900 111 500, disponible para que los clientes comuniquen cualquier sospecha, anomalía o incidencia relacionada con el incidente.

Recomendaciones y seguimiento del caso

Como prevención adicional, Iberia ha pedido a los clientes afectados que extremen la precaución ante posibles comunicaciones que se hagan pasar por la compañía y soliciten información personal o acciones inusuales.

El caso será investigado por parte de la UCO, la Agencia de Protección de Datos y el INCIBE, organismos a los que la aerolínea notificó el incidente inmediatamente después de detectarlo.

Según el comunicado oficial, Iberia lamenta las molestias ocasionadas a los usuarios afectados y asegura estar “poniendo todos los medios a su alcance para mitigar los efectos de incidente y evitar que pueda repetirse en el futuro”.

La señal de los televisores cayó de golpe. Primero, como un golpe seco, la pantalla en negro. Después, un estallido de líneas torcidas, un temblor que hacía ondular la imagen como si el televisor se derritiera desde adentro. Y entonces, apareció... Una cara de goma, rígida y burlona, con lentes oscuros y movimientos espasmódicos, irrumpió en los hogares de Chicago la noche del 22 de noviembre de 1987. Fueron segundos, pero suficiente para sembrar desconcierto y hasta miedo. En las casas no sabían se trataba de alguna falla técnica o un accidente de trasmisión. En los canales entendieron que era un ataque preciso, calculado, y logrado en una época en la que la televisión se creía invulnerable.

La máscara imitaba a Max Headroom, un conductor animado en 3D de una serie televisiva nacida en 1985. En 1987, cuando casi todos los televisores dependían de antenas analógicas, la idea de que alguien pudiera irrumpir en vivo parecía imposible. Por eso, cuando la transmisión deportiva de WGN-TV cayó y el periodista deportivo Dan Roan quedó mirando fuera de cámara, desconcertado, su reacción fue tan genuina como histórica. “Bueno, si se preguntan qué pasó, yo también”, dijo al aire, incapaz de explicar lo que acababan de ver millones de espectadores.

Minutos después, el canal WTTW, también cayó víctima del intruso: dos interrupciones, mensajes crípticos, un cuerpo contorsionándose bajo una máscara plástica y ningún sospechoso a la vista. La Comisión Federal de Comunicaciones inició una investigación que llevó a revisar torres de señales, transmisores y convocó a ingenieros: no encontró nada. El caso aún es un enorme interrogante.

La irrupción y el rostro digital

Chicago, domingo 22 de noviembre de 1987, 21:00 horas. Dan Roan, periodista deportivo del canal WGN-TV, comentaba la victoria del equipo local cuando la imagen comenzó a descomponerse. Las líneas horizontales recorrieron la pantalla hasta que Roan desapareció. En su lugar, un hombre con una máscara rígida de Max Headroom se movía frente a un fondo metálico improvisado, que parecía una pesada cortina; se balanceaba de lado a lado. No pronunció palabra, no dejó un mensaje que explicara qué hacía ahí. Solo estaba, burlón, inquietante. Fueron veinticinco segundos que parecieron eternos.

Cuando los técnicos recuperaron la señal, Roan continuó como si nada hubiera pasado y sin saber que su desconcierto había salido al aire... Luego, admitió lo obvio: no tenía idea de qué había ocurrido.

Dos horas después, mientras el canal WTTW transmitía Doctor Who, la intrusión volvió. Esta vez, con más ganas de molestar, hizo una puesta en escena grotesca: de la máscara rígida, que ahora hacía movimientos espasmódicos, salió voz distorsionada que decía frases sin sentido (al menos entonces no se interpretó o pocos lo hicieron), daba referencias a caricaturas viejas, hacía bromas que ineludiblemente tenían un destino, pero que eran imposibles de descifrar. Al final del momento bizarro, se inclinó, mostró las nalgas y fue golpeado con un insecticida...

Cuando el canal recuperó el control de la señal, ya todo había sucedido. Al día siguiente, los medios se refirieron al caso como “piratería televisiva”. Nadie pudo explicar cómo ni por qué pasó lo que pasó.

La elección de la imagen de Max Headroom no fue aleatoria. Nacido en la televisión británica de principios de los 80 como una serie de ciencia ficción con estética cyberpunk, Max prometía ocurrir “veinte minutos en el futuro”. Creada por George Stone, Rocky Morton y Annabel Jankel, e interpretada por el actor Matt Frewer, mezclaba sátira, tecnología y un humor incómodo que parecía anticipar la relación distorsionada entre pantallas y poder. Su protagonista, Max —un conductor televisivo “generado por computadora” en apariencia, pero interpretado por un actor envuelto en maquillaje y efectos analógicos— se convirtió en un fenómeno apenas salió al aire: un rostro rígido, que tartamudeaba, que aparecía no solo en la serie, sino también en videoclips y publicidades televisivas. Era el primer intento de imaginar una inteligencia artificial con personalidad propia, y su estética metálica y distorsionada fue parte de toda una generación.

La historia de Max sucedía en un futuro gobernado por canales de televisión que controlaban gobiernos, leyes e incluso los pensamientos de la audiencia. Edison Carter, periodista de investigación, se negaba a someterse al sistema y exponía sus abusos infiltrándose en sus propias señales. Durante un accidente, su mente fue copiada para crear a Headroom, una versión digital imperfecta, tartamuda y burlona que se convertiría en su alter ego mediático. El intruso que irrumpió en las señales de Chicago recreó esa estética de manera artesanal: un fondo metálico movido a mano, cables simulando interferencias, iluminación precaria. Era una versión torpe, siniestra, un reflejo distorsionado del futuro digital convertido en pesadilla.

Durante unos días en Chicago se especuló sobre el incidente: ¿Se trató de un técnico con acceso privilegiado? ¿Fueron estudiantes de ingeniería? ¿O habría sido obra de unos radioaficionados expertos? Incluso surgieron teorías que lo interpretaban como un acto de guerrilla mediática en plena era de Ronald Reagan. Quizás se trató de una motivación política, protesta o simple travesura: nada encajó. Y el intruso, fiel a su máscara, nunca habló.

La cultura hacker y la investigación del fantasma televisivo

Para entender todo lo que significó esa intrusión es necesario pensar en el mundo de los años 80, cuando la palabra ciberseguridad prácticamente no existía. La televisión era analógica, territorial, vulnerable en los bordes. Para tomar su señal bastaba con interferir físicamente en la frecuencia correcta, con equipos potentes, antenas bien ubicadas y quien tuviera los conocimientos precisos para lograr el cometido, podría hacerlo.

Era la era temprana del hacker liderada por curiosos, ingenieros, especialista en sistemas telefónicos, estudiantes universitarios jugando con sistemas analógicos, computadoras personales y redes incipientes. En Chicago, con sus torres altas, había cantidad de señales y una comunidad activa de radioaficionados; un escenario ideal para la floreciente ciberdelincuencia. La Comisión Federal de Comunicaciones (FCC) estimó que el intruso debía estar en un punto alto, con una línea directa a las antenas de los respectivos canales: un equipo portátil, visible, pero completamente viable. Y sin embargo, nadie lo vio. Y los que lo hicieron no dejaron rastros.

Los ingenieros de los canales WGN y WTTW revisaron transmisores, paneles de control y registros. La FCC abrió una investigación inusual para aquel tipo de incidente: entrevistó empleados, rastreó transmisiones ilegales, revisó hasta los registros de frecuencia, pero nada los llevó hasta el hombre de la máscara ni al que hackeó las señales. Con el tiempo, surgieron docenas de sospechosos, entre ellos, un estudiante experto en banda ancha, un exempleado de uno de los canales, fanáticos de Doctor Who.. Incluso dos hermanos radioaficionados, pero ninguno de ellos tenía la capacidad técnica ni con la potencia necesaria para hacerlo.

Sí quedó en claro para los investigadores que aquel entrometido conocía bastante la infraestructura de Chicago y hasta las franjas horarias de las grillas televisivas porque eligió horarios estratégicos, los canales más vistos y supo cómo crear un estilo para desconcertar. Pese a todo, aún no sabe quién estaba detrás de esa máscara.

La Fiscalía General del Estado de Guanajuato (FGEG) enfrenta la fase más crítica del ciberataque que mantiene paralizados sus sistemas desde el pasado 8 de noviembre. Este jueves, el grupo internacional de hackers identificado como Tekir APT comenzó a filtrar información confidencial sustraída de los servidores institucionales.

De acuerdo con especialistas en ciberseguridad, el volumen de archivos publicados supera ya los 10 Gigabytes (GB); es decir, apenas una fracción de los más de 250 GB que los atacantes aseguran haber robado.

La filtración fue detectada durante la madrugada en foros de ciberdelincuencia, donde Tekir APT difundió enlaces y capturas de pantalla como “prueba” de acceso. Organizaciones como “Sonora Cibersegura”, el sitio Botcrawl y el periodista especializado Ignacio Gómez Villaseñor verificaron que los archivos corresponden a bases de datos internas de la fiscalía estatal.

Entre la información divulgada se encuentran registros de personas detenidas, bases de datos de vehículos robados, documentos de investigación, comunicaciones internas, así como capturas de cámaras de seguridad recientemente almacenadas, actualizadas hasta octubre de 2025.

También aparecen datos personales de funcionarios como teléfonos, direcciones y credenciales institucionales, lo que incrementa el nivel de riesgo para el personal operativo.

Alto riesgo por hackeo de información

Los especialistas coinciden en que el material filtrado procede de los sistemas de la fiscalía guanajuatense y que el ataque representa uno de los incidentes de ciberseguridad más graves registrados en una institución de procuración de justicia en México.

Según Hackmanac, la consultora internacional que difundió los primeros indicios del ataque, Tekir APT aseguró haber “comprometido y cifrado todos los subdominios”. Además de borrar respaldos y extraer más de 250 GB de archivos, incluidos expedientes judiciales y comunicaciones clasificadas.

Mientras tanto, la Fiscalía General del Estado de Guanajuato mantiene su postura oficial de negar que haya sido víctima de un secuestro de información. Primero atribuyó la caída de sus sistemas a una “revisión preventiva de controles de seguridad”. Posteriormente, habló de “un virus que habría afectado a 60 equipos”.

Sin embargo, empleados de distintas áreas reportan que desde hace casi dos semanas trabajan de forma manual ante la imposibilidad de acceder a las plataformas internas.

Las amenazas de Tekir APT continúan: el primer filtrado en la web

La narrativa oficial contrasta con los mensajes difundidos por Tekir APT. En su último comunicado, el grupo aseguró que se ignoraron sus advertencias, negó la intrusión y rechazó establecer contacto. “Afirmaron que los datos que extrajimos no tenían valor y se negaron a contactarnos”, escribieron en inglés. También acusaron que las autoridades “silenciaron” el incidente.

Como parte de la presión, los atacantes cumplieron su amenaza de comenzar la liberación de información este 20 de noviembre, fecha límite que habían fijado para el pago del presunto rescate.

Según su mensaje, los datos extraídos incluyen “todos los expedientes penales en poder de este órgano de justicia, información detallada sobre la estructura interna, datos personales de funcionarios, grabaciones de cámaras municipales, bases de datos SQL completas y comunicaciones internas”.

Además, difundieron más de 70 GB de antecedentes penales correspondientes a los últimos años. Esto con la advertencia de que aún poseen una cantidad mayor de archivos que no han sido publicados.

Ciberataque en medio del dominio y la violencia del narco en Guanajuato

En entrevista con Proceso, Ignacio Gómez Villaseñor explicó que la filtración es especialmente delicada debido al contexto de violencia en Guanajuato, donde grupos criminales han buscado igualmente acceder a información institucional:

“La información es sumamente sensible; cualquier filtración puede acabar en algo gravísimo”, señaló. También advirtió que el ataque podría tener participación interna, dada la precisión del acceso y el conocimiento de contraseñas débiles.

Sobre ese mismo tenor, recordó que las fiscalías del país llevan varios años enfrentando vulneraciones constantes: San Luis Potosí, Oaxaca, Michoacán, Estado de México, Chihuahua y Nuevo León han sufrido hackeos recientes, este último durante casi diez meses y con la intervención de un funcionario de la misma institución.

En Guanajuato, la magnitud del ataque motivó al secretario de Gobierno estatal, Jorge Jiménez Lona, a exigir públicamente que el fiscal Gerardo Vázquez informe de manera clara lo que está ocurriendo y confirme si la información filtrada corresponde a los sistemas institucionales.

El martes 18 de noviembre de 2025, Cloudflare sufrió una caída global que interrumpió los servicios de plataformas como X, ChatGPT y League Of Legends durante varias horas. A pesar del revuelo generado y las especulaciones iniciales, su CEO, Matthew Prince, aseguró que la causa raíz no estuvo relacionada con ciberataques ni acciones maliciosas, sino con un error interno en el manejo de su infraestructura.

“El problema no fue causado, ni directa ni indirectamente, por un ciberataque ni por ninguna actividad maliciosa”, aseveró Matthew.

El origen del fallo según Cloudflare y la evolución del incidente

Según Cloudflare, el problema se desató después de un cambio en los permisos de una base de datos interna, que derivó inesperadamente en la generación de miles de líneas adicionales en un archivo utilizado por el módulo de gestión de bots, conocido como feature file. La función de este archivo es actualizar y mantener actualizados los patrones usados para distinguir entre tráfico humano y tráfico automatizado en toda su red.

El ajuste, que en principio no debía tener consecuencias, provocó que el archivo creciera a un ritmo inusual, duplicando su tamaño hasta superar la capacidad máxima gestionable por el software.

La mala configuración se distribuyó rápidamente por la red global de Cloudflare, lo que desencadenó fallos progresivos: desde errores al cargar páginas hasta el colapso de varios servicios internos y, finalmente, la caída de varios sitios en todo el mundo.

La compañía reaccionó deteniendo la generación del archivo defectuoso y sustituyéndolo con una versión sin errores. Este paso fue clave para frenar el efecto dominó y permitió una recuperación paulatina de todos los sistemas. Con el paso de las horas, Cloudflare informó la restauración completa de su infraestructura y el fin del incidente.

Evaluación del impacto y medidas preventivas

Matthew Prince reconoció la gravedad de la caída, calificándola como la peor interrupción desde 2019 para Cloudflare. El CEO admitió que el evento demuestra cuán vulnerable puede ser incluso un sistema global a causa de un error interno.

En respuesta al incidente, la compañía se comprometió a reforzar los controles internos y a implementar protocolos de apagado rápido que impidan la propagación de archivos defectuosos en el futuro. Estas acciones buscan asegurar una mayor estabilidad y prevenir que eventos similares puedan comprometer el funcionamiento de servicios digitales críticos usados diariamente por millones en todo el mundo.

Qué es Cloudfare

Cloudflare es una compañía tecnológica especializada en brindar soluciones que mejoran la seguridad, el rendimiento y la fiabilidad de sitios web y aplicaciones en la red. Opera mediante una red global que funciona como intermediario entre los usuarios que visitan un sitio web y los servidores donde ese contenido está alojado.

A través de su infraestructura, Cloudflare protege a millones de páginas alrededor del mundo contra amenazas como ataques de denegación de servicio (DDoS), bots automatizados y accesos malintencionados, analizando y filtrando el tráfico para garantizar que solo las conexiones legítimas lleguen al servidor.

Dentro de su portafolio, Cloudflare ofrece herramientas como cortafuegos de aplicaciones web, mecanismos de mitigación de ataques, sistemas para optimizar la velocidad y una red de distribución de contenido (CDN).

Esta red distribuida globalmente permite que los usuarios accedan a los sitios respaldados por Cloudflare de forma más rápida, estable y segura, independientemente de dónde se encuentren.

Cloudflare desempeña un papel importante en la protección y el rendimiento de millones de sitios web en todo el mundo. Su tecnología permite que empresas, instituciones y usuarios operen en internet de manera más segura y eficiente, al mitigar amenazas cibernéticas, optimizar la velocidad de carga y garantizar la disponibilidad continua de sus servicios digitales.

Estados Unidos, Australia y Reino Unido anunciaron el miércoles sanciones coordinadas contra Media Land, un proveedor ruso de servicios de hosting “a prueba de balas” que ha facilitado operaciones de ransomware y otras formas de cibercrimen, en una acción trilateral que incluye la designación de tres miembros de su dirección y tres empresas hermanas.

El Departamento del Tesoro estadounidense informó en un comunicado que Media Land, con sede en San Petersburgo, ha proporcionado servicios a mercados criminales y actores de ransomware, incluyendo grupos prolíficos como Lockbit, BlackSuit y Play. La infraestructura de la empresa también fue utilizada en múltiples ataques de denegación de servicio distribuida (DDoS) contra compañías y infraestructuras críticas estadounidenses.

“Estos proveedores de servicios de hosting a prueba de balas como Media Land proporcionan a los cibercriminales servicios esenciales para ayudarlos a atacar empresas en Estados Unidos y países aliados”, declaró John K. Hurley, subsecretario del Tesoro para Terrorismo e Inteligencia Financiera. “La acción trilateral de hoy, en coordinación con socios de aplicación de la ley, demuestra nuestro compromiso colectivo de combatir el cibercrimen y proteger a nuestros ciudadanos”.

Hosting diseñado para evadir la ley

Los proveedores de hosting “a prueba de balas” venden acceso a servidores especializados y otra infraestructura informática específicamente diseñada para evadir la detección y desafiar los esfuerzos de las autoridades por interrumpir actividades cibernéticas maliciosas.

Aleksandr Volosovik, director general de Media Land, ha anunciado frecuentemente el negocio en foros cibercriminales bajo el alias “Yalishanda”, proporcionando servidores y asistencia técnica a actores de ransomware y DDoS, según el comunicado del Tesoro.

Kirill Zatolokin, empleado de Media Land, es responsable de cobrar pagos de clientes y coordinarse con otros actores cibernéticos, trabajando estrechamente con Volosovik en las operaciones generales de la empresa.

La Oficina de Control de Activos Extranjeros (OFAC) también designó a Yulia Pankova, quien tiene conocimiento de las actividades ilícitas de Volosovik, le ha asistido con asuntos legales y ha manejado sus finanzas. Además, sancionó a ML Cloud, Media Land Technology y Data Center Kirishi, empresas hermanas y subsidiarias de Media Land.

Presión sobre los intentos de evasión

Las sanciones también apuntan a esfuerzos de evasión de sanciones tras designaciones anteriores. Después de que OFAC sancionara a Aeza Group el 1 de julio de 2025, la dirección de esta empresa inició una estrategia de cambio de marca enfocada en eliminar cualquier conexión entre Aeza y su nueva infraestructura técnica.

“Las designaciones de hoy sirven como recordatorio de que OFAC tomará todas las medidas posibles para contrarrestar la actividad de evasión de sanciones por parte de actores cibernéticos maliciosos y sus facilitadores”, indicó el comunicado.

OFAC designó a Hypercore Ltd., una compañía británica registrada y utilizada por Aeza Group después de su sanción para mover su infraestructura IP y evadir sanciones. También sancionó a Maksim Vladimirovich Makarov, nuevo director de Aeza que ha tomado decisiones clave respecto a los intentos de evasión de sanciones del grupo, y a Ilya Vladislavovich Zakirov, quien ayudó a establecer nuevas empresas y métodos de pago para ocultar las actividades continuas de Aeza.

Adicionalmente, OFAC designó a Smart Digital Ideas DOO (Serbia) y Datavice MCHJ (Uzbekistán), empresas utilizadas por Aeza para evadir sanciones y establecer infraestructura técnica no asociada públicamente con la marca Aeza.

Escalada global

Las sanciones se producen en un contexto de intensificación de la ciberguerra entre potencias globales. Países adversarios de Occidente como Rusia, junto con China, Irán y Corea del Norte, ha intensificado dramáticamente el uso de capacidades cibernéticas ofensivas, con Moscú destacándose por estrategias híbridas que combinan desinformación, sabotaje y hackeos coordinados.

Al mismo tiempo, el ransomware se ha convertido en una industria criminal altamente sofisticada. Organizaciones delictivas operan con voceros, negociadores y procesos industrializados, causando miles de millones de dólares en pérdidas anuales. El 75% de las organizaciones serán víctimas de ransomware más de una vez durante 2025, según proyecciones de expertos en ciberseguridad.

Implicaciones de las sanciones

Como resultado de las sanciones, toda propiedad e intereses en propiedad de las personas designadas que estén en Estados Unidos o bajo posesión o control de personas estadounidenses quedan bloqueados y deben reportarse a OFAC. Las regulaciones de OFAC generalmente prohíben todas las transacciones por parte de personas estadounidenses que involucren cualquier propiedad de personas designadas.

Las instituciones financieras y otras personas que participen en ciertas transacciones con las entidades e individuos sancionados pueden exponerse a sanciones o estar sujetas a acciones de aplicación de la ley.

La caída masiva de Cloudflare el lunes, que dejó sin acceso a millones de usuarios de X, ChatGPT, League of Legends y otros servicios globales, forma parte de un “patrón raro” de incidentes que afectaron a tres gigantes tecnológicos en apenas un mes, según advierte Gabriel Zurdo, experto y ejecutivo líder en ciberseguridad en América Latina.

“Es muy sugestivo el hecho de que hace exactamente un mes pasó lo de Amazon. Nunca se supo qué fue, aparentemente fue una afectación de los DNS, que es casualmente lo mismo que aduce hoy Cloudflare”, señaló Zurdo, quien dirige la consultora de ciberseguridad BTR Consulting, en declaraciones a Infobae tras el incidente del lunes.

El 20 de octubre, Amazon Web Services (AWS) sufrió una interrupción global que afectó a bancos, aerolíneas, aplicaciones de entrega y plataformas como Instagram, Zoom y ChatGPT. Amazon atribuyó la falla a un error en el Sistema de Nombres de Dominio (DNS), el cual traduce nombres web en direcciones IP. La caída, que duró varias horas, puso en evidencia la dependencia crítica del ecosistema digital de la infraestructura de AWS.

Este lunes, Cloudflare experimentó un fallo similar. A partir de las 11:20 UTC comenzaron a registrarse problemas masivos de acceso a redes sociales, aplicaciones y páginas web en todo el mundo. La empresa confirmó posteriormente que “un pico de tráfico inusual hacia uno de los servicios de Cloudflare” provocó errores elevados en múltiples servicios simultáneamente.

Vulnerabilidad convertida en debilidad

Zurdo explicó la particularidad del caso Cloudflare: “Actúa como un gestor, un administrador de quiénes están ejecutando peticiones para prevenir que no sean programas o bots que lo hagan masivamente y generen una denegación de servicio distribuida, que precisamente fue lo que le pasó a Cloudflare. Uno de sus principales atributos se convirtió en una debilidad”.

La empresa señaló que un archivo destinado a recolectar amenazas “creció demasiado e hizo una especie de overflow y provocó la caída de los DNS”, según detalló Zurdo. Cloudflare implementó cambios que permitieron recuperar servicios como WARP y Access, aunque advirtió sobre posibles errores residuales mientras persistían los esfuerzos de reparación.

El experto también reveló un dato poco difundido: “Los ciberdelincuentes están usando Cloudflare para esconderse, para anonimizar su identidad. Algunas bandas de ransomware no están en la dark web, su blog está en la superficie web, pero se esconden atrás de Cloudflare”.

Coincidencias inquietantes: tres gigantes, un mes

Lo más preocupante, según Zurdo, es la concatenación de eventos. El mismo día de la caída de Cloudflare, Microsoft informó sobre un ataque mitigado contra su plataforma Azure que afectó aproximadamente 500.000 direcciones IP correspondientes a dispositivos domésticos de Internet de las Cosas. “Precisamente lo que se intentó hacer es lo mismo: una denegación de servicio”, señaló.

“Estas compañías son megacompañías. Cloudflare es uno de los pocos jugadores que dominan el mercado. No escatiman ni en capacidades, ni en recursos, ni en presupuestos, ni en know-how, y tienen planes de mitigación y contingencia para evitar que esto pase”, explicó Zurdo. “Entonces, cuando tenés un enemigo oculto, invisible, que está del otro lado, es donde la falta de resiliencia para las amenazas que van apareciendo bajo el formato de día cero [vulnerabilidades de seguridad que los fabricantes desconocen] provoca esto”.

El riesgo de “apocalipsis tecnológico”

Las advertencias de Zurdo cobran mayor relevancia en el contexto de la creciente ciberguerra entre potencias globales. Países como China, Rusia, Irán y Corea del Norte han intensificado sus capacidades cibernéticas ofensivas, mientras Occidente lucha por cerrar una brecha que algunos expertos calculan en diez años de ventaja tecnológica.

El 14 de noviembre, Anthropic documentó cómo hackers chinos utilizaron su plataforma Claude Code para ejecutar operaciones de espionaje automatizadas contra treinta objetivos internacionales, incluyendo empresas tecnológicas, instituciones financieras y agencias gubernamentales. El sistema algorítmico ejecutó aproximadamente el 90% de las operaciones de forma independiente, marcando un punto de inflexión en la sofisticación de los ciberataques estatales.

Zurdo concluye con una advertencia sombría: “Veo una concatenación de situaciones que espero que no sea lo que vaya a pasar, pero de acá a un tiempo vamos a ver un crack. Un apocalipsis tecnológico donde se van a caer en cascada, como hoy no anduvo X, no anduvo ChatGPT. Hay que fijarse en la masividad: no anduvo en todo el mundo. Va a haber un día donde muchas de estas cosas no van a andar y no vamos a tener plan B”.

Febrero de 2022. Días antes de que los tanques rusos cruzaran la frontera con Ucrania, Moscú ya había lanzado su primer ataque. No con misiles, sino con código. Hackeó compañías telefónicas para enviar SMS masivos sobre corridas bancarias, creó perfiles falsos en redes sociales y tumbó infraestructura crítica: combustible, electricidad, internet. “Preparación al ataque físico”, explica Gabriel Zurdo, CEO de BTR Consulting y uno de los ejecutivos de ciberseguridad más reconocidos de América Latina. “Eso se vio por primera vez en la historia en esa operación. Las estrategias son iguales que en la Segunda Guerra Mundial, pero hoy la preparación es digital”.

La guerra ha cambiado de escenario. Ya no se libra solo en trincheras o espacios aéreos, sino en servidores, cables submarinos y satélites de comunicación. Y en esta batalla silenciosa, los estados autoritarios llevan ventaja sobre las democracias occidentales.

La brecha entre China y Occidente

La diferencia se mide en horas. China exige que cualquier incidente en infraestructura crítica —telecomunicaciones, combustible, agua, electricidad— se reporte en una hora. Estados Unidos y Europa permiten entre 72 y 96 horas.

“Eso te habla de la relevancia que tiene a nivel estratégico”, señala Zurdo durante una conversación en Buenos Aires. “Algunas organizaciones calculan por lo menos diez años de ventaja de China con inteligencia artificial”.

China opera bajo lo que Zurdo llama “un modelo de capitalismo dictatorial, donde la tecnología está siendo utilizada como un ente rector de vigilancia y monitoreo”. Esta centralización permite respuestas rápidas y coordinadas que las democracias, con sus múltiples niveles de supervisión y protecciones de privacidad, difícilmente pueden igualar.

El ejemplo más ilustrativo es la operación Volt Typhoon, una campaña de ciberespionaje atribuida a China que penetró profundamente en redes de telecomunicaciones occidentales. “El 85% de los sistemas críticos estadounidenses operan con recursos técnicos y humanos claramente insuficientes”, advierte Zurdo. “Actores estatales ya están metidos hasta el fondo en redes de telecomunicaciones occidentales”.

Rusia: el maestro de la guerra híbrida

Si China destaca por su sofisticación técnica, Rusia sobresale en estrategias híbridas que combinan desinformación, sabotaje y hackeos coordinados. La invasión de Ucrania fue un laboratorio a cielo abierto. Moscú hackeó el organismo que administra conexiones satelitales y atacó todos los objetivos de misión crítica. “El objetivo era el mismo que cuando los aliados bombardeaban en la Segunda Guerra Mundial: dejarlos sin combustible, sin transporte, sin fábricas de armas”, explica Zurdo. “Hoy es igual, pero digital”.

La guerra electrónica complementa los ciberataques. En toda la frontera oriental de la OTAN, Rusia despliega instalaciones de antenas que interfieren señales GPS. Lituania ha registrado 800 detecciones de interferencias en aviones comerciales en lo que va de año. La propia presidenta de la Comisión Europea, Ursula von der Leyen, sufrió interferencias GPS en su avión oficial; el piloto tuvo que recurrir a mapas físicos.

Irán y Corea del Norte: proxies y crimen de estado

Irán ha perfeccionado el uso de grupos "hacktivistas" que actúan como proxies, lanzando ataques que Teherán puede negar oficialmente pero que sirven a sus intereses estratégicos. Durante el conflicto con Israel en junio de 2025, se identificaron 170 grupos de ciberataque vinculados a proxies iraníes.

El Instituto MAPNA iraní protagonizó una de las operaciones más sofisticadas: hackeó cámaras de seguridad israelíes durante los bombardeos del 12 de junio, triangulando direcciones IP con geoposicionamiento satelital para rastrear la trayectoria de cohetes. Las autoridades israelíes se vieron obligadas a pedir a la población que apagara sus cámaras domésticas.

Ese mismo día, un grupo iraquí llamado Team 313 tumbó la red social de Donald Trump Truth Social mediante múltiples conexiones simultáneas “como medida de protesta o de afectación a las ideas de Occidente”, según documentó Zurdo.

Venezuela ha seguido un camino similar. El régimen de Nicolás Maduro desarrolló una aplicación de servicios digitales que terminó siendo utilizada para denunciar a opositores durante las manifestaciones del año pasado. Los ciudadanos podían fotografiar a manifestantes y subirlas a la app para delatar a “colaboracionistas”.

Pyongyang representa un caso único: un estado que utiliza el cibercrimen directamente para financiar su programa nuclear. Según un informe del Equipo de Monitoreo Multilateral de Sanciones, hackers norcoreanos han robado miles de millones en criptomonedas. El FBI vinculó a Corea del Norte con el robo de 1.500 millones de dólares en ethereum de la plataforma Bybit. Además, miles de trabajadores tecnológicos empleados por empresas estadounidenses eran en realidad norcoreanos usando identidades falsas creadas con inteligencia artificial.

La respuesta occidental

Estados Unidos ha adoptado recientemente una estrategia de “Confianza Cero” que Zurdo califica de “extrema” pero necesaria ante la gravedad de las amenazas. Este enfoque parte de la premisa de que ninguna conexión debe considerarse segura por defecto. La Casa Blanca prohibió hace dos meses el uso de WhatsApp en teléfonos oficiales.

Las infraestructuras críticas europeas también se han convertido en objetivo prioritario. En septiembre de 2025, un ciberataque contra el sistema MUSE de Collins Aerospace colapsó simultáneamente aeropuertos en Londres, Berlín, Bruselas y Dublín.

“Un ataque contra el software afecta múltiples aeropuertos simultáneamente, no solo uno específico”, señala Zurdo. “El desafío es contener el contagio”. Los ataques ransomware en aviación aumentaron un 600% en un año, según el grupo tecnológico Thales.

La Unión Europea ha respondido creando una base común de vulnerabilidades y fortaleciendo ENISA, la agencia europea de ciberseguridad. También aprobó el Cyber Resilience Act, que obliga a fabricantes de dispositivos conectados a cumplir estándares más exigentes.

El nuevo campo de batalla

Para Zurdo, estamos ante un cambio de época. “Los estados son, sin duda, los principales gestores de las herramientas, los métodos, las estrategias. Y definitivamente buscan influenciar la geopolítica”. Estados Unidos, Israel y Ucrania son los países más atacados, “mostrando cómo los conflictos militares se extienden al ámbito digital”.

Mientras habla, Zurdo muestra en su móvil una peculiaridad de WhatsApp: al escribir “país” en español, la aplicación sugiere automáticamente la bandera palestina, no la española ni la italiana. “Eso es hacktivismo encubierto”, señala. “Alguien en Meta sabe que eso es así”. Es otro ejemplo de cómo la tecnología que usamos diariamente puede estar manipulada de formas que ni siquiera percibimos.

La convergencia de inteligencia artificial y ciberguerra está acelerando esta dinámica. Microsoft reportó que los incidentes con adversarios extranjeros usando IA se multiplicaron por diez entre 2023 y 2025. La IA puede traducir emails de phishing a cualquier idioma con fluidez nativa, generar clones digitales de funcionarios gubernamentales y automatizar ataques a escala sin precedentes.

“Hay una necesidad de regular”, insiste Zurdo. “China te dice una hora, es autoexplicativo. Occidente va muy a la zaga”. La falta de marcos legales internacionales agrava el problema. Los ataques cruzan fronteras instantáneamente, pero las leyes permanecen ancladas en jurisdicciones nacionales.

BTR Consulting realiza simulaciones de hackeo para directorios de grandes organizaciones, entrenando a ejecutivos en cómo responder cuando —no si, sino cuando— sean atacados. “Cada vez más esto va a ser utilizado por los que quieren sacar rédito económico, los que quieren afectar políticamente, los que quieren instalar un patrón ideológico”, concluye.

Mientras las democracias occidentales debaten sobre privacidad y regulación, los estados autoritarios avanzan con estrategias coordinadas y recursos masivos. La guerra ya comenzó. Es silenciosa, invisible, pero sus consecuencias son tan reales como las de cualquier conflicto armado. Solo que esta vez, el campo de batalla está en todas partes: en nuestros móviles, computadoras, hospitales, aeropuertos y redes eléctricas. Y la mayoría ni siquiera sabe que está en medio de una zona de combate.

Esta es la segunda de dos entregas sobre ciberseguridad. La primera nota exploró cómo la mafia digital y el cibercrimen se convirtieron en una industria que roba 12.500 millones de dólares al año.

La Agencia de Protección Civil danesa ha explicado que los ataques de denegación de servicio no dañan los sistemas informáticos, pero sí afectan la disponibilidad de los portales afectados, lo que ha generado alertas sobre eventuales nuevos intentos en torno a los comicios previstos para el 18 de noviembre. Las autoridades han reconocido que la situación, aunque reparable generalmente en períodos breves, mantiene una vigilancia reforzada y una comunicación constante con el centro de situación del Servicio de Inteligencia de Defensa. De acuerdo con Europa Press, estas acciones se han dirigido tanto a sitios oficiales como a plataformas empresariales de Dinamarca.

La agencia puntualizó en un comunicado que varias páginas gubernamentales y de compañías privadas han experimentado interrupciones intermitentes, a raíz de los ciberataques atribuidos a tácticas de denegación de servicio. Pese a que estas ofensivas no provocan destrucción en los sistemas, las interrupciones se traducen en que los portales de internet pueden quedar temporalmente fuera de servicio. Según informó Europa Press, la Agencia de Protección Civil resaltó que la mayoría de los incidentes se solventan en lapsos cortos y habitualmente sin consecuencias graves. El organismo reiteró que mantiene un monitoreo constante de la situación y coordina acciones con otras dependencias de inteligencia y defensa.

Por otra parte, este episodio ha sido reivindicado públicamente por el grupo ruso NoName057(16), como señaló Europa Press. Después del anuncio sobre la autoría, Torsten Schack Pedersen, ministro de Seguridad Pública, advirtió que se prevén más intentos de sabotaje digital en las semanas próximas, especialmente en coincidencia con la campaña electoral local. La televisión danesa Nyheder recogió declaraciones del funcionario, quien afirmó que “los grupos de piratas informáticos prorrusos están llevando a cabo estos ataques para llamar la atención y debemos esperar que haya más ataques de este tipo de cara a las elecciones municipales y a los consejos regionales”.

Europa Press también detalló que la Agencia de Protección Civil había emitido horas antes otro comunicado identificando que las ofensivas se han intensificado en los días recientes. En ese documento, se reconoció que aunque los ataques no implica riesgos de seguridad mayores, sí afectan el acceso a los portales web involucrados, lo que puede generar molestias operativas a usuarios y autoridades durante intervalos limitados.

El impacto de estas acciones digitales, según continuó la cobertura de Europa Press, no se limitó sólo a la infraestructura estatal, pues varias empresas también vieron restringido su acceso en línea. Las autoridades recalcaron que, pese a la repetición de estos episodios, las consecuencias no revisten gravedad y los equipos de seguridad pueden restablecer el funcionamiento habitual de los portales en poco tiempo.

El diálogo y la cooperación entre la Agencia de Protección Civil y el Servicio de Inteligencia de Defensa figuran entre las medidas preventivas detalladas por el organismo danés, con el objetivo de fortalecer la respuesta frente a situaciones similares en el futuro. El medio reiteró la preocupación oficial por la recurrencia de estos incidentes, especialmente considerando la proximidad de las elecciones de noviembre, y la expectativa de que los ciberataques continúen como parte de campañas de presión o desestabilización.

La cadena de televisión Nyheder difundió igualmente el llamado de las autoridades para que las instituciones y empresas refuercen sus medidas de seguridad frente a riesgos de sabotaje digital, en especial durante eventos políticos o momentos clave del calendario nacional. La fuente citó también la valoración de la Agencia de Protección Civil acerca de que estos acontecimientos obedecen a la intención de grupos prorrusos de proyectar impacto y atraer la atención pública internacional.

Europa Press subrayó que todos los organismos oficiales mantienen actualizados sus protocolos de respuesta y continúan canalizando recursos para reducir la vulnerabilidad de sus redes, considerando escenarios similares en otros países europeos. La serie de eventos recientes en Dinamarca se enmarca dentro de un contexto más amplio de incremento en la actividad de ciberataques de carácter geopolítico, según coincide la cobertura de los medios consultados.

La cifra marea: entre 400.000 y 500.000 amenazas de día cero -vulnerabilidades de seguridad que los fabricantes desconocen- emergen cada jornada en el ciberespacio global. Y cuando una vulnerabilidad se detecta, puede tardar hasta dos años en solucionarse. Mientras tanto, solo uno de cada cuatro ciberdelitos llega a denunciarse a las autoridades. Bienvenidos a la era de la “policrisis” digital, como la define Gabriel Zurdo, fundador y CEO de BTR Consulting y una de las voces más autorizadas en ciberseguridad de América Latina.

“El mundo y los mercados planificaban defensas para no ser hackeados. Hoy el paradigma cambió: es cómo me preparo y reacciono para cuando me hackeen”, explica Zurdo durante una conversación de dos horas en las oficinas de su consultora en Buenos Aires. Su diagnóstico es sombrío pero realista: la carrera entre atacantes y defensores es desigual, y los primeros llevan ventaja.

El ejecutivo e ingeniero argentino, que asesora a gobiernos y grandes corporaciones en múltiples países, pone ejemplos concretos. “El peor ciberdelito es el que no te enteraste”, advierte. Y hay muchos. Según datos de BTR Consulting, solo en 2024 se robaron mil millones de credenciales mediante malware. La Comisión Federal de Comercio estadounidense reportó pérdidas de 12.500 millones de dólares en ciberestafas ese mismo año, unos 9.000 dólares de media por víctima.

La industrialización del crimen digital

Lo que antes eran hackers solitarios trabajando desde sótanos hoy son corporaciones criminales con estructura empresarial. Zurdo describe organizaciones “cartelizadas” que comercian con datos personales como si fueran materia prima. “Tu correo, tu teléfono, tu cuenta bancaria, tus movimientos, tus redes sociales. Hoy pueden pedir tu interacción digital completa y recibirla como si fuera una carpeta de inteligencia. Y eso se paga”, relata.

El salto cualitativo llegó con la inteligencia artificial. El malware brasileño Mekotio ejemplifica esta evolución: infecta dispositivos, desconecta antivirus, identifica la banca online y clona sitios web. Pero ya no necesita un operador humano al otro lado. “Ahora es con un bot, es automático”, explica Zurdo. “¿En qué ganó el cibercrimen con la IA? En volumen y velocidad. Daña a más gente en menos tiempo”.

Los datos de Microsoft corroboran esta aceleración: los incidentes con adversarios extranjeros usando inteligencia artificial se multiplicaron por diez entre 2023 y 2025. En julio del año pasado se registraron más de 200 casos en un solo mes.

Ransomware: el crimen con vocero

El ransomware —secuestro de datos con petición de rescate— creció un 20% en 2024 según BTR Consulting, y representa el 41% de todos los ataques efectivos. Pero lo preocupante no son solo las cifras, sino la sofisticación. “Tienen blogs donde publican sus robos, voceros, negociadores. Es un proceso comercial”, describe Zurdo.

El modus operandi es meticuloso: inoculan el malware semanas antes, exploran sistemas, copian datos y finalmente encriptan. Dan 72 horas para pagar un rescate en criptomonedas. Si no se paga, publican la información. Una táctica reciente es contactar directamente a los clientes de la empresa hackeada: “Tenemos tu información. Si ellos no pagan, páganos tú y no la publicaremos”.

BTR Consulting proyecta que el 75% de las organizaciones serán víctimas más de una vez durante 2025. El problema: el anonimato. “No sabemos quiénes son físicamente, cómo se llaman, dónde están. No sabemos cómo ir a buscarlos, no los podemos juzgar, no los podemos meter presos”, lamenta Zurdo.

Los menores, víctimas indefensas

Quizá lo que más indigna a Zurdo es la vulnerabilidad de los menores. Trece provincias argentinas han regulado recientemente Roblox, un juego infantil que el experto califica sin ambages como “el paraíso de los pedófilos”. “El 65% de los padres le damos una tableta o teléfono a nuestros hijos entre los cuatro y cinco años. A los once son usuarios intensivos. A los nueve, algunos antes, ven imágenes de sexo explícito por primera vez”, enumera.

Australia ha prohibido el acceso a redes sociales y plataformas de juegos a menores de 13 años en ámbito escolar, pero Zurdo considera insuficientes estas medidas. “Los controles parentales se volvieron ineficaces. Los chicos naturalizaron el acceso a tecnología”, señala. Solo uno de cada diez menores alerta cuando algo extraño ocurre en línea.

El eslabón más débil

A pesar de toda la sofisticación tecnológica, el factor humano sigue siendo determinante. “El usuario sigue siendo, aún cada vez más, el eslabón más débil de la cadena”, insiste Zurdo. El 61% de las personas usa la misma contraseña para todo. La ingeniería social —el clásico “cuento del tío” adaptado al mundo digital— produce más frutos que nunca.

La inteligencia artificial agrava este problema. Antes, un correo de phishing se reconocía fácilmente por faltas ortográficas o sintaxis torpe. Ahora, la IA no solo escribe en español perfecto, sino que puede adaptar el mensaje con modismos regionales según la dirección IP del destinatario.

BTR Consulting, que se define como consultora “agnóstica e independiente” sin comisionar ventas de hardware o software, realiza simulaciones de hackeo para directorios de grandes organizaciones, entrenando a ejecutivos en qué hacer cuando —no si, sino cuando— sean atacados. “Esto incluye, entre otras cosas, qué comunicar”, precisa Zurdo.

Un problema sin fronteras ni leyes

La dimensión transnacional del cibercrimen choca con marcos legales obsoletos. “No hay ley”, sentencia el especialista. “Una empresa agropecuaria argentina hackeada por una banda turca: ¿qué ley le aplicás?”. Los abogados buscan en códigos penales y civiles nacionales, pero el delito ocurre en un espacio sin jurisdicción clara.

La falta de denuncia agrava el problema. Las empresas temen el impacto reputacional y comercial. Un banco o una tarjeta de crédito hackeados difícilmente lo harán público. El resultado: un universo de criminalidad sumergida imposible de dimensionar con exactitud.

Incluso gigantes tecnológicos son vulnerables. Zurdo menciona que Crowdstrike, una herramienta líder en ciberseguridad, fue hackeada. “¿Cómo se plantea que la propia industria forma parte del problema?”, se pregunta. En octubre, Amazon Web Services se cayó durante un día, afectando a 2.000 empresas y generando 20 millones de reclamos. “Plan de contingencia de Amazon: no lo hay”, critica el ejecutivo.

El experto insiste en que la tecnología es un medio, no un fin. “Si no, la solución sería muy fácil: aquel que tenga el mayor presupuesto para adquirir la mejor tecnología tiene el problema resuelto. Y resulta que no es así”. La clave está en articular conocimiento experto, ciberinteligencia, capacidad anticipatoria y toma de decisiones estratégicas.

La conversación termina con una advertencia: “La velocidad de evolución del cibercrimen es altísima, nunca vista. La solución tecnológica no alcanza”. En un mundo donde Vladimir Putin no usa móvil ni internet, y los presidentes estadounidenses deben entregar sus teléfonos personales al asumir el cargo, quizá el mensaje sea claro: la única defensa infalible es la desconexión. Pero en 2025, esa opción ya no existe para el resto de los mortales.

Esta es la primera de dos entregas sobre ciberseguridad. La segunda nota abordará cómo China, Rusia, Irán y Corea del Norte convirtieron la ciberguerra en un arma geopolítica que precede a los conflictos físicos.

El reciente descubrimiento de un ciberataque automatizado orquestado por actores estatales chinos ha sacudido los cimientos de la ciberseguridad global, al demostrar que los sistemas algorítmicos avanzados pueden ejecutar operaciones de espionaje a gran escala con una autonomía sin precedentes.

Según el reporte oficial de Anthropic, la campaña, que utilizó la herramienta Claude Code para infiltrarse en una treintena de objetivos internacionales, marca un antes y un después en la evolución de las amenazas digitales.

La investigación de Anthropic, publicada el 13 de noviembre de 2025, detalla cómo los atacantes lograron comprometer con éxito varias organizaciones de alto perfil, entre ellas grandes empresas tecnológicas, instituciones financieras, compañías de manufactura química y agencias gubernamentales.

El sistema algorítmico ejecutó aproximadamente el 90% de las operaciones de forma independiente, procesando miles de solicitudes por segundo y relegando la intervención humana a tan solo cuatro o seis puntos críticos de decisión por campaña.

Este nivel de automatización, que hasta hace pocos meses habría requerido equipos completos de hackers experimentados, evidencia el colapso de las barreras técnicas que tradicionalmente protegían a las infraestructuras críticas.

El ataque se desarrolló en cuatro fases claramente diferenciadas. En la etapa inicial, los operadores humanos seleccionaron los objetivos y diseñaron un framework de ataque capaz de operar de manera autónoma.

Mediante técnicas de jailbreaking, manipularon Claude Code para evadir sus barreras de seguridad, fragmentando las tareas maliciosas en partes aparentemente inocuas y construyendo una narrativa en la que el sistema creía estar realizando pruebas defensivas legítimas. Posteriormente, el reconocimiento automatizado permitió a Claude inspeccionar las infraestructuras de las organizaciones objetivo, identificando bases de datos de alto valor y reportando hallazgos con resúmenes detallados.

En la tercera fase, el sistema identificó y explotó vulnerabilidades, generando su propio código de exploit y cosechando credenciales que facilitaron el acceso a niveles superiores de privilegio.

Finalmente, los algoritmos extrajeron grandes volúmenes de datos privados, los categorizaron según su valor de inteligencia y documentaron exhaustivamente el ataque, generando archivos útiles de las credenciales robadas y los sistemas comprometidos. Las cuentas de mayor privilegio fueron identificadas y se crearon puertas traseras, todo ello con una supervisión humana mínima.

Tres avances técnicos resultaron determinantes para el éxito de la operación. En primer lugar, la inteligencia de los modelos algorítmicos ha alcanzado un punto en el que pueden seguir instrucciones complejas y comprender contextos sofisticados, lo que facilita la ejecución de tareas altamente especializadas como la programación de software para ciberataques.

El segundo pilar es la agencia algorítmica: los modelos actuales pueden actuar como agentes autónomos, encadenando tareas y tomando decisiones con una intervención humana mínima. El tercer elemento es el acceso a herramientas de software mediante protocolos abiertos, como Model Context Protocol, que permite a los modelos interactuar con crackers de contraseñas, escáneres de red y otros recursos especializados, multiplicando exponencialmente su capacidad ofensiva.

El caso documentado por Anthropic representa una escalada significativa respecto a incidentes previos, como las operaciones de “vibe hacking” reportadas en agosto de 2025, donde los humanos debían dirigir activamente cada paso del proceso. En contraste, la campaña de espionaje estatal chino se caracterizó por una autonomía casi total del sistema algorítmico, lo que permitió operar a una escala y velocidad inalcanzables para equipos humanos.

Las capacidades cibernéticas de estos sistemas se duplicaron en solo seis meses, según las evaluaciones sistemáticas recogidas por Anthropic.

No obstante, Claude Code no estuvo exento de errores durante la operación. El sistema llegó a “alucinar” credenciales o a afirmar haber extraído información secreta que, en realidad, era de dominio público.

Estos fallos, aunque representan un obstáculo para la autonomía total de los ciberataques, no impidieron que la campaña tuviera éxito en múltiples objetivos. De hecho, la variabilidad introducida por estas imperfecciones pudo haber contribuido a evadir los sistemas de detección basados en patrones.

La técnica de jailbreaking empleada por los atacantes chinos destaca por su sofisticación. En lugar de intentar vulnerar las barreras de seguridad con un único comando malicioso, los operadores fragmentaron sus ataques en tareas pequeñas y aparentemente inocuas, evitando que Claude tuviera una visión completa del propósito malicioso.

Al mismo tiempo, construyeron una narrativa convincente en la que el sistema se percibía como un empleado legítimo de ciberseguridad. Esta combinación de fragmentación técnica y manipulación contextual resultó altamente eficaz para sortear las defensas de Claude.

El colapso de las barreras técnicas ha transformado el panorama de amenazas. Ahora, actores con menos experiencia y recursos pueden ejecutar ataques de gran escala utilizando sistemas algorítmicos avanzados, realizando tareas que antes requerían meses de trabajo y equipos especializados.

La operación china demuestra que frameworks de ataque pueden replicarse contra cientos o miles de objetivos simultáneamente, sin un aumento proporcional en los recursos humanos necesarios.

Las implicaciones estratégicas de este cambio son profundas. La democratización del cibercrimen sofisticado implica que capacidades antes reservadas a equipos gubernamentales están al alcance de actores menos sofisticados, siempre que dispongan de acceso a sistemas algorítmicos avanzados y conocimientos básicos de jailbreaking.

La velocidad de ataque, con miles de solicitudes por segundo, reduce drásticamente las ventanas de detección y respuesta para los defensores. Además, la atribución se complica, ya que los patrones de los ataques algorítmicos no se ajustan a los perfiles tradicionales de los grupos APT, dificultando la respuesta geopolítica.

La escalabilidad masiva de estos ataques y la evolución continua de las capacidades algorítmicas sugieren que las técnicas observadas hoy pronto quedarán obsoletas frente a lo que será posible en pocos meses.

Anthropic plantea una cuestión fundamental: si los modelos algorítmicos pueden ser utilizados para ciberataques de esta magnitud, ¿por qué seguir desarrollándolos y liberándolos? La respuesta de la compañía es que las mismas capacidades que permiten el uso ofensivo de Claude son esenciales para la defensa cibernética.

El equipo de Inteligencia de Amenazas de Anthropic utilizó Claude extensivamente para analizar los datos generados durante la investigación, demostrando su valor en la detección y respuesta a incidentes.

Ante este nuevo escenario, Anthropic recomienda a los equipos de seguridad experimentar con sistemas algorítmicos para automatizar operaciones, detectar amenazas, evaluar vulnerabilidades y responder a incidentes con la misma rapidez que los atacantes.

Los desarrolladores deben reforzar las barreras de seguridad en sus plataformas y compartir inteligencia de amenazas en tiempo real para fortalecer la resiliencia colectiva. La compañía subraya que la transparencia y el intercambio rápido de información pueden marcar la diferencia entre la resiliencia y la catástrofe sistémica.

El caso chino también ha puesto de manifiesto vulnerabilidades en los propios sistemas algorítmicos. Las técnicas de jailbreaking, aunque sofisticadas, no son inalcanzables y probablemente se volverán más refinadas y automatizadas.

Anthropic ha respondido implementando clasificadores mejorados y métodos adicionales de detección, pero reconoce que se trata de una carrera armamentista algorítmica en la que los atacantes seguirán innovando.

El ataque documentado probablemente representa solo el inicio de una nueva era en la ciberguerra y el cibercrimen. Grupos APT de Rusia, Corea del Norte, Irán y otros estados con capacidades avanzadas ya estudian estas técnicas, y es previsible que organizaciones criminales y actores no estatales accedan a capacidades similares a medida que la tecnología se difunda y las técnicas de jailbreaking se popularicen.

Las organizaciones deben estar atentas a señales de alerta temprana, como volúmenes inusualmente altos de solicitudes a servicios específicos, patrones de reconocimiento que revelan un conocimiento profundo de la arquitectura de sistemas, generación rápida de código de exploit personalizado y actividades a velocidades imposibles para operadores humanos. La detección temprana de estos patrones puede ser decisiva para evitar compromisos catastróficos.

La democratización de capacidades cibernéticas avanzadas mediante sistemas algorítmicos constituye, según Anthropic, el cambio más significativo en el panorama de amenazas en décadas.

Lo que antes requería recursos estatales considerables ahora está al alcance de actores con presupuestos mucho menores, siempre que tengan acceso a tecnología avanzada y conocimientos de jailbreaking. Esta transformación alterará de manera fundamental la estrategia global de ciberseguridad.

Anthropic ha reiterado su compromiso de compartir públicamente casos como este para ayudar a la industria, los gobiernos y la comunidad investigadora a fortalecer sus defensas. La compañía publicará reportes similares de forma regular y mantendrá la transparencia sobre las amenazas detectadas, convencida de que la preparación es preferible a la sorpresa en el nuevo escenario de ciberguerra algorítmica.

Diversas páginas web oficiales de Dinamarca quedaron fuera de servicio o sufrieron cortes temporales durante las últimas horas a raíz de un ciberataque de denegación de servicio atribuido al grupo ruso NoName057(16), que se adjudicó el episodio a través de sus redes sociales.

La Agencia de Protección Civil de Dinamarca confirmó que tanto plataformas gubernamentales como empresariales se vieron afectadas, aunque aseguró que los ataques no provocaron daños directos ni filtraciones en los sistemas y que los servicios perjudicados fueron restablecidos rápidamente.

Entre los objetivos se encontraron los municipios de Tårnby, Ishøj, Gentofte y Rødovre, junto con empresas como GN Store Nord y Gyldendal, de acuerdo con lo verificado por The Local Denmark.

El ataque también impactó a organismos nacionales como el Ministerio de Transporte, el portal público Borger.dk y la firma de defensa Terma, que confirmó un intento de acceso no autorizado, sin consecuencias de seguridad ni pérdida de datos, según informó su portavoz Tobias Brun-Falckenkrone a la agencia AFP.

El ministro de Seguridad Pública, Torsten Schack Pedersen, advirtió en declaraciones a la cadena Nyheder que estos ciberataques podrían intensificarse en las próximas semanas, especialmente de cara a las elecciones municipales y regionales previstas para el 18 de noviembre.

Las autoridades intensificaron el monitoreo en colaboración con el Servicio de Inteligencia de Defensa, en lo que consideran un esfuerzo conjunto para proteger la infraestructura crítica frente a nuevas amenazas.

Según un informe de Cyberlands, Dinamarca, uno de los países más digitalizados del mundo, ha aumentado considerablemente sus inversiones en ciberdefensa tras incidentes previos como el hackeo al Ministerio de Defensa en 2015 y 2016 (atribuido al grupo ruso APT28), el ataque con malware SolarWind al Banco Nacional en 2020 y la propagación de NotPetya que afectó a Maersk.

Entre 2022 y 2024, el gobierno destinó casi 42 millones de dólares (270 millones de coronas danesas) para reforzar la ciberseguridad nacional. El país también cuenta con sistemas de alerta y programas de autoprotección digital, como la aplicación “Mi autoprotección digital”, en respuesta al aumento de incidentes de ransomware y filtraciones de datos reportados tanto en el sector público como en el privado.

El despliegue de defensa digital permitió restaurar los servicios afectados sin filtraciones de datos sensibles ni daños estructurales. Las autoridades danesas siguen en alerta ante posibles nuevos incidentes, especialmente en el actual contexto electoral, fortaleciendo la cooperación entre organismos estatales, empresas y expertos para responder ante eventuales ciberataques.

Esta no es la primera vez que ocurre un hecho similar en Europa. La semana pasada, El Ministerio de Defensa de Bélgica informó que el sitio web del Servicio General de Inteligencia y Seguridad (SGRS) fue atacado por el grupo de hackers prorruso NoName057. Según la cadena pública VRT, el ataque consistió en una sobrecarga de tráfico digital (ataque DDoS) y fue reivindicado por los autores a través de su canal en Telegram.

La acción provocó una interrupción temporal del portal, pero las autoridades aclararon que no se produjeron accesos no autorizados ni filtraciones de información sensible. El sitio fue restablecido y actualmente funciona con normalidad.

NoName057 justificó el ataque como una advertencia al ministro de Defensa, Theo Francken, quien había declarado que, si Rusia atacara Bruselas, la OTAN respondería destruyendo Moscú.

(Con información de Europa Press y AFP)

La Fiscalía General del Estado de Guanajuato (FGEG) enfrenta una grave crisis de ciberseguridad tras un presunto ataque de ransomware que habría comprometido sus sistemas informáticos y, por consiguiente, expuesto información confidencial. En las últimas horas, el grupo internacional de hackers Tekir APT se atribuyó la autoría del ciberataque, el cual paralizó las plataformas digitales de la institución y afectó sus servicios internos desde el pasado viernes.

El martes 11 de noviembre, la cuenta especializada en ciberseguridad Hackmanac reveló que la FGEG habría sido víctima de un ciberataque masivo. Según el grupo Tekir APT, los atacantes lograron encriptar todos los subdominios vinculados al estado, los cuales incluyen los de la fiscalía, policía y dependencias municipales.

Además, afirmaron haber extraído más de 250 Gigabytes (GB) de información sensible entre la que se incluirían identificaciones oficiales, expedientes judiciales, correos internos y bases de datos confidenciales.

Como parte de la estrategia de presión, los hackers difundieron pruebas de acceso y advirtieron que filtrarían toda la información el próximo 20 de noviembre de 2025 si no se paga un posible rescate. A la par, el mensaje fue replicado en redes sociales y medios especializados.

La respuesta oficial y la contingencia digital interna

La FGEG emitió un comunicado oficial en el que informó que se encuentra realizando una “revisión preventiva de sus controles de seguridad”, pero sin confirmar explícitamente el hackeo ni la autoría del ataque. En el mismo documento, la dependencia aseguró que mantiene su compromiso con la protección de la información y pidió a la ciudadanía consultar únicamente sus canales oficiales.

Sin embargo, en un aviso interno dirigido al personal, la fiscalía reconoció que el incidente fue severo y que se están realizando trabajos técnicos de recuperación y verificación de daños.

También se solicitó a los empleados desconectar sus equipos de la red como medida inmediata “para evitar la propagación del virus”, lo que confirma la afectación directa a los sistemas operativos institucionales.

¿Qué tipo de información fue vulnerada?

Aunque la FGEG no ha detallado públicamente el tipo de datos comprometidos, el grupo Tekir APT asegura haber accedido a archivos judiciales, registros personales, documentos clasificados y comunicaciones internas. La filtración de estos datos podría poner en riesgo investigaciones en curso, procesos penales y la integridad de víctimas y testigos. Además, podrían vulnerarse derechos de privacidad de ciudadanos y funcionarios.

Fuentes consultadas por medios locales señalaron que diversas áreas de la fiscalía operan actualmente de forma manual. Esto último ante la imposibilidad de acceder a los sistemas digitales; por ello, esta situación ha generado retrasos en trámites, atención a víctimas y procesos administrativos mientras se evalúa el alcance del daño.

Riesgos y consecuencias digitales

De confirmarse la infiltración, el ataque podría tener implicaciones graves en la seguridad jurídica del estado, puesto que podrían afectarse procesos penales, protección de datos personales y la confianza institucional.

Hasta el momento, la FGEG no ha confirmado si se establecerá contacto con los atacantes ni si se contempla el pago del rescate. Tampoco se ha informado sobre el inicio de una investigación penal o la participación de instancias federales como la Guardia Nacional (GN) o la Secretaría de Seguridad y Protección Ciudadana (SSPC) federal.

El Ministerio de Transportes y Comunicaciones (MTC) hizo pública una aclaración este domingo tras la difusión de reportes periodísticos sobre un presunto ataque informático en sus sistemas.

El comunicado oficial, replicado por diversos medios, enfatiza que el sistema de brevetes y otras plataformas críticas no han resultado afectadas y mantienen su funcionamiento habitual.

Según detalló la entidad, la información difundida en medios nacionales alude principalmente al Sistema de Trámite Documentario (STD), una herramienta empleada para la gestión administrativa interna del ministerio.

El MTC aseguró que los sistemas relativos a brevetes, gestión aeronáutica y transporte terrestre operan de manera independiente y no han sufrido alteraciones debido a incidentes externos.

El ministerio desestimó cualquier intento de asociar los bloqueos de accesos pedidos a partir del 14 de octubre con los incidentes mencionados en los reportes, pues estos incidentes corresponden al periodo comprendido entre los días 23 de septiembre y 4 de octubre del presente año.

Reacciones y acciones institucionales tras alertas de ataque informático

En el comunicado, el MTC reiteró su compromiso de colaborar con la Fiscalía de la Nación y la Contraloría de la República en la investigación y esclarecimiento de los hechos reportados.

Estas diligencias buscan determinar responsabilidades y transparentar los detalles del suceso para fortalecer la confianza en los procesos institucionales.

La entidad resaltó que, como parte de su política de modernización y seguridad digital, ha activado un plan de fortalecimiento de la ciberseguridad.

Este plan se implementa en coordinación con la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros, realizando evaluaciones conjuntas sobre la funcionalidad y seguridad de todas las plataformas institucionales.

Además, el MTC llevará a cabo auditorías externas especializadas en sus sistemas críticos para advertir cualquier señal de afectación y reforzar los protocolos pertinentes.

Respecto a la protección de información y la seguridad en sus procesos internos, el MTC informó sobre las medidas de revisión y reforzamiento permanente de los controles de acceso, la gestión de parches, la infraestructura de red y los protocolos de respuesta ante incidentes informáticos.

Estas acciones se complementan con programas continuos de capacitación en ciberseguridad dirigidos a todo el personal vinculado a los sistemas y la operatividad digital de la entidad.

Finalmente, la institución reafirmó su compromiso con la integridad de la información, la seguridad de los sistemas públicos y la transparencia en la gestión de servicios esenciales, reiterando que los sistemas vinculados al otorgamiento y control de licencias de conducir siguen funcionando sin interrupciones.

El MTC garantiza la continuidad en la atención a la ciudadanía, asegurando que los trámites y servicios digitales relacionados a brevetes y demás gestiones estratégicas permanecen disponibles y libres de afectaciones por el incidente reportado.

El Ministerio de Defensa de Bélgica confirmó este viernes que la página web del Servicio General de Inteligencia y Seguridad (SGRS) fue blanco de un ataque informático perpetrado por el grupo de hackers prorruso NoName057.

Según la cadena pública VRT, el ataque, de tipo denegación de servicio distribuido (DDoS), fue reivindicado el mismo jueves por los autores a través de su canal en la red social Telegram. El Ministerio precisó que el ataque afectó temporalmente el funcionamiento del sitio web, pero que “no hubo intrusión en el sitio y nada indica que se accediera a informaciones sensibles o que se hayan difundido datos”. Informaron que el portal ya fue restablecido y opera con normalidad.

En su comunicado, los atacantes justificaron la acción como una advertencia al ministro de Defensa Theo Francken, quien recientemente declaró en una entrevista que, en caso de un ataque ruso contra Bruselas, la OTAN “arrasaría” a Moscú.

“Aconsejamos al ministro belga que no haga ese tipo de declaraciones”, advirtió el grupo en su mensaje difundido poco después de las 18:00 horas del jueves.

A finales del año pasado, el grupo NoName057 ya había lanzado una serie de ciberataques consecutivos contra organismos gubernamentales y medios de comunicación belgas, en una ofensiva que se prolongó durante varios días. En los últimos tiempos, el grupo ha intensificado nuevamente su actividad, y el miércoles pasado atacó los sitios web de los proveedores de telecomunicaciones Proximus y Scarlet, ampliando su ofensiva digital contra objetivos estratégicos del país.

El episodio ocurre en un contexto de creciente tensión por una serie de avistamientos de drones que durante la última semana forzaron la suspensión del tráfico aéreo en varias ocasiones, tanto en los aeropuertos de Bruselas y Lieja, como en tres bases militares del país. Aunque el Gobierno belga no ha atribuido oficialmente responsabilidades, sus servicios de inteligencia apuntan a la posible implicación de un actor estatal extranjero, con Rusia como principal sospechoso. El propio ministro Francken descartó que se trate de simples incidentes aislados, al señalar que las incursiones no son obra de aficionados, sino operaciones coordinadas.

Las autoridades consideran que la coincidencia temporal entre los ciberataques y los incidentes con drones no es casual. Los hechos se producen en vísperas del debate gubernamental sobre la utilización de activos rusos congelados —unos 185.000 millones de euros retenidos en la entidad Euroclear— para financiar la reconstrucción de Ucrania. Aunque el primer ministro Bart De Wever vetó el uso de esos fondos en la última cumbre de la Unión Europea, el tema volverá a discutirse en diciembre.

En ese contexto, el ministro Francken sugirió la posibilidad de derribar los drones que violen el espacio aéreo belga y aseguró que el país mantiene una coordinación estrecha con sus socios europeos, ya que en las últimas semanas se han detectado aparatos no identificados cerca de aeropuertos y bases militares en varios estados miembros de la UE. “La amenaza es seria, hay que ser conscientes de ello”, advirtió Francken ante el Parlamento.

Los recientes avistamientos en Bélgica se suman a una serie de incursiones similares registradas desde mediados de septiembre en el espacio aéreo europeo, con incidentes reportados en España, Estonia, Dinamarca, Polonia, Noruega, República Checa y Alemania, lo que refuerza las alertas de seguridad en todo el continente.

(Con información de Europa Press)

Los especialistas en ciberseguridad vienen advirtiendo que continúa en aumento el uso de ataques automáticos que prueban múltiples combinaciones hasta dar con la clave correcta. Es una técnica antigua, pero sigue vigente porque depende de un error que todavía cometen millones de personas: usar contraseñas débiles. Distintos laboratorios indicaron que, cuando se trata de claves previsibles o numéricas cortas, el acceso puede concretarse en apenas un par de segundos.

Los ataques más simples consisten en que el sistema del delincuente intenta una clave tras otra hasta que una coincide con la que requiere el servicio. Para evitarlo, muchas plataformas empezaron a limitar la cantidad de intentos o a obligar al usuario a activar una segunda capa de seguridad, como códigos enviados al celular o verificación biométrica. Sin embargo, esa protección adicional no está habilitada en todos los servicios y el resultado es que siguen existiendo espacios vulnerables.

En este escenario aparece el ataque de diccionario, una variante de fuerza bruta que aplica una lista ya preparada de contraseñas comunes. Esta lista está formada por claves que se repiten todos los años: combinaciones numéricas sencillas, nombres propios, palabras cortas o frases populares. El atacante las introduce de forma automática con herramientas diseñadas para escribir y probar cada una en segundos. Si alguna coincide, obtiene el acceso.

Lo que hace que este tipo de agresión digital sea grave es que ni siquiera requiere grandes recursos técnicos. El software está disponible de modo público y solo basta un equipo básico para ejecutarlo. Incluso existe una versión más peligrosa: la que se arma con datos personales de la víctima. Cuando los delincuentes cuentan con información previa del usuario —ciudad de residencia, apodo, fecha de nacimiento o nombres de familiares— pueden construir un listado a medida, aumentando la probabilidad de éxito.

Nunca uses este tipo de contraseñas

Los informes de las compañías de ciberseguridad son claros: hay combinaciones que se descifran en menos de un segundo. Entre las más frágiles se encuentran secuencias numéricas que van del “0000” al “123456”, palabras geográficas, nombres de países, frases populares, letras repetidas o patrones de teclado evidentes. Muchos usuarios las mantienen por costumbre, comodidad o falta de tiempo para pensar en una alternativa mejor, lo que deja las puertas abiertas a ser víctimas.

De igual forma, en los dispositivos y cuentas recién activadas a veces se incorporan claves temporales predeterminadas para un primer inicio de sesión. Si el usuario no las cambia por una más robusta, seguirá expuesto porque los delincuentes ya conocen estos formatos por defecto. Es uno de los errores más comunes en routers, correo electrónico nuevo, tarjetas SIM al estrenar una línea móvil o incluso en servicios de streaming compartidos.

Además, es importante tener en cuenta que esta técnica no se limita al acceso de redes sociales. Una vez que el atacante obtiene la contraseña, puede entrar a cuentas financieras, plataformas de trabajo remoto, tiendas en línea o servicios de mensajería. El daño potencial incluye transacciones no autorizadas, robo de información personal o suplantación de identidad.

Cómo crear una contraseña segura

Los expertos recomiendan evitar cualquier palabra común del diccionario y combinar letras mayúsculas y minúsculas con símbolos y números. Incluir caracteres únicos también puede incrementar la dificultad, ya que muchos diccionarios de ataque están diseñados para idiomas específicos o teclados estándar. Una contraseña larga —de más de 12 caracteres— eleva considerablemente la barrera de seguridad.

Otra alternativa es reducir la dependencia de claves tradicionales. Cuando es posible, los sistemas biométricos, como desbloqueo por huella o reconocimiento facial, añaden un nivel superior de protección porque no pueden ser replicados con simples listas automatizadas. De igual manera, los gestores de contraseñas ayudan a generar combinaciones robustas distintas en cada servicio, evitando repetir la misma en todas las plataformas.

Un estudio reciente identificó una debilidad crítica en la gestión de la ciberseguridad corporativa en Colombia: el 42% de las empresas no capacita a su personal para detectar fraudes en línea. Esta carencia pone en evidencia un riesgo sistémico, ya que los empleados continúan siendo el objetivo principal de los ciberataques.

En un contexto donde uno de cada tres incidentes de seguridad se origina por credenciales sustraídas de trabajadores, la preparación insuficiente convierte a los colaboradores en el punto más frágil de la defensa digital.

Ciberseguridad empresarial: el eslabón más vulnerable sigue siendo el empleado

El análisis de Kaspersky pone de manifiesto cómo la falta de formación en prevención de ataques de ingeniería social incrementa las probabilidades de que las compañías sufran ciberataques. La estadística revela que casi la mitad de las organizaciones en Colombia no implementan entrenamientos para sus equipos, socavando la capacidad de identificación y respuesta ante amenazas como el phishing.

El phishing mantiene su vigencia como una de las mayores amenazas en la región. Los ciberdelincuentes perfeccionan sus métodos utilizando recursos facilitados por la Inteligencia Artificial, lo que les permite personalizar sus engaños y superar los filtros tradicionales.

Los atacantes envían correos electrónicos que aparentan provenir de altas directivas o contienen supuestas actualizaciones a políticas internas. Estos mensajes suelen incluir archivos infectados, lo que pone en jaque la confidencialidad y la integridad de la información empresarial.

El impacto de estas prácticas trasciende la pérdida de datos. Las consecuencias pueden incluir daños financieros directos, sanciones regulatorias multimillonarias y una serie de afectaciones a la reputación corporativa.

La incapacidad para actuar ante estos riesgos afecta gravemente la confianza de clientes, socios y proveedores, comprometiendo la reputación y la competitividad de una empresa en el mercado.

Uso de Inteligencia Artificial en estafas y técnicas de phishing personalizadas

Los fraudes a través del correo electrónico evolucionan gracias a los avances en tecnologías como la Inteligencia Artificial. Los atacantes ya no se conforman con enviar mensajes genéricos; cada vez son más sofisticados en la personalización de los contactos.

Correos que aparentan venir de ejecutivos con autoridad, combinados con documentos o enlaces diseñados para parecer legítimos a simple vista, buscan manipular la confianza de los empleados y lograr así el robo de datos, acceso no autorizado o incluso transferencias de dinero a cuentas fraudulentas.

Recientemente, se han detectado estafas mediante correos electrónicos personalizados con archivos maliciosos disfrazados de actualizaciones de políticas internas de empresas, o donde los ciberdelincuentes se hacen pasar por altos ejecutivos para engañar a empleados y obtener información confidencial, credenciales de acceso y hasta dinero.

Acciones para cerrar las brechas existentes en la protección digital de las empresas

En el contexto del mes de la Ciberseguridad, especialistas de Kaspersky proponen acciones prioritarias para cerrar las brechas existentes en la protección digital de las empresas. La primera medida recomendada es la formación regular y transversal de todo el personal, desde la alta dirección hasta el personal operativo, en temas como protección de cuentas en línea, seguridad del correo electrónico y cumplimiento de las normas de protección de datos.

Plataformas como Kaspersky Automated Security Awareness Platform permiten adaptar los módulos de capacitación según el perfil y necesidades de cada empleado.

La realización de simulacros de phishing y ejercicios interactivos representa otra táctica eficaz para evaluar de manera realista el nivel de preparación de los empleados. Estas prácticas permiten identificar áreas de mejora y refuerzan la capacidad de los colaboradores para reconocer y responder a incidentes potenciales en el día a día.

El liderazgo proactivo en materia de ciberseguridad es otro elemento indispensable. Fomentar el reporte de incidentes con liderazgo activo, donde la dirección predica con el ejemplo, impulsa la adopción de hábitos de autoprotección y trabajo en equipo, haciendo del reporte de actividades sospechosas una rutina natural en el entorno laboral.

Entre las recomendaciones centrales también figura el diseño de políticas de seguridad claras, que incluyan protocolos de acción detallados, controles de acceso por roles y gestión de permisos ajustados al nivel de responsabilidad de cada colaborador.

Por último, la integración de tecnologías de protección proactivas y avanzadas debe consolidar el escudo organizacional. La combinación de herramientas robustas con políticas adecuadas logra reducir la dependencia exclusiva del factor humano, unificando así una defensa integral contra amenazas corporativas cada vez más complejas y persistentes.

Superar la deuda identificada en la investigación presentada exige una transformación en las prácticas y valores de las empresas frente a la ciberseguridad. El cambio de cultura implica ver a cada colaborador como un frente de defensa crítico ante las amenazas digitales.

Como subraya Claudio Martinelli, director general para Américas en Kaspersky: “Invertir en su capacitación no solo protege a las empresas, sino que fortalece la resiliencia de todo el ecosistema corporativo frente a fraudes y riesgos emergentes. Un talento capacitado es indispensable para que las medidas y herramientas de protección que implemente cualquier organización realmente funcionen”.

Un nuevo episodio en la creciente ola de ataques informáticos sacude a la industria del videojuego. El grupo Crimson Collective, que se ha hecho conocido durante los últimos meses por vulnerar compañías tecnológicas y de software, ha asegurado haber comprometido los sistemas de Nintendo.

La filtración todavía no ha sido confirmada de forma oficial por la compañía japonesa, pero la amenaza añade presión sobre la seguridad digital de firmas globales en un año especialmente sensible para la ciberseguridad empresarial.

Supuesto ataque informático a Nintendo

La noticia del presunto ataque a Nintendo se difundió a través de Hackmanac en X (antes Twitter), donde Crimson Collective publicó una captura de pantalla. Esta imagen mostraría el árbol de directorios de lo que parecen ser archivos internos de Nintendo, entre los que se encuentran recursos administrativos, copias de seguridad de producción y manuales. Según se detalla, las carpetas evidencian acceso a activos y materiales críticos para la gestión y operación de la fabricante de videojuegos.

Crimson Collective ha desarrollado su accionar principalmente a través de Telegram, canal donde comparten evidencia de las incursiones y lanzan demandas de extorsión dirigidas a sus víctimas. De acuerdo con la alerta cibernética, el modus operandi del grupo incluye la explotación de configuraciones erróneas en la nube, la obtención de credenciales expuestas y la identificación de vulnerabilidades en aplicaciones web como vías de acceso.

Este colectivo se ha atribuido anteriormente la brecha masiva a Red Hat —donde extrajeron 570 GB de datos de más de 28.000 repositorios— así como incursiones a Claro Colombia y el defacement al sitio de Nintendo a finales de septiembre de 2025. Sus ataques recientes confirman una tendencia de especialización en empresas de tecnología, software y telecomunicaciones.

Antecedentes de ciberincidentes en Nintendo

Nintendo ya ha sido escenario de filtraciones y vulneraciones de datos en el pasado. En 2020, la firma atraviesa un incidente significativo que afectó a aproximadamente 160.000 cuentas de usuario. Las debilidades en el sistema Nintendo Network ID condujeron a la exposición de datos personales y a la posibilidad de compras sin autorización a través de cuentas asociadas.

Como reacción, Nintendo implementó un esquema de restablecimiento de contraseñas y estableció la autenticación de dos factores, junto con la suspensión del soporte de plataformas legadas para reducir la superficie de ataque.

La historia de la compañía revela un patrón de firmeza y rigidez frente a incidentes de seguridad. Mantener la confianza de millones de usuarios y proteger información sensible ha sido siempre una prioridad estratégica en la política de Nintendo.

Sin respuesta oficial de Nintendo

Hasta el momento, Nintendo no ha emitido ningún comunicado sobre el supuesto ciberataque del grupo Crimson Collective. La verdadera dimensión de la brecha, así como el alcance de la posible exposición de información confidencial, sigue siendo incierta. El proceder de la multinacional japonesa suele caracterizarse por una rápida movilización ante incidentes, por lo que se aguarda con expectativa cualquier anuncio en las próximas horas o días.

Este contexto reafirma el desafío constante que enfrentan las grandes firmas tecnológicas para fortalecer su ciberseguridad ante actores altamente sofisticados. Organizaciones como Nintendo no solo deben resguardar sus activos internos, sino también la integridad y privacidad de sus usuarios frente a amenazas que evolucionan de manera acelerada.

Cómo actuar ante una filtración de datos

Ante una filtración de datos, las organizaciones deben actuar con celeridad y precisión para minimizar el impacto y proteger la información afectada. El primer paso recomendado consiste en identificar y contener la brecha, limitando de inmediato el acceso al sistema comprometido y desactivando las cuentas o credenciales vulneradas. Paralelamente, se debe iniciar una investigación interna para determinar el origen y el alcance de la filtración, documentando cada hallazgo para colaborar posteriormente con expertos en ciberseguridad y, de ser necesario, autoridades regulatorias.

Esta fase de contención debe ir acompañada de una comunicación interna clara, instruyendo a los equipos sobre medidas específicas y evitando la propagación de información no verificada.

Una vez controlado el incidente y realizado un diagnóstico inicial, es fundamental informar a los usuarios afectados y a los organismos pertinentes, cumpliendo con la legislación vigente en materia de protección de datos personales. La notificación debe ser transparente, precisa y detallar las acciones de remediación adoptadas, así como recomendaciones para que los usuarios refuercen sus propias medidas de seguridad (como el cambio de contraseñas).

Discord, la plataforma de comunicación digital, ha confirmado que cerca de 70.000 usuarios resultaron afectados por un incidente de seguridad que expuso fotos de documentos oficiales de identidad. El ataque ocurrió a través de un proveedor externo de servicios que gestiona recursos de atención al cliente y recopilaba identificaciones para verificar la edad de los usuarios en la plataforma.

Este evento no solo ha generado preocupación entre la comunidad, sino también ha puesto en el centro de la discusión la protección de la información personal en servicios digitales que dependen de terceros para sus procesos clave.

Filtración de datos personales en Discord: fotos y detalles bancarios comprometidos

El incidente de robo de identificaciones oficiales en Discord se desencadenó tras un ciberataque dirigido específicamente contra un proveedor externo, encargado de gestionar las apelaciones relacionadas con la edad de los usuarios. Este proveedor tenía acceso a fotos de documentos oficiales como carnets de conducir y pasaportes, así como a ciertos datos sensibles, incluidos los últimos cuatro dígitos de tarjetas bancarias de algunos usuarios.

De acuerdo a lo explicado por la propia compañía, ese proveedor de atención al cliente recolectaba dicha información para verificar cuestiones asociadas al cumplimiento de edad en Discord, un proceso crucial para el funcionamiento responsable de la comunidad.

Tras detectar la vulnerabilidad, la compañía inició una investigación interna y logró especificar la magnitud del compromiso: aproximadamente 70.000 usuarios a nivel global tuvieron fotos de sus identificaciones filtradas.

El portavoz de Discord, Nu Wexler, detalló a The Verge que la cifra real dista notablemente de versiones virales publicadas en redes sociales como X. En estas redes, se había indicado que el volumen de datos expuestos alcanzaba 1,5 TB de imágenes de verificaciones de edad. Wexler desmintió tales afirmaciones y enmarcó la difusión de cifras desmesuradas como parte de un intento de extorsión a la empresa por parte de los responsables del ataque.

Discord responde al ciberataque

La reacción de Discord a la filtración de datos se ha centrado en varios frentes. Por un lado, la compañía ya contactó a los afectados a nivel global para notificarles sobre la exposición de sus datos y los pasos que deben seguir. Por otro, ha puesto fin a la relación comercial con el proveedor comprometido, asegurando que los sistemas involucrados han sido protegidos para evitar incidentes similares.

En palabras de su portavoz: “Nos tomamos muy en serio nuestra responsabilidad de proteger sus datos personales y comprendemos la preocupación que esto puede causar”. Discord ha subrayado que continúa colaborando con las fuerzas del orden, autoridades de protección de datos y expertos externos en seguridad para esclarecer completamente el caso y prevenir futuras vulneraciones.

Asimismo, la empresa remarcó que no recompensará a los responsables del delito y que mantiene una postura firme frente a toda tentativa de extorsión o aprovechamiento ilegal de la información sustraída.

Impacto y lecciones para la seguridad digital en plataformas online

La exposición masiva de identificaciones oficiales y datos personales en Discord pone de manifiesto los desafíos de manejar información confidencial a través de proveedores terceros.

Plataformas como Discord se ven en la obligación de revisar y reforzar los protocolos de seguridad asociados con la externalización de servicios críticos, en particular aquellos que requieren la recopilación de documentación sensible para cumplir lineamientos legales, como la verificación de edad.

Expertos y autoridades han reiterado la importancia de actuar con transparencia frente a incidentes de este tipo, informar rápidamente a los afectados y trabajar de la mano con entidades regulatorias y cuerpos de seguridad.

Discord, al igual que otras compañías enfrentadas a brechas similares en el pasado, ha tenido que tomar medidas correctivas urgentes, tanto técnicas como contractuales, para mantener la confianza de su comunidad y salvaguardar la integridad de la información.

La situación, además, subraya el creciente riesgo de extorsión digital a gran escala y la necesidad de protocolos eficaces para hacer frente a manipulaciones y campañas de desinformación en torno a filtraciones de datos.

La reciente afirmación de un grupo de hackers sobre la supuesta vulneración de los sistemas internos de Nintendo ha generado inquietud en la industria de los videojuegos y entre los seguidores de la compañía japonesa.

Bajo el nombre de Crimson Collective, los atacantes aseguran haber accedido a información confidencial, incluyendo manuales, herramientas de desarrollo y archivos relacionados con franquicias emblemáticas como Super Mario Bros. y The Legend of Zelda. Para respaldar su declaración, han difundido capturas de pantalla que mostrarían repositorios de carpetas pertenecientes a Nintendo, aunque hasta el momento la empresa no ha emitido ningún comentario oficial ni se ha confirmado la autenticidad del ataque.

Crimson Collective sostiene que dispone de datos sobre nuevos juegos, copias de seguridad y recursos administrativos de la compañía. En una publicación atribuida a los hackers, se lee: “¿Quién dijo que no teníamos archivos de temas de Nintendo?”, acompañada de una imagen que supuestamente evidencia el acceso a los sistemas internos.

Este incidente se suma a un ataque previo realizado por el mismo grupo contra Red Hat, una empresa tecnológica especializada en software de código abierto y servicios en la nube, lo que refuerza la percepción de que Crimson Collective apunta a grandes corporaciones del sector tecnológico.

A pesar de la difusión de estas pruebas, la veracidad del hackeo permanece en entredicho. Expertos en ciberseguridad y miembros de la comunidad tecnológica han comenzado a analizar las capturas de pantalla y a buscar indicios que permitan verificar la magnitud y autenticidad del supuesto acceso no autorizado.

Hasta ahora, no se han presentado evidencias concluyentes que confirmen el robo de datos, y Nintendo mantiene silencio respecto a las acusaciones. Además, no existe información que indique que datos de clientes hayan resultado comprometidos en este incidente.

Filtraciones y ataques previos a Nintendo

El caso actual se inscribe en un contexto de antecedentes relevantes para Nintendo. En años recientes, la compañía ha enfrentado filtraciones de gran escala, como el denominado gigaleak, que expuso materiales inéditos de consolas como Nintendo 64, GameCube y Wii, incluyendo prototipos y documentos internos que arrojaron luz sobre procesos creativos hasta entonces desconocidos.

En 2020, Nintendo confirmó un problema de seguridad que afectó a unas 300.000 cuentas, con reportes de accesos no autorizados y cargos no reconocidos en métodos de pago vinculados. La respuesta de la empresa en esa ocasión consistió en recomendaciones inmediatas a los usuarios para mitigar los riesgos. Más recientemente, el llamado teraleak de Game Freak filtró miles de archivos relacionados con empleados y proyectos no anunciados, así como material sobre el futuro de la franquicia Pokémon.

Procedimiento habitual de Nintendo

Frente a este tipo de incidentes, Nintendo suele adoptar un procedimiento cauteloso. La compañía prioriza la investigación interna antes de emitir cualquier declaración pública, con el objetivo de identificar posibles vulnerabilidades y proteger la integridad de sus sistemas.

Solo después de completar este proceso, la empresa comunica los resultados y las medidas adoptadas, buscando tranquilizar a los usuarios y restaurar la confianza en su plataforma. En situaciones donde los ataques resultan infundados, Nintendo opta por aclarar que sus sistemas no han sido vulnerados mediante comunicados oficiales.

Mientras la comunidad permanece a la espera de una postura oficial y de pruebas más contundentes, la incertidumbre sobre el alcance real del supuesto ciberataque persiste. Por ahora, solo queda aguardar el desarrollo de los acontecimientos y la eventual confirmación o desmentido de los hechos por parte de la compañía.

Una compañía española consigue entrar en los nuevos planes de defensa de los ciberataques de Europa. La Comisión Europea y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) han elegido a la empresa GMV como nuevo integrante de la nueva ciberreserva europea.

Esta decisión sitúa a GMV entre el grupo reducido de proveedores que podrán ofrecer capacidad de respuesta inmediata ante ciberataques de gran escala e impacto dirigidos a la Unión Europea (UE). La reciente aprobación de la Cyber Solidarity Act ha establecido un marco común para la detección, preparación y respuesta coordinada frente a incidentes críticos en el ciberespacio.

Entre sus ejes principales se encuentra la creación de la Reserva de Ciberseguridad de la UE. Se trata de un mecanismo avanzado de colaboración público-privada que contará únicamente con empresas líderes en ciberseguridad, seleccionadas mediante criterios técnicos y experiencia acumulada en el sector.

Entrada de GMV en la defensa europea

GMV es un grupo tecnológico español fundado en 1984, de capital privado y presencia internacional. Su actividad abarca los sectores de espacio, aeronáutica, defensa y seguridad, ciberseguridad, sistemas inteligentes de transporte, automoción, sanidad, telecomunicaciones y tecnologías de la información para administraciones públicas y grandes empresas.

“Formar parte de la ciberreserva europea supone un reconocimiento a nuestra trayectoria de décadas en los sectores de ciberseguridad y de defensa, y refuerza nuestro compromiso con la seguridad digital de Europa”, remarcó Mariano Benito, Cibersecurity & Privacy Ambassador de Secure e-Solutions en GMV.

El ejecutivo añadió que la empresa está preparada “para actuar cuando se nos necesite, aportando tecnología, experiencia y capacidad de respuesta inmediata frente a ciberamenazas críticas”. La presencia de GMV en este nuevo esquema de respuesta coloca su tecnología y personal al servicio de la protección de infraestructuras críticas en sectores clave como la energía, el transporte, la sanidad o las telecomunicaciones.

Según la compañía, la selección pone de manifiesto no solo la competitividad de la ingeniería nacional, sino la confianza de los organismos europeos en la capacidad de respuesta de sus expertos y sistemas. Con más de 30 años de trayectoria, GMV tiene un equipo multidisciplinar, centros de operaciones de seguridad de última generación y experiencia en la gestión de incidentes de alto impacto.

La ciberreserva europea

La ciberreserva europea es una iniciativa impulsada por la UE para fortalecer la defensa colectiva frente a amenazas cibernéticas. Consiste en la creación de una red de equipos de expertos en ciberseguridad que pueden movilizarse rápidamente ante incidentes graves que afecten a alguno de los países miembros.

Esta fuerza de respuesta actúa bajo un marco de cooperación estructurada, con protocolos comunes y mecanismos de coordinación definidos. El objetivo es reforzar la fuerza digital del continente, compartir información crítica y proporcionar asistencia técnica inmediata en caso de ataques cibernéticos de gran escala.

La ciberreserva es parte fundamental de la estrategia europea para proteger infraestructuras esenciales, sistemas gubernamentales y servicios clave, y promover la colaboración transnacional frente a una amenaza que no reconoce fronteras. Su despliegue busca complementar los recursos nacionales, optimizar la reacción ante crisis y contribuir a la seguridad digital europea.

Una falla de seguridad en el navegador Comet, desarrollado por Perplexity, ha sido descubierta por expertos en ciberseguridad. El problema permite a atacantes robar información confidencial, como datos vinculados a servicios de correo y calendario, al aprovechar la ejecución de prompts ocultos a través de enlaces disfrazados.

El ataque, conocido como CometJacking, revela cómo herramientas basadas en inteligencia artificial pueden convertirse en vectores de riesgo si no se aplican controles adecuados.

Ataque CometJacking: método y alcance de la amenaza

El ataque denominado CometJacking explota una vulnerabilidad muy específica en el navegador Comet. Investigadores detallan que la ofensiva opera inyectando prompts maliciosos en enlaces aparentemente legítimos. Cuando un usuario hace clic en uno de estos enlaces, la inteligencia artificial integrada en el navegador ejecuta un comando oculto.

Este comando accede a datos personales y los transfiere directamente al servidor del atacante, sin que la víctima perciba anomalías durante su navegación.

Michelle Levy, experta de seguridad en LayerX, subraya la gravedad del problema al señalar: “no se trata solo de robar datos; es sobre secuestrar al agente que ya tiene las llaves”. El ataque convierte al navegador en un actor interno hostil que utiliza los privilegios y el acceso a servicios conectados, incluidas aplicaciones como Gmail y Calendario.

El procedimiento se desarrolla en cinco fases: primero, la víctima recibe un enlace malicioso, ya sea en campañas de phishing por correo electrónico o distribuidos en sitios web. Al hacer clic, el enlace no lleva al usuario al destino deseado, sino que activa un prompt secreto dentro del navegador. Este proceso da como resultado la sustracción de información personal, enviada automáticamente a los sistemas controlados por los atacantes, generando un riesgo potencial tanto para individuos como para organizaciones.

Vulnerabilidad en inteligencia artificial: riesgos para empresas y usuarios

El contexto pone de manifiesto cómo los navegadores equipados con inteligencia artificial pueden ser doblemente vulnerables, no solo por el acceso directo a datos sino también por la dificultad de detectar actividades anómalas. Los atacantes eluden sistemas tradicionales de protección de datos recurriendo a técnicas de evasión simples, como la codificación en Base64, según se observa en la reciente investigación.

A pesar de la gravedad de los hallazgos, Perplexity minimizó el impacto señalando que la vulnerabilidad reportada no presenta un “impacto en la seguridad”. Este enfoque contrasta con las advertencias de los expertos en ciberseguridad, quienes insisten en la necesidad urgente de revisar los protocolos y los mecanismos de supervisión frente a los llamados prompts maliciosos, ya que los navegadores AI pueden transformarse en verdaderos puntos de control encubiertos dentro de redes empresariales.

La posible generalización de los ataques representa una amenaza concreta para el entorno corporativo, pues basta con que un solo usuario interactúe con un enlace modificado para que el atacante obtenga acceso a información estratégica y alcance múltiples servicios vinculados al perfil del usuario.

Nuevas tendencias en ciberataques a navegadores de inteligencia artificial

La aparición del CometJacking marca un hito en los métodos empleados por ciberdelincuentes para explotar las herramientas de IA. El caso evidencia que las medidas estándar de protección resultan insuficientes ante la sofisticación de los ataques enfocados en asistentes inteligentes basados en prompts.

La capacidad de un enlace para activar comandos ocultos convierte cualquier mecanismo asociado a la inteligencia artificial en una pieza potencialmente vulnerable dentro del sistema informático de una organización.

Expertos remarcan que el fenómeno destaca la importancia de un enfoque proactivo en la gestión de riesgos tecnológicos. Las organizaciones, especialmente aquellas que integran navegadores inteligentes entre sus herramientas cotidianas, deben actualizar sus controles y sensibilizar a los usuarios respecto del impacto que puede tener un solo clic en la integridad de los datos corporativos.

El desarrollo de nuevas tácticas defensivas centradas en la detección y neutralización de prompts encubiertos será fundamental en la evolución de la ciberseguridad aplicada a plataformas de inteligencia artificial.

La inminente escasez de Asahi Super Dry amenaza con dejar a Japón sin su cerveza más popular en cuestión de días, tras un ciberataque que ha paralizado la producción nacional de Asahi Group. La interrupción, que ya se extiende por cuatro jornadas, ha obligado a la mayoría de las 30 fábricas de la compañía a suspender operaciones desde el lunes, al quedar inutilizados sus sistemas de pedidos y distribución, según informó la empresa a Financial Times.

El impacto de este incidente ya se percibe en los comercios. Lawson, una de las principales cadenas de tiendas de conveniencia del país, advirtió en un comunicado que, debido a la situación, “es posible que algunos de estos productos comiencen a escasear cada vez más a partir de mañana”. La preocupación se extiende a los supermercados y bares izakaya, donde la cerveza de barril y en botella podría agotarse en breve.

Un directivo de otro gran minorista japonés, citado por Financial Times, describió la magnitud del problema: “Esto está afectando a todos. Creo que pronto nos quedaremos sin productos. En el caso de Super Dry, calculo que en dos o tres días se agotará en los supermercados y los productos alimenticios de Asahi en aproximadamente una semana”. El mismo ejecutivo señaló que recurrirán a marcas alternativas como Suntory o Kirin para satisfacer la demanda, aunque reconoció que muchos consumidores muestran una lealtad inquebrantable al sabor de Super Dry.

Asahi evitó pronunciarse sobre la posible escasez o el nivel de inventario de los minoristas. Según cálculos de Financial Times basados en las ventas de 2024, la cervecera produce en Japón el equivalente a 6,7 millones de botellas grandes de cerveza al día, cifra que subraya la magnitud de la interrupción.

El ataque sufrido por Asahi se suma a una serie de incidentes cibernéticos que han afectado recientemente a grandes empresas. Esta misma semana, el gobierno del Reino Unido concedió una línea de crédito de emergencia de 2.000 millones de libras a Jaguar Land Rover tras un mes de parálisis productiva causada por un ciberataque.

Expertos en ciberseguridad del grupo tokiota Nihon Cyber Defence (NCD) explicaron que las empresas japonesas se han convertido en objetivos atractivos para los atacantes de ransomware, debido a la debilidad de sus defensas y a la tendencia de muchas compañías a pagar los rescates exigidos a través de canales no oficiales.

En 2024, la Agencia Nacional de Policía de Japón recibió 222 denuncias oficiales de ataques de ransomware, lo que representa un aumento del 12% respecto al año anterior. Sin embargo, especialistas de NCD advirtieron que esta cifra refleja solo una pequeña parte del volumen real de ataques.

Una encuesta de la agencia policial reveló que en el 49 % de los casos de ransomware, las empresas japonesas tardaron al menos un mes en recuperar los datos perdidos. Asahi aseguró en un comunicado que no se ha confirmado ninguna filtración de datos de clientes a terceros.

La creciente alarma en los sectores público y privado llevó a Japón a aprobar en mayo una ley que otorga al gobierno mayores facultades para combatir de forma proactiva a los ciberdelincuentes y hackers patrocinados por Estados. Itsunori Onodera, presidente del consejo de investigación de políticas gubernamentales, advirtió entonces que, sin una mejora urgente de la ciberseguridad nacional, “la vida de los japoneses estará en peligro”.

El alcance de Asahi va más allá de la cerveza. Además de Super Dry, la empresa produce refrescos, caramelos de menta, alimentos para bebés y productos de marca blanca para minoristas japoneses. Las acciones de la compañía cayeron 2,6 % el jueves. Un portavoz de Asahi indicó a Financial Times que la investigación sobre si el ataque fue de tipo ransomware sigue en curso.

Como consecuencia directa del incidente, Asahi ha pospuesto indefinidamente el lanzamiento de ocho nuevos productos, entre ellos una soda de frutas, una gaseosa de jengibre con limón y barritas proteicas.

El miércoles, la empresa realizó una prueba piloto utilizando sistemas en papel para gestionar pedidos y entregas a pequeña escala, y evalúa la posibilidad de ampliar este método manual. Las operaciones internacionales, como las de Europa donde comercializa Peroni Nastro Azzurro, no se han visto afectadas por el ciberataque.

Un grupo de hackers autodenominado Radiant ha perpetrado un ataque contra la cadena internacional de guarderías Kido, en el que accedió a información altamente sensible, como imágenes, nombres, direcciones y datos de padres y tutores de unos 8.000 niños.

La noticia, difundida por BBC News, revela que el propósito de los atacantes era extorsionar a la empresa, que gestiona 18 sedes en Londres y la región cercana, además de contar con operaciones en Estados Unidos e India. Este robo de fotografías y datos personales ha provocado preocupación por la seguridad digital en el sector educativo infantil.

El ataque, reportado a la Policía Metropolitana de Londres el 25 de septiembre, expuso no solo los datos de los menores, sino también notas de protección y detalles familiares. Los ciberdelincuentes, que contactaron directamente a algunos padres por teléfono y correo electrónico, han publicado parte de la información robada en la darknet. Entre los datos divulgados se encuentran fotografías y perfiles de al menos 10 niños, como parte de la presión para obtener un rescate económico de la compañía.

BBC News recogió declaraciones de los propios hackers, quienes justificaron su acción alegando que “no pedimos una suma enorme” y que “merecemos una compensación por nuestra prueba de penetración”, término que en el ámbito de la ciberseguridad se refiere a evaluaciones autorizadas de vulnerabilidades, aunque en este caso la intrusión se realizó sin consentimiento alguno. Los atacantes admitieron que su motivación principal es económica y que el grupo Radiant es relativamente nuevo en este tipo de delitos.

La reacción de expertos en ciberseguridad y autoridades no se hizo esperar. Graeme Stewart, de la firma Check Point, calificó el ataque como “un nuevo mínimo absoluto” y consideró “indefendible” poner deliberadamente a niños y escuelas en la línea de fuego.

Por su parte, Jonathon Ellison, del National Cyber Security Centre, describió el incidente como “profundamente angustiante” y subrayó que “los ciberdelincuentes atacarán a cualquiera si creen que pueden obtener dinero, y hacerlo contra quienes cuidan de niños es especialmente atroz”. Rebecca Moody, responsable de investigación de datos en Comparitech, advirtió que la naturaleza de la información publicada “enciende todas las alarmas” y recomendó que la empresa contacte “con urgencia” a los afectados.

Reacción de Kido y comunicación con los padres

En cuanto a la respuesta de la empresa, Kido no ha emitido declaraciones públicas, aunque tanto padres como empleados han sido notificados del incidente. Un empleado indicó que la guardería solicitó a las familias no hablar con los medios, aunque algunos padres decidieron compartir su experiencia. Mary, madre de uno de los niños afectados, relató que la notificación de la guardería fue rápida y que su familia recibió un correo electrónico de los hackers detallando la información sustraída.

“Todo fue muy profesional y bien redactado, sin errores ortográficos”, explicó, y añadió que, pese a la gravedad, considera que la guardería gestionó la situación de manera adecuada. Otra madre, Bryony Wilde, lamentó que “los niños son víctimas completamente inocentes” y cuestionó que “sus datos personales deban tener algún valor”.

El caso de Kido se suma a una serie de ciberataques recientes que han afectado a grandes empresas y organizaciones en Reino Unido, como Jaguar Land Rover, M&S y la cadena de supermercados Co-op, donde las operaciones sufrieron graves interrupciones. Este contexto refuerza la preocupación sobre la vulnerabilidad de instituciones que manejan información sensible, especialmente cuando se trata de menores de edad.

Las autoridades han reiterado sus recomendaciones ante este tipo de incidentes. La Policía Metropolitana confirmó que la investigación está en curso y que la Unidad de Delitos Cibernéticos sigue las primeras etapas del caso.

Tanto la policía como la Oficina del Comisionado de Información desaconsejan el pago de rescates, ya que esto alimenta el ecosistema delictivo y no garantiza la recuperación o protección de los datos comprometidos. Un portavoz del organismo regulador señaló que Kido International ha reportado el incidente y que se está evaluando la información recibida.

El impacto de la filtración de datos de menores y la publicación de información tan delicada ha generado inquietud entre expertos y familias, quienes perciben este ataque como un salto cualitativo en la gravedad de los ciberataques recientes.

Un adolescente fue arrestado en Estados Unidos tras entregarse voluntariamente por su presunta participación en una serie de ciberataques dirigidos contra varios casinos en la ciudad de Las Vegas, Nevada. El joven, cuya identidad no ha sido revelada por tratarse de un menor de edad, se presentó el 17 de septiembre en el Centro de Detención Juvenil del Condado de Clark, en Las Vegas, según informó el Departamento de Policía Metropolitana de la ciudad en un comunicado emitido el viernes 19 de septiembre.

“Entre agosto y octubre de 2023, varios casinos de Las Vegas fueron blanco de sofisticadas intrusiones en la red”, indicó la policía local. La investigación reveló que los ataques fueron atribuidos a un grupo de ciberdelincuentes conocido bajo distintos alias, entre ellos “Scattered Spider”, “Octo Tempest”, “UNC3944” y “0ktapus”.

Vinculado a un grupo criminal cibernético internacional

Los ataques cibernéticos afectaron de forma directa a gigantes del sector hotelero y de entretenimiento como MGM Resorts y Caesars Entertainment. Ambas compañías sufrieron interrupciones masivas en sus operaciones tras los incidentes, los cuales derivaron en pérdidas estimadas en más de 100 millones de dólares. Según reportes presentados ante la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) en octubre de 2023, MGM detalló un impacto financiero cercano a los 100 millones de dólares, mientras que Caesars también reconoció haber sido blanco de un ciberataque en fechas similares.

La gravedad de estos hechos ha llevado a las autoridades del Condado de Clark a considerar una medida excepcional: procesar al menor como si fuera un adulto. “La Fiscalía del Condado de Clark busca transferir al menor a la División Penal, donde sería juzgado como adulto”, afirmó la Policía Metropolitana de Las Vegas.

El caso fue investigado por el Grupo de Trabajo Cibernético del FBI en Las Vegas, que identificó al adolescente como sospechoso clave en los ataques. Entre los delitos que se le imputan se encuentra el de extorsión, aunque podrían sumarse más cargos a medida que avance el proceso judicial.

Ingeniería social y vulnerabilidades en LinkedIn

Uno de los aspectos más preocupantes del caso es la aparente sencillez con la que el atacante logró acceder a los sistemas internos de las empresas afectadas. Según información revelada por SFGATE, el hacker habría localizado a un empleado del hotel MGM Grand a través de LinkedIn, haciéndose pasar por él ante el departamento de soporte técnico de la compañía. Una vez establecida la falsa identidad, solicitó el restablecimiento de la contraseña del trabajador.

La estrategia fue efectiva. De acuerdo con un reporte de Forbes, el atacante logró penetrar los sistemas internos del MGM apenas “diez minutos” después de haber restablecido la contraseña. Las consecuencias fueron inmediatas: las tarjetas de acceso de las habitaciones quedaron inactivas, las máquinas tragamonedas dejaron de funcionar, las reservas fueron bloqueadas y los empleados no pudieron acceder a sus correos electrónicos.

Riesgos de seguridad y daños colaterales

MGM, en su declaración ante la SEC, aseguró que tomó medidas para mitigar el daño causado y proteger los datos de sus clientes. Según se indica en la presentación del 5 de octubre de 2023, la empresa afirmó haber adoptado acciones “para garantizar que los datos robados sean eliminados por el autor no autorizado”. Sin embargo, no se detalló si esta medida fue efectiva o si se llegó a un acuerdo con los atacantes.

El caso ha reabierto el debate sobre la seguridad digital en grandes corporaciones y el uso que los grupos criminales hacen de plataformas como LinkedIn para realizar ataques de ingeniería social. También pone en la mira la forma en que los sistemas internos de algunas empresas pueden ser vulnerables a técnicas relativamente simples de manipulación.

Por ahora, el joven permanece bajo custodia en el centro de detención juvenil, a la espera de que se determine si será juzgado bajo la ley juvenil o como adulto. De confirmarse la segunda opción, enfrentaría un proceso mucho más severo, con penas significativamente mayores.

Un adolescente fue arrestado en Las Vegas tras ser identificado como presunto responsable de una serie de ciberataques cometidos entre agosto y octubre de 2023 contra casinos locales, entre ellos MGM Resorts y Caesars Entertainment, provocando una pérdida por USD 100 millones. De acuerdo con un comunicado de prensa del Las Vegas Metropolitan Police Department (LVMPD), los ataques fueron realizados por un grupo conocido bajo varias denominaciones, incluyendo “Scattered Spider”, “Octo Tempest”, “UNC3944” y “0ktapus”.

El 17 de septiembre de 2025, el sospechoso, cuya identidad no ha sido revelada al tratarse de un menor de edad, se entregó a la justicia y fue ingresado en el centro de detención juvenil del condado de Clark. La Fiscalía del condado de Clark busca transferir el caso a la división penal para que el acusado enfrente los cargos como adulto. El LVMPD aseguró que la investigación fue asumida por la FBI Cyber Task Force de Las Vegas, en la que también interviene el grupo de investigaciones cibernéticas de la policía local.

Tras varios meses, los detectives lograron identificar al menor relacionado con el caso y le imputaron tres cargos por uso y obtención de información personal de otras personas para causar daño o suplantar, uno por extorsión, uno por conspiración para cometer extorsión y uno por actos ilícitos relacionados con sistemas informáticos. Entre los principales objetivos figuraron el Bellagio, Mandalay Bay, Mirage y Luxor. Los ciberataques causaron daños relevantes a los sistemas informáticos, interrumpiendo operaciones y bloqueando servicios clave para empleados y clientes.

Impacto y consecuencias en las operaciones de los casinos

Durante los ataques, el acceso a las habitaciones mediante tarjetas digitales quedó inutilizado, las máquinas tragamonedas dejaron de funcionar y los sistemas de registro y cajeros automáticos presentaron interrupciones en 30 propiedades de MGM Resorts. Estos problemas provocaron un caos operativo que se extendió por nueve días y afectó a huéspedes en las ciudades de Las Vegas, Atlantic City y Detroit, además de otras localizaciones internacionales.

El 10 de septiembre de 2023, la compañía procedió al apagado de sistemas para contener la intrusión tras detectar la brecha un día después del ataque inicial. En una declaración presentada por MGM ante la Securities and Exchange Commission (SEC) el 5 de octubre de 2023, se reportaron pérdidas cercanas a los USD 100 millones relacionadas directamente con el incidente de ciberseguridad de septiembre.

Mientras tanto, Caesars Entertainment notificó en sus propios documentos entregados a la SEC que también fue objeto de un ciberataque; la empresa aseguró que había tomado medidas para lograr la eliminación de los datos sustraídos, aunque reconocía que no podía garantizar ese resultado. La información comprometida incluía desde nombres completos, direcciones, teléfonos y fechas de nacimiento hasta pasaportes, números de seguridad social y licencias de conducir de clientes.

Técnicas de intrusión y respuesta de las autoridades

El método utilizado para penetrar en los sistemas de MGM Resorts consistió en ingeniería social: un hacker localizó a un empleado del área de TI de la empresa en la red profesional LinkedIn y, suplantando su identidad, persuadió al equipo de asistencia técnica de MGM para que restableciera la contraseña de acceso. El proceso duró menos de diez minutos, permitiendo a los atacantes ingresar al entorno informático de MGM e instalar el software de secuestro digital que inutilizó sus infraestructuras.

Según información aportada por la policía, tanto la acción como la reacción de los casinos afectados generaron consecuencias legales: tras la divulgación del alcance del robo, se presentaron varias demandas colectivas en Estados Unidos, las cuales fueron consolidadas en una sola que culminó con un acuerdo por USD 45 millones. Los afectados recibieron notificaciones por correo electrónico sobre las formas de reclamar compensación y monitoreo crediticio gratuito por un año.

La Comisión Federal de Comercio (FTC) abrió una investigación sobre las prácticas de ciberseguridad adoptadas por MGM Resorts para determinar posibles infracciones a la Ley Gramm-Leach-Bliley y la Ley de Informe de Crédito Justo. El 25 de enero de 2024, la FTC envió a MGM una demanda civil requiriendo información en 100 categorías distintas, lo que fue rechazado judicialmente por la compañía. Finalmente, en febrero de 2025, la FTC informó a los representantes legales de MGM que daba por terminada la investigación.

Según informó la agencia EFECOM, el aeropuerto berlinés mantiene la operativa manual en el proceso de facturación, tras el ataque informático sufrido por Collins Aerospace, empresa encargada de los sistemas de facturación y embarque para varias aerolíneas y terminales a nivel global. Representantes de Flughafen Berlin Brandenburg GmbH, la gestora del aeropuerto, confirmaron que todavía pueden aparecer inconvenientes en la gestión de los equipajes y el registro de pasajeros debido a la necesidad de operar fuera de los circuitos automatizados habituales.

El medio EFECOM detalló que, desde el mediodía del sábado, la situación comenzó a estabilizarse tras un notable refuerzo de los equipos destinados a los mostradores y áreas de atención al público. Esto permitió que, en la jornada del domingo, el flujo de facturación y embarque retomara cierta normalidad, aunque los trámites continúan dependiendo de recursos adicionales no previstos originalmente para estas tareas.

La compañía administradora informó a EFECOM que algunas aerolíneas emplean material adicional en el check-in y están utilizando métodos alternativos para ofrecer el servicio a los viajeros. El aeropuerto recomendó el uso de máquinas de autoservicio para la facturación de equipajes, buscando reducir las filas y agilizar la atención ante posibles retrasos o saturaciones en los mostradores tradicionales.

Fuentes de Flughafen Berlin Brandenburg GmbH mencionaron que la movilización extraordinaria de personal, puesta en marcha este domingo, ha contribuido a estabilizar la situación y evitar colapsos, sobre todo ante la previsión del aumento de usuarios causados por el evento deportivo. No obstante, admiten que el restablecimiento completo de los procesos automatizados aún depende de la resolución del ataque sufrido por Collins Aerospace, cuyo origen aún no ha sido identificado.

El impacto del ciberataque se notó principalmente en el registro de maletas y la impresión de tarjetas de embarque, procesos que requieren un flujo eficiente, especialmente en días de fuerte demanda. La gestora aeroportuaria remarcó para EFECOM que la situación permanece bajo control, si bien advierten sobre la posibilidad de retrasos puntuales hasta que la infraestructura tecnológica recobre su operatividad plena.

La maratón de Berlín, que atrae a decenas de miles de corredores y visitantes cada año, añade presión a la gestión aeroportuaria. Tal como consignó la radiotelevisión RBB, la cita deportiva reunirá cerca de 80.000 participantes y aficionados procedentes de 160 países, lo que representa un reto logístico adicional para las instalaciones aeroportuarias. El aeropuerto continuará implementando medidas para mitigar el impacto en los próximos días, de acuerdo con la información de EFECOM.

Mientras tanto, las causas del ataque informático a Collins Aerospace permanecen bajo investigación. No se han reportado nuevos incidentes de seguridad en otras áreas del aeropuerto, pero la alerta se mantiene para prevenir interrupciones adicionales en los servicios esenciales. Puertas adentro, la prioridad es recobrar la autonomía tecnológica y facilitar una experiencia segura y fluida a los pasajeros en medio del contexto de alta demanda marcado por el evento deportivo y el flujo habitual de viajeros.

Las autoridades aeroportuarias reiteraron su recomendación a los pasajeros para que anticipen su llegada a las terminales y utilicen las alternativas de autoservicio disponibles, con el objetivo de reducir demoras en la atención durante estos días de operaciones excepcionales. EFECOM aportó que las gestiones para subsanar los efectos del ataque siguen en marcha y que las compañías implicadas permanecen en comunicación con los usuarios para informar sobre cualquier novedad relacionada con la recuperación de los sistemas automáticos.

El aeropuerto de Bruselas comunicó que 44 de los 257 vuelos previstos para despegar ese domingo fueron cancelados, acorde a la vocera Ihsane Chioua Lekhli, mientras que 28 trayectos de llegada también se suspendieron y otros seis aviones en ruta hacia la capital belga recibieron órdenes de redireccionamiento. Los problemas no solo impactaron en este aeropuerto, sino que EEFEOM detalló que aeropuertos europeos como Heathrow en Londres y Berlín-Brandeburgo en Alemania experimentaron consecuencias similares tras la afectación al proveedor de servicios Collins Aerospace, filial del grupo estadounidense RTX.

La razón principal de la disrupción radica en que el ciberataque forzó al personal a llevar a cabo manualmente las tareas de facturación y embarque, una situación que sobrecargó los procesos y provocó la formación de largas colas delante de los mostradores. El aeropuerto asignó más empleados a estas funciones para intentar gestionar el incremento en la carga de trabajo y reducir el tiempo de espera de los viajeros, pero aun así los inconvenientes persistieron a lo largo del domingo, según consignó EFECOM.

El incidente se produjo en la tarde-noche del viernes cuando, de acuerdo con el aeropuerto de Bruselas, el proveedor externo Collins Aerospace sufrió un ciberataque que interrumpió el procesamiento de datos clave para el flujo operativo habitual en varios aeropuertos de Europa. Los sistemas vulnerados son considerados críticos para la gestión simultánea de vuelos, la seguridad y la información al pasajero, lo que explica el alto impacto de la interrupción, reportó EFECOM, ya que Collins Aerospace gestiona infraestructura tecnológica para la industria aeronáutica y forma parte de una de las empresas líderes en defensa y aviación.

Algunas aerolíneas y fuentes aeroportuarias indicaron a EFECOM que no se podía asegurar el restablecimiento completo de los sistemas de facturación y embarque en la próxima jornada, por lo que la incertidumbre entre los usuarios y las compañías continuaría al menos hasta el lunes. La naturaleza inesperada y global del ataque se suma al historial de ciberataques recientes que han impactado tanto a empresas privadas como a entidades públicas en varios países, según recoge EFECOM.

La comisaria europea de Emergencias y Preparación de Crisis, Hadja Lahbib, se refirió al episodio a través de un mensaje en redes sociales reproducido por EFECOM, donde advirtió sobre la magnitud de las amenazas digitales actuales a infraestructura crítica. Lahbib afirmó: “El ciberataque de hoy (por el sábado), que ha paralizado los aeropuertos de toda Europa, demuestra lo reales y complejas que son las amenazas actuales. Nuestra estrategia de la Unión de Preparación refuerza la coordinación y apoya a los Estados miembros. Debemos invertir en preparación para garantizar que estamos preparados para cualquier eventualidad”.

El medio EFECOM detalló que este ataque impactó en un momento de creciente alerta sobre la seguridad cibernética en el sector del transporte aéreo europeo, tras una sucesión de incursiones similares que han puesto en dificultad a operadores logísticos y sistemas gubernamentales a escala internacional. Las autoridades aeroportuarias de Bruselas y las aerolíneas mantuvieron contacto permanente para monitorear la evolución de las operaciones y ajustar los protocolos de atención y seguridad en función a la restauración progresiva o total de los servicios informáticos durante los días siguientes.

Las alteraciones del domingo prolongaron la serie de inconvenientes iniciados tras el ataque ocurrido el viernes, lo que sustentó la declaración de inconvenientes operativos realizados por las autoridades aeroportuarias y derivó en gestiones de emergencia para la organización de turnos, la atención de pasajeros y la viabilidad de vuelos alternativos en coordinación con aeropuertos cercanos a la capital belga y del resto de Europa, recogió EFECOM a través de sus fuentes en los distintos puntos afectados.

Según detalló EFECOM, el origen del problema se remonta a la tarde-noche del viernes, cuando un ataque informático afectó al proveedor externo Collins Aerospace, encargado del procesamiento de datos esenciales para la operativa de aeropuertos. Esta disrupción obligó tanto a Bruselas como a Berlín-Brandenburgo a gestionar manualmente los procesos de check-in y embarque, lo que generó colas, ralentizaciones significativas y la cancelación de decenas de vuelos en la capital belga, pese al despliegue de personal adicional para atender la situación.

En el caso español, EFECOM recogió declaraciones de fuentes de Aena que aseguran que la red de aeropuertos del país no ha sufrido incidencias relacionadas con el citado ataque. De acuerdo con la información recogida en el portal de Aena, los aeropuertos de Madrid y Barcelona solo han registrado retrasos y cancelaciones puntuales en los vuelos hacia Bruselas, aunque fuentes de Iberia citadas por EFECOM matizaron que estos casos estarían vinculados a restricciones por condiciones meteorológicas adversas y no al incidente de seguridad informática.

El aeropuerto de Bruselas ha presentado el mayor número de afectaciones, según el recuento publicado por EFECOM. Hasta la fecha del domingo, sumaban 44 vuelos cancelados en salida y 28 en llegada, con afectaciones adicionales que continuaban alterando el flujo habitual de pasajeros. El uso manual de los sistemas de facturación, adoptado como medida de contingencia, seguía dificultando la fluidez operativa, generando demoras y concentraciones de viajeros.

En Berlín-Brandenburgo, las autoridades aeroportuarias reconocieron ante EFECOM que persisten algunos problemas en los procedimientos de facturación, que continúan siendo realizados de manera manual. Aunque la situación es más controlada y calificada de fluida por los responsables del aeropuerto alemán, los usuarios pueden encontrarse con retrasos en determinadas operaciones, ya que las soluciones tecnológicas aún no se han restablecido completamente.

El impacto del ataque a Collins Aerospace también se extendió a Londres-Heathrow, aunque los vuelos entre España y este destino no reportaron problemas relevantes durante el domingo, conforme reportó el medio. Las incertidumbres permanecen entre aerolíneas y administraciones aeroportuarias respecto a la posible resolución del fallo de los sistemas de facturación y embarque en las próximas horas, pues para el lunes todavía se desconoce si las operaciones podrán normalizarse, tal como señalaron tanto fuentes del aeropuerto de Bruselas como representantes de las aerolíneas, en declaraciones tomadas por EFECOM.

Este incidente subraya la dependencia de los grandes aeropuertos europeos respecto a proveedores externos de tecnología y la vulnerabilidad del sector frente a ataques cibernéticos a empresas especializadas, punto que fue documentado por EFECOM al referirse a la naturaleza de Collins Aerospace, una filial que opera bajo el paraguas del grupo estadounidense RTX, anteriormente conocido como Raytheon. Las consecuencias de la incidencia han obligado a revisar y adaptar los protocolos operativos en distintos puntos de Europa, mientras las autoridades siguen monitorizando la situación para mitigar nuevas interrupciones.

Un ciberataque contra el proveedor de servicios de facturación y embarque en numerosos aeropuertos europeos provocó este sábado retrasos y cancelaciones en varios puntos del continente, incluidos Bruselas, Berlín y Londres.

El aeropuerto de Bruselas indicó en un comunicado que “en la noche del viernes 19 de septiembre se produjo un ciberataque contra el proveedor de servicios de facturación y embarque que afectó a varios aeropuertos europeos, incluido el de Bruselas”.

“Esto significa que, por el momento, solo es posible facturar y embarcar manualmente. El proveedor del servicio está trabajando activamente en el problema e intentando resolverlo lo antes posible”, añadió la entidad.

La portavoz Ihsane Chioua Lekhli precisó a medios belgas que el ataque obligó a realizar el check-in y el embarque de manera manual y provocó la cancelación de nueve vuelos y retrasos de una hora o más en otros quince. El aeropuerto esperaba la salida de unos 35.000 pasajeros durante la jornada.

“El proveedor de servicios está trabajando activamente en una solución y está intentando resolver el problema lo antes posible”, subrayó. También recomendó a los pasajeros verificar el estado de su vuelo con la aerolínea antes de acudir al aeropuerto y hacerlo únicamente si la salida estaba confirmada.

En Londres, el aeropuerto de Heathrow señaló en la red social X que “Collins Aerospace, que proporciona sistemas de facturación y embarque para varias aerolíneas en múltiples aeropuertos a nivel mundial, está experimentando un problema técnico que puede causar demoras a los pasajeros que salen”.

“Mientras el proveedor trabaja para resolver el problema rápidamente, recomendamos a los pasajeros que consulten el estado de su vuelo con su aerolínea antes de viajar. Hay personal adicional disponible en las zonas de facturación para ayudar y minimizar las interrupciones”, añadió la administración aeroportuaria.

En Alemania, el aeropuerto de Berlín-Brandeburgo informó en su página web que “debido a un problema técnico en el proveedor de servicios que opera en Europa, hay mayores tiempos de espera en la facturación”, asegurando que “trabajamos para una solución rápida”.

Por el momento no está claro si el ciberataque ha generado afectaciones en otros aeropuertos del continente, y ningún grupo se ha atribuido la autoría del ataque informático.

(Con información de agencias)

El avance del Internet de las Cosas (IoT) ha multiplicado la presencia de dispositivos conectados en el entorno cotidiano, pero suele subestimarse el riesgo que implica su seguridad. Ejemplos demuestran que desde artefactos aparentemente inocentes, como un acuario inteligente, pueden producirse brechas que derivan en ataques informáticos capaces de comprometer datos sensibles.

La falta de medidas adecuadas convierte a estos dispositivos en puertas de entrada inadvertidas para ciberdelincuentes, generando consecuencias que afectan la reputación y confianza de las organizaciones.

El casino estadounidense que instaló un acuario inteligente

La experiencia de un casino estadounidense que instaló un acuario inteligente ilustra los desafíos de seguridad en el Internet de las Cosas. Este sistema automatizaba el control de temperatura y salinidad, transmitiendo alertas al propietario por Internet si ocurría alguna anomalía.

A pesar de contar con una VPN que protegía el acceso, el termostato integrado se transformó en una brecha de seguridad, permitiendo el acceso no autorizado a otros dispositivos en la red.

Los ciberatacantes supieron explotar esta debilidad y lograron extraer 10 GB de información, que fue enviada a un servidor en Noruega. Investigaciones posteriores señalaron que estos datos corresponden a la base de clientes del casino, aunque no se revelaron detalles sobre la naturaleza exacta de la información filtrada.

El incidente obligó al casino a notificar a las personas afectadas, dejando en evidencia que hasta el dispositivo más inesperado puede generar daños de gran magnitud y afectar la imagen corporativa.

Qué medidas tomar para asegurar los dispositivos conectados

Proteger el entorno IoT exige ir mucho más allá de la defensa de los equipos principales. Los expertos aconsejan instalar soluciones de seguridad tanto en servidores como en las puertas de enlace, con el fin de bloquear cualquier intento indebido de contactar redes externas a través de puertos o protocolos poco conocidos.

Restringir el acceso a Internet a los dispositivos que no lo requieren para su funcionamiento principal también es clave para minimizar puntos vulnerables.

La configuración correcta de cada terminal resulta fundamental, ya que muchos dispositivos IoT aún no permiten la instalación de herramientas avanzadas de seguridad.

Por último, la realización periódica de pruebas de penetración ayuda a detectar y reparar vulnerabilidades antes de que puedan ser explotadas, previniendo así fallos ocultos que podrían desembocar en ataques significativos.

La creciente integración del IoT en escenarios empresariales y domésticos exige no solo incorporar dispositivos inteligentes por su funcionalidad, sino también implementar estrategias proactivas de protección, con miras a blindar cada aspecto de la infraestructura digital y mantener a salvo tanto la información interna como la confianza del usuario final.

Acuarios inteligentes: cómo la tecnología automatiza el cuidado de tus peces

Los acuarios inteligentes representan una innovación en el cuidado de peces y ambientes acuáticos en el hogar. Estos sistemas automatizados incorporan sensores y dispositivos conectados capaces de monitorear y regular constantemente factores como la temperatura del agua, los niveles de salinidad, el pH y la iluminación.

A través de una interfaz digital, generalmente gestionada desde una aplicación móvil o computadora, el propietario puede revisar el estado del acuario en tiempo real y recibir alertas si ocurre una variación fuera de los parámetros recomendados.

El funcionamiento de un acuario inteligente se basa en la integración de diversas tecnologías. Por ejemplo, los termostatos ajustan automáticamente la temperatura, los dispensadores de alimento programan las raciones diarias y los sistemas de filtrado mantienen el agua limpia sin intervención manual.

En muchos casos, estos dispositivos se conectan a internet, lo que permite supervisar y controlar el acuario a distancia, facilitando la gestión diaria aun cuando el propietario esté fuera de casa.

De este modo, los acuarios inteligentes simplifican el mantenimiento y contribuyen al bienestar de los peces, ofreciendo un ambiente estable y seguro gracias al monitoreo continuo y la gestión automatizada de las condiciones acuáticas.

Jaguar Land Rover ha confirmado que ciertos datos de clientes resultaron afectados tras el ciberataque registrado el pasado 2 de septiembre, incidente que provocó la interrupción temporal de sus operaciones de ventas y producción.

Aunque en un primer momento la compañía británica descartó que existieran pruebas de sustracción de información sensible de clientes, ahora, tras una investigación detallada realizada en conjunto con expertos en ciberseguridad, ha reconocido la posibilidad de filtraciones y se encuentra notificando a los organismos reguladores pertinentes.

Jaguar Land Rover reconoce filtración de datos de clientes tras ataque cibernético

La evolución de la investigación emprendida por Jaguar Land Rover —que, según la empresa, “continúa a buen ritmo”— ha permitido identificar indicios de que parte de la información personal de algunos clientes podría haber quedado expuesta como consecuencia del incidente de seguridad digital.

La compañía ha manifestado: “Como resultado de nuestra investigación en curso, creemos que algunos datos se han visto afectados y estamos informando a los organismos reguladores pertinentes”.

En su comunicado, la automotriz británica ha reiterado su compromiso con la transparencia y la protección de sus usuarios, añadiendo que contactará, en caso necesario, con cualquier persona que considere pertinente si detecta que sus datos se han visto afectados.

Además, Jaguar Land Rover ha expresado sus disculpas públicamente por las molestias causadas y ha subrayado que informará sobre los avances conforme progrese la indagación: “Lamentamos mucho la interrupción continua que este incidente está causando y continuaremos actualizando a medida que avance la investigación”.

Cómo afectó el ciberataque a la producción y ventas de Jaguar Land Rover

El ataque informático, acaecido el 2 de septiembre, no solo puso en riesgo la privacidad de los clientes, sino que también forzó a Jaguar Land Rover a detener sus actividades comerciales y productivas de forma temporal. La paralización repercutió en toda la cadena de valor de la automotriz durante varios días, impactando la disponibilidad de vehículos y la atención en los puntos de venta al por menor.

Los hechos pusieron de relieve tanto la vulnerabilidad de los procesos digitales en el sector automotor como la relevancia de los planes de contingencia y recuperación ante incidentes de ciberseguridad en la industria. La investigación, apoyada por especialistas externos, sigue adelante para esclarecer la magnitud de la filtración y prevenir incidentes similares en el futuro próximo.

Jaguar Land Rover y los desafíos comerciales ante los aranceles en EE. UU.

Además del ciberataque, Jaguar Land Rover afrontó recientemente desafíos comerciales ligados a los aranceles estadounidenses impuestos por la administración de Donald Trump.

En abril, la empresa anunció la suspensión temporal de los envíos de sus automóviles al mercado estadounidense, uno de los más importantes para la marca, en respuesta a la entrada en vigor de un arancel del 25% sobre la importación de vehículos extranjeros.

Según un portavoz de JLR: “Estados Unidos es un mercado importante para las marcas de lujo de JLR”. Mientras la compañía trabaja para abordar las nuevas condiciones comerciales con sus socios comerciales, está tomando algunas medidas a corto plazo, incluyendo una suspensión de los envíos en abril.

Qué tipos de vehículos y tecnologías ofrece Jaguar Land Rover en su catálogo

Jaguar Land Rover ofrece una amplia variedad de vehículos de lujo agrupados en dos marcas principales. Bajo la marca Jaguar, se encuentran sedanes deportivos, coupés elegantes y SUV eléctricos que destacan por su diseño sofisticado, desempeño dinámico y avanzada tecnología.

Por su parte, la gama Land Rover incluye SUV premium y todoterrenos icónicos como el Range Rover, el Discovery y el Defender. Estos modelos están diseñados para combinar comodidad, capacidad en terrenos difíciles y un estilo distintivo que los hace reconocibles en todo el mundo.

La compañía también apuesta por la movilidad sostenible con versiones híbridas y completamente eléctricas en ambos catálogos, brindando alternativas para quienes priorizan la eficiencia energética sin renunciar al lujo y las prestaciones que caracterizan a Jaguar Land Rover.

La empresa de cámaras de seguridad en la nube Verkada confirmó que había enfrentado un incidente de ciberseguridad tras reportes de que piratas informáticos lograron acceder a las transmisiones de video de sus clientes. Un hecho que se dio en el año 2021, y que hoy se repite como uno de los más representativos de la historia de la ciberseguridad, según Kaspersky.

El ataque puso en evidencia, en ese entonces, imágenes de compañías reconocidas a nivel mundial y levantó cuestionamientos sobre la seguridad de los sistemas de videovigilancia conectados a internet.

Según la información publicada por medios internacionales, los atacantes habrían tenido acceso a alrededor de 150.000 cámaras utilizadas por empresas como Tesla, Equinox y Cloudflare. La filtración generó alarma, ya que estas transmisiones incluían grabaciones en fábricas, oficinas y espacios públicos, lo que representaba un riesgo significativo para la privacidad de empleados y clientes.

Cloudflare confirmó en ese tiempo que había sido notificada por Verkada sobre la posible vulneración de sus cámaras. La compañía explicó que los dispositivos afectados se encontraban en oficinas cerradas desde hacía meses y que no existían evidencias de que datos de clientes hubieran sido comprometidos.

Tesla, por su parte, declaró que el incidente se había limitado a una instalación en China, mientras que Equinox no respondió de inmediato a las solicitudes de comentarios.

Empresas afectadas por el ataque

Otra de las compañías que reconoció haber estado en la lista de clientes comprometidos fue Okta, dedicada a la gestión de identidades digitales. La firma explicó que cinco de sus cámaras de Verkada habían sido vulneradas.

Estas estaban destinadas a monitorear las entradas de sus oficinas y estaban aisladas de las redes internas de la compañía. Okta recalcó que no usaba tecnología de reconocimiento facial y que no había pruebas de que los atacantes accedieran a transmisiones en vivo durante el tiempo de exposición.

La confirmación de la intrusión se sumó a la preocupación generalizada por la seguridad de los sistemas de videovigilancia basados en la nube. Muchas de estas cámaras estaban instaladas en espacios sensibles, como fábricas o gimnasios, lo que evidenció los riesgos de que estas tecnologías pudieran ser objeto de ciberataques con fines maliciosos.

La respuesta de Verkada

Frente al ataque, Verkada desactivó todas las cuentas de administrador internas como medida inmediata para bloquear la intrusión. La empresa aseguró que su equipo de seguridad, junto con una firma externa especializada, investigaba el alcance del problema y que había notificado a las autoridades correspondientes.

La compañía también señaló que se había comunicado con todos sus clientes para informarles sobre lo ocurrido y habilitó una línea directa de asistencia. De esta forma, buscó mitigar el impacto del incidente y restaurar la confianza en sus servicios de videovigilancia en la nube.

El origen del ataque

De acuerdo con Bloomberg, el grupo internacional de piratas informáticos habría obtenido acceso a Verkada mediante credenciales de administrador que se encontraban disponibles en internet.

Este hallazgo puso de relieve la importancia de proteger las claves de acceso y reforzar las políticas de seguridad en empresas que administran infraestructura crítica o sistemas utilizados por grandes corporaciones.

El caso de Verkada evidenció la vulnerabilidad de los sistemas de seguridad modernos cuando dependen exclusivamente de la nube y de la protección de contraseñas. Asimismo, abrió un debate sobre la necesidad de que las compañías fortalezcan sus protocolos de seguridad para evitar que incidentes similares vuelvan a repetirse, razón por la que este caso es aún nombrada por líderes de la ciberseguridad.

China ha hackeado redes eléctricas y empresas estadounidenses durante décadas, robando archivos sensibles y propiedad intelectual, como diseños de chips, en su búsqueda por obtener ventaja frente a Estados Unidos.

Sin embargo, un ciberataque masivo perpetrado por un grupo conocido como Salt Typhoon representa el esfuerzo más ambicioso de China hasta el momento, según concluyeron expertos y funcionarios tras un año de investigación. El ataque apuntó a más de 80 países y podría haber robado información de prácticamente todos los estadounidenses, según funcionarios. Consideran que esto demuestra que las capacidades chinas rivalizan con las de Estados Unidos y sus aliados.

El ataque de Salt Typhoon fue una ofensiva coordinada de varios años que logró infiltrarse en grandes empresas de telecomunicaciones y otras organizaciones, según señalaron investigadores en un comunicado conjunto poco habitual difundido la semana pasada. El alcance del ataque resultó ser mucho mayor de lo que se creía originalmente, y funcionarios en seguridad advirtieron que los datos robados podrían permitir a los servicios de inteligencia chinos explotar redes de comunicaciones globales para rastrear objetivos, incluidos políticos, espías y activistas.

Los hackers patrocinados por el gobierno chino “apuntan a redes en todo el mundo, incluidas, pero no limitadas a, infraestructuras de telecomunicaciones, gubernamentales, de transporte, alojamiento y militares”, detalló el comunicado.

Funcionarios británicos y estadounidenses han calificado el ataque como “desenfrenado” e “indiscriminado”. Canadá, Finlandia, Alemania, Italia, Japón y España también firmaron la declaración, que forma parte de una estrategia de denuncia pública dirigida al gobierno chino.

“No puedo imaginar que algún estadounidense haya quedado fuera, dado el alcance de la campaña”, indicó Cynthia Kaiser, ex alta funcionaria de la división cibernética del FBI, quien supervisó investigaciones sobre hackeos.

No está claro si el objetivo del ataque de Salt Typhoon era almacenar datos de personas comunes o si esos datos simplemente fueron recolectados incidentalmente. Aun así, el alcance resultó más amplio que el de hackeos anteriores, en los que China se dirigía más selectivamente a occidentales vinculados a temas de seguridad o asuntos gubernamentales sensibles, explicó Kaiser.

El hackeo de Salt Typhoon podría marcar una nueva era en las capacidades cibernéticas chinas que pondrá a prueba a sus rivales estratégicos, entre ellos Estados Unidos, según expertos en seguridad. El incidente resalta las ambiciones chinas para ejercer influencia global, que también se exhibieron el miércoles en un desfile militar en Beijing con cazas, tanques y miles de soldados marchando en la Plaza de Tiananmén.

“En muchos sentidos, Salt Typhoon marca un nuevo capítulo”, señaló Jennifer Ewbank, ex subdirectora de innovación digital de la CIA. Hace diez años, recordó, los aliados occidentales estaban preocupados por el robo de secretos comerciales, información personal y datos gubernamentales mediante técnicas más rudimentarias.

“Hoy se observan campañas respaldadas por el Estado, con paciencia y persistencia, profundamente insertadas en infraestructuras de más de 80 países y con un alto nivel de sofisticación técnica”, añadió.

La Embajada de China en Londres no respondió a una solicitud de comentarios.

La declaración de los aliados occidentales ofreció el relato más completo hasta la fecha de lo que el FBI ha denominado la “campaña de ciberespionaje” de China.

Los investigadores vincularon el ataque de Salt Typhoon con al menos tres empresas tecnológicas chinas activas desde al menos 2019, aunque la operación solo fue descubierta el año pasado. Según el comunicado conjunto, las compañías trabajaron para las agencias de inteligencia militar y civil chinas, responsables de operaciones en el extranjero.

El objetivo de los hackers era proporcionar a las autoridades chinas la “capacidad de identificar y rastrear las comunicaciones y movimientos de sus objetivos en todo el mundo”, indica el documento. Entre los blancos se encontraban los teléfonos usados por destacados políticos, incluyendo al presidente Trump y el vicepresidente JD Vance durante su campaña el año pasado. El esfuerzo también se dirigió contra demócratas.

Los atacantes extrajeron datos de compañías de telecomunicaciones y servicios de internet, atacando al menos a media docena de empresas estadounidenses. Los hackers aprovecharon vulnerabilidades antiguas en las redes, precisaron las autoridades británicas. También accedieron a empresas del sector hotelero y de transporte, entre otros objetivos.

Los hackers lograron interceptar llamadas telefónicas y leer mensajes de texto no cifrados, según el senador Mark Warner, principal demócrata en el Comité de Inteligencia del Senado.

El ataque se basó en hackeos chinos previos, explicó Jamie MacColl, investigador senior en ciberseguridad del Royal United Services Institute, una entidad analítica vinculada al ejército británico. China lleva años acumulando grandes conjuntos de datos, apuntó MacColl, con la intención de explotar esa información en el futuro.

“Si eres una potencia cibernética, tiene sentido querer comprometer la red global de comunicaciones”, afirmó.

Operadores chinos han atacado previamente a compañías estadounidenses como Marriott International, aseguradoras de salud y la Oficina de Gestión de Personal, encargada de los expedientes de seguridad del gobierno. En 2021, la administración Biden acusó al gobierno chino de penetrar sistemas de correo electrónico de Microsoft ampliamente utilizados.

Hackers respaldados por el Estado ruso también han realizado incursiones exitosas. Los gobiernos de Estados Unidos, Reino Unido y sus principales aliados poseen amplias capacidades de espionaje. No está claro cómo respondieron los países occidentales a la operación Salt Typhoon.

La operación fue “más que un éxito de inteligencia aislado para China”, escribió recientemente Anne Neuberger, responsable de ciberseguridad en la administración Biden, en la revista Foreign Affairs.

“Reflejaba una realidad más profunda y preocupante”, añadió. “China se está posicionando para dominar el campo de batalla digital.”

© The New York Times 2025.

La creciente ola de ciberataques en América Latina y el mundo ha llevado a organismos internacionales, gobiernos y sector privado a estrechar lazos para construir un ecosistema digital más seguro. En ese contexto, la Oficina de las Naciones Unidas contra la Droga y el Delito (UNODC) en México presentó el estudio “Visión Cibersegura Iberoamérica” y firmó un acuerdo de colaboración con la Alianza México Ciberseguro (AMCS), sumando esfuerzos en la lucha contra el ciberdelito.

Durante el lanzamiento del estudio, Sofía Pérez Gasque, directora de la Asociación Mexicana de la Industria de Tecnologías de Información (AMITI), advirtió:

“No hay transformación digital sin ciberseguridad, y sin seguridad no hay confianza ni desarrollo”.

El informe recopila dos encuestas: una dirigida a instituciones públicas, privadas y sociedad civil sobre políticas, protección de datos y gobernanza digital; y otra a hogares y escuelas para conocer hábitos digitales, niveles de conciencia y riesgos en internet.

La investigación, que contó con la participación de más de 50 especialistas de organismos internacionales, busca trazar una radiografía precisa del estado actual de la región en materia de seguridad digital. Según datos de ALETI, tan solo en 2024 se registraron 260 mil millones de intentos de ciberataques en Latinoamérica, mientras que el 68% de menores de edad enfrenta riesgos digitales.

“Más de 80% de los ataques se dirigen a países con capacidades limitadas de respuesta. La ciberseguridad no es un desafío aislado, es un tema de soberanía, desarrollo y derechos”, advirtió Juan Francisco Martínez, presidente de ALETI, al destacar la necesidad de cooperación internacional y de políticas conjuntas.

México entre los países más atacados

El reto no es menor: de acuerdo con el reporte global de amenazas 2025 de FortiGuard Labs, México registró 35 mil 200 millones de intentos de ciberataques en solo los primeros tres meses del año, ubicándose como el segundo país más afectado de la región.

Por su parte, el Banco Mundial advierte además que los incidentes cibernéticos han crecido un 25% anual en la última década en América Latina, con impactos severos en los mercados emergentes.

Ante este escenario, UNODC y la AMCS firmaron una carta de colaboración para robustecer la prevención, detección y respuesta ante ciberdelitos. “Al unirnos, vamos a potenciar nuestras capacidades”, señaló Kristian Hölge, representante de UNODC en México, quien destacó la importancia de sumar esfuerzos entre gobiernos, empresas, academia y sociedad civil.

El acuerdo contempla intercambio de experiencias, sensibilización sobre riesgos digitales y desarrollo de estrategias conjuntas para enfrentar a la ciberdelincuencia. Para Israel Agüero, titular de Inteligencia de la Secretaría de Seguridad y Protección Ciudadana, la iniciativa refuerza la apuesta de México por la tecnología y la inteligencia aplicada a la seguridad pública.

Ciberseguridad como construcción de paz

La UNODC también llevó este mensaje al Congreso Internacional “Construyendo Humanidad de Paz”, celebrado en Querétaro, donde se destacó la ciberseguridad como herramienta clave para la prevención del delito. “La ciberseguridad no es solo cuestión de tecnología, sino de integridad y conciencia individual”, expresó Víctor Merchand, coordinador de Tecnologías de la Información y Ciberdelito de la oficina en México.

El evento reunió a más de 1,500 participantes de 19 estados del país y especialistas de Argentina, Brasil, Colombia, España y México, quienes coincidieron en la urgencia de generar una cultura digital responsable desde edades tempranas.

Con estas iniciativas, UNODC reafirma que la seguridad en el ciberespacio es un elemento fundamental no solo para proteger a las personas frente a amenazas tecnológicas, sino también para fortalecer la paz, la resiliencia social y el desarrollo sostenible en la región.

En pleno 2025, los ciberataques continúan evolucionando y apuntando a herramientas ampliamente utilizadas. Esta vez, el blanco ha sido WinRAR, uno de los programas de compresión y descompresión de archivos más populares del mundo, que se vio afectado por un ataque de phishing aprovechando una vulnerabilidad desconocida hasta ahora.

El hallazgo, realizado por la empresa de ciberseguridad ESET, reveló que los atacantes usaron esta falla para ocultar malware en supuestos documentos de solicitud de empleo, logrando evadir la detección y comprometer equipos de sectores clave.

El incidente se detectó el 18 de julio de 2025, cuando el laboratorio de investigación de ESET identificó una vulnerabilidad de día cero en WinRAR. El error permitía a los cibercriminales esconder archivos maliciosos dentro de un archivo comprimido con extensión .RAR.

Al abrirlo, el programa no solo extraía el documento visible, sino que también liberaba de forma silenciosa otros archivos ocultos. Entre ellos, una DLL maliciosa que se guardaba en la carpeta temporal del sistema y un archivo LNK colocado en el inicio de Windows, lo que permitía mantener la persistencia incluso después de reiniciar el equipo.

ESET explicó que este ataque aprovechaba una falla de path traversal mediante el uso de flujos de datos alternativos (ADS), una técnica poco habitual que dificulta la detección de malware por parte de los antivirus tradicionales.

Las campañas maliciosas estuvieron activas entre el 18 y el 21 de julio de 2025 y apuntaron principalmente a empresas en Europa y Canadá. El contenido fraudulento se presentaba como un currículum enviado por correo electrónico. Si bien, según la telemetría de ESET, no se confirmaron compromisos exitosos, el riesgo potencial llevó a clasificar la amenaza como grave.

RomCom: el grupo detrás del ataque

La investigación de ESET atribuyó este ataque al grupo RomCom, también conocido como Storm-0978, Tropical Scorpius o UNC2596. Esta operación cibernética, alineada con intereses rusos, combina actividades de cibercrimen con campañas de espionaje dirigidas a objetivos de interés estratégico.

RomCom tiene un historial de explotación de vulnerabilidades críticas. En junio de 2023, utilizó un fallo de día cero en Microsoft Word, y en octubre de 2024 atacó navegadores como Firefox, Thunderbird y Tor. Su modus operandi mezcla campañas masivas con ataques selectivos, desplegando malware capaz de ejecutar comandos y descargar módulos adicionales para expandir sus capacidades.

En este caso, los sectores más afectados o en riesgo fueron el financiero, de manufactura, defensa y logística, todos con alto valor estratégico y potencial para ser explotados en operaciones de inteligencia.

Cómo protegerse de la vulnerabilidad

Para mitigar el riesgo, ESET recomienda a todos los usuarios de WinRAR actualizar inmediatamente a la versión 7.13 o posterior, lanzada el 30 de julio de 2025, que corrige esta vulnerabilidad.

También es necesario actualizar componentes relacionados como UnRAR.dll y utilidades de línea de comandos que utilicen el mismo código fuente. Esta advertencia no solo aplica a los usuarios del programa principal, sino también a aplicaciones de terceros que integren su motor de descompresión sin mantenerlo actualizado.

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, enfatizó que “la actualización de software y la precaución al abrir archivos de remitentes desconocidos son la primera línea de defensa contra ataques de este tipo”. Asimismo, recomendó deshabilitar la ejecución automática de archivos descargados y mantener activo un sistema de protección en tiempo real.

Un video de tres minutos, difundido en Telegram y marcado con el nombre de un grupo cibercriminal afín al Kremlin, acompañó el ataque informático que en abril permitió a actores rusos tomar el control de una represa hidroeléctrica en Noruega. La grabación, según informó el periódico Aftenposten y confirmó la unidad de crimen organizado Kripos, evidenció la coordinación de varios individuos dedicados a delitos en el ámbito digital y vinculados a ataques recientes contra empresas occidentales.

Este episodio, que permaneció inadvertido durante cuatro horas, ha sido atribuido formalmente a Moscú por la jefa del Servicio de Seguridad Policial (PST), Beate Gangas, en declaraciones recogidas por The Guardian.

La noticia marca la primera vez que Oslo responsabiliza públicamente a Rusia por un ciberataque de esta magnitud contra su infraestructura energética. El incidente afectó a la represa de Bremanger, en el oeste del país, donde los atacantes abrieron una compuerta y liberaron 500 litros de agua por segundo durante cuatro horas, hasta que el flujo anómalo fue detectado y detenido.

Aunque no se registraron daños materiales ni víctimas, ya que el nivel del embalse y del río cercano a la localidad de Svelgen estaba muy por debajo de la capacidad de desbordamiento, el suceso ha encendido las alarmas sobre la vulnerabilidad de los sistemas críticos noruegos.

La responsable del PST subrayó que en el último año se ha observado un cambio en la actividad de los actores cibernéticos prorrusos, y situó el ataque a Bremanger como un ejemplo de esta nueva ofensiva.

Según sus palabras, “el objetivo de este tipo de operaciones es influir y provocar miedo y caos entre la población general. Nuestro vecino ruso se ha vuelto más peligroso”. La inteligencia noruega, que ya había advertido sobre el riesgo potencial de ataques a infraestructuras energéticas —dado que el país genera la mayor parte de su electricidad mediante represas hidroeléctricas—, considera que la amenaza se ha materializado.

El contexto geográfico y político añade complejidad a la situación. Noruega y Rusia comparten una frontera de 198 kilómetros (123 millas), con un único paso abierto en Storskog, el único cruce Schengen operativo entre Europa y el territorio ruso. Esta proximidad, sumada a la importancia estratégica de la energía noruega para el continente, convierte al país escandinavo en un objetivo prioritario para operaciones de sabotaje y espionaje.

La reacción de la embajada rusa en Oslo no se hizo esperar. En declaraciones a la agencia Reuters, calificó las afirmaciones de Gangas como “infundadas y motivadas políticamente”, y acusó al PST de intentar sin éxito fundamentar una supuesta amenaza de sabotaje ruso contra infraestructuras noruegas, “inventada” en su informe anual de febrero.

Moscú, que ya había sido señalado por el jefe del MI6 británico, Richard Moore, por una “campaña de sabotaje asombrosamente temeraria” en Europa para disuadir el apoyo a Ucrania, niega cualquier implicación en estos hechos.

El PST ha reiterado que los servicios de inteligencia rusos destinan recursos considerables a identificar, captar y reclutar contactos en Noruega, considerando a ciudadanos noruegos como potenciales fuentes de información. La investigación sobre el ataque a la represa de Bremanger continúa abierta, mientras las autoridades refuerzan la vigilancia sobre la infraestructura crítica del país.

La Consejería de Educación ha informado este viernes en un comunicado sobre este ciberataque, que le fue comunicado a mediados de abril de 2024 por el Centro Criptológico Nacional y del que entonces no tuvo más datos porque formaba parte de una investigación judicial bajo secreto de sumario.

Según explica, tras tener conocimiento del hackeo, el Gobierno regional comunicó la brecha informática a la Agencia Española de Protección de Datos y lo denunció ante la Policía Nacional.

Además se trazó "un plan de modernización de la plataforma" y se reforzó el personal dedicado a su mantenimiento y desarrollo, pero no se informó a los usuarios porque solo se identificó a dos afectados.

"En ese momento no se consideró oportuno realizar un comunicado general a los usuarios de la plataforma porque únicamente se tenía constancia de dos usuarios afectados, que ya no estaban dentro del sistema educativo no universitario de Cantabria y cuyos datos tenían una antigüedad de cinco años", señala.

Sin embargo, la Consejería de Educación ha recibido nueva información de la Policía Nacional el pasado 30 de julio.

Según esos nuevos datos, explica, actualmente hay un número elevado de registros comprometidos, que han sido encontrados dentro de la documentación requisada al supuesto hacker que está siendo investigado por la Audiencia Nacional.

También se han encontrado fotografías tipo carnet dentro de la documentación requisada, aunque, según la Consejería, el archivo de muestra que se le ha entregado no contiene elementos que permitan relacionar fotos y nombres, o identificaciones personales.

Y hasta el momento, no tiene constancia de que los datos referidos estén circulando en internet.

La Consejería de Educación ha solicitado al servicio jurídico del Gobierno personarse como parte perjudicada en la causa que se sigue contra el presunto hacker.

Educación ha hecho una comunicación general a los usuarios de la plataforma Yedra aconsejando un cambio en sus claves de acceso, y se publicará también en el Boletín Oficial de Cantabria.

Se ha informado de la evolución del expediente a la Agencia de Protección de Datos y se ha dado traslado de la situación a la Delegada de Protección de Datos del Gobierno de Cantabria "al objeto de estudiar el grado de afectación del derecho a la protección de datos personales". EFE

Salir de casa y dejar el Bluetooth activado puede ser una puerta abierta para los ciberdelincuentes. Las nuevas modalidades de ciberataques aprovechan vulnerabilidades en esta tecnología presente en millones de teléfonos, auriculares y ordenadores, que puede tener consecuencias graves como el robo de contraseñas o el vaciado de cuentas bancarias.

El fenómeno conocido como Bluesnarfing preocupa a organismos de ciberseguridad de diferentes países y ha encendido alertas sobre los riesgos cotidianos del uso descuidado del Bluetooth.

El Instituto Nacional de Ciberseguridad de España (INCIBE) advierte que con apenas quince metros de alcance y herramientas específicas, los atacantes explotan fallos en los protocolos de comunicación del Bluetooth, exponiendo la privacidad y la seguridad financiera de millones de personas.

Cómo pueden robar datos privados a través del Bluetooth de un celular

El Bluesnarfing se origina en vulnerabilidades de los protocolos de comunicación que emplea el Bluetooth. Los expertos de INCIBE señalan que los criminales “aprovechan vulnerabilidades en el Bluetooth, para acceder de forma no autorizada a dispositivos cercanos que también se encuentren conectados vía Bluetooth”.

Los atacantes deben actuar a poca distancia y emplean programas especializados que detectan dispositivos abiertos o visibles. Además, la falta de actualizaciones de seguridad y la configuración visible del dispositivo son factores que multiplican el riesgo.

Una simple conexión activa en lugares concurridos, como aeropuertos o centros comerciales, permite a los delincuentes encontrar víctimas potenciales. “El alcance generalmente no supera los 15 metros, pero puede ser suficiente en un espacio público lleno de personas”, subraya INCIBE.

Cuáles son las señales para saber si es víctima de este tipo de ciberataques

Detectar un ataque Bluesnarfing no resulta sencillo. La acción suele ser invisible para el usuario y sólo algunas señales pueden alertar del problema de ciberseguridad.

INCIBE sugiere prestar atención a comportamientos inusuales en el dispositivo. “Si el celular se bloquea de manera inesperada o notas que desde tus aplicaciones se han enviado mensajes que tú no escribiste, es posible que alguien haya accedido sin tu permiso”, afirma el organismo.

Otras señales incluyen un aumento inesperado en el consumo de batería, dispositivos desconocidos en el historial de conexiones Bluetooth, y actividades sospechosas en cuentas bancarias o correos electrónicos.

Un solo acceso puede dar lugar a extracción de contraseñas, compras no autorizadas o transferencia de datos a terceros, lo que puede comprometer la seguridad personal y financiera.

Qué riesgos puede tener ser víctima de Bluesnarfing

Las consecuencias de sufrir Bluesnarfing abarcan desde la pérdida de datos personales hasta el acceso y abuso de información bancaria. INCIBE explica que los criminales pueden “acceder a datos como contactos, mensajes, fotografías, correos electrónicos o credenciales bancarias almacenadas en el dispositivo”.

El cuadro de amenazas se amplía con el uso de la información robada para ejecutar ataques a contactos de la víctima, que es común que propaguen campañas de smishing o phishing.

El robo financiero es una de las consecuencias más graves. Los atacantes pueden utilizar las credenciales obtenidas para realizar transferencias no autorizadas o compras fraudulentas.

Además, fotografías, documentos o información confidencial pueden ser vendidas en la deep web, mientras que los contactos extraídos sirven como base para campañas maliciosas dirigidas a otros.

Cómo proteger los dispositivos frente al Bluesnarfing

Los expertos sugieren seguir hábitos sencillos pero esenciales para evitar este ciberataque. La acción más efectiva es desactivar el Bluetooth cuando no se utilice y limitar su visibilidad. “Mantenerlo apagado cuando no vayas a utilizarlo es la forma más sencilla de evitar que tu dispositivo sea detectado”, señala INCIBE.

Configurar el Bluetooth para que requiera autorización al acceder, no aceptar solicitudes de emparejamiento de aparatos desconocidos, y cambiar la clave predeterminada por una segura son pasos esenciales.

Se debe revisar periódicamente la lista de dispositivos emparejados y eliminar aquellos que no se reconozcan. Adoptar estos hábitos ayuda a reducir la exposición y disminuye de forma significativa las oportunidades para los ciberdelincuentes.

La aerolínea rusa Aeroflot canceló al menos 42 vuelos este lunes tras sufrir un ciberataque que afectó sus sistemas informáticos y alteró las operaciones en el aeropuerto Sheremétievo de Moscú, su principal centro de conexiones. El incidente, el primero de esta magnitud registrado contra la compañía, se produce en un contexto de continuas presiones sobre el tráfico aéreo ruso desde el inicio de la guerra en Ucrania.

En un comunicado oficial, Aeroflot admitió que una “falla técnica” comprometió su plataforma digital de reservas y despacho de vuelos. Poco después, el Ministerio de Transporte ruso confirmó que la interrupción también impactó a las aerolíneas subsidiarias Rossiya y Pobeda, lo que forzó una reorganización de los vuelos programados. De acuerdo con la cartera dirigida por Vitali Savéliev, se cancelaron o reprogramaron al menos 49 pares de vuelos, con más alteraciones posibles en los días siguientes.

La situación generó largas colas y esperas en Sheremétievo. Numerosos pasajeros denunciaron la falta de información, caídas intermitentes en la web de la compañía y la inoperatividad de las aplicaciones móviles durante varias horas. El Ministerio de Transporte y la Agencia Federal de Transporte Aéreo (Rosaviatsia) colaboran con Aeroflot para minimizar el impacto en los pasajeros y garantizar la mayor cantidad posible de operaciones.

Dos colectivos de hackers se atribuyeron la responsabilidad del ataque: Cuervo Silencioso (Silent Raven), de origen ucraniano, y los Partisanos Cibernéticos (Cyber Partisans), activistas digitales bielorrusos opositores al régimen de Aleksandr Lukashenko y aliados de la causa ucraniana. En un comunicado conjunto divulgado en Telegram y redes sociales, ambos aseguraron haber accedido de forma coordinada a los sistemas de Aeroflot para “interrumpir la logística del Estado terrorista ruso”. Las publicaciones incluyeron capturas de pantalla internas y mensajes donde celebran el alcance del sabotaje. “No habrá refugio seguro para quienes sostienen esta guerra desde la retaguardia”, afirmaron los grupos.

Silent Raven, activo desde 2022, se ha distinguido por acciones de sabotaje digital en el contexto de la guerra rusoucraniana, dirigidas a instituciones financieras, portales estatales rusos y sistemas logísticos con sede en Moscú. Operan de forma descentralizada y su retórica se inscribe dentro de la resistencia digital ucraniana, que promueve operaciones ofensivas desde el inicio de la invasión.

Por su parte, los Partisanos Cibernéticos nacieron en las protestas contra el fraude electoral en Bielorrusia en 2020 y desde entonces han reivindicado ataques contra el ministerio del Interior bielorruso, el sistema de transporte ferroviario y entidades policiales, dificultando, entre otros objetivos, el traslado de tropas rusas hacia el frente. Aunque han colaborado previamente, esta operación marca su primera acción conjunta contra una empresa estratégica del transporte aéreo ruso.

El Kremlin, a través de su portavoz Dmitri Peskov, calificó el incidente como “bastante alarmante”. Las autoridades rusas abrieron una investigación por “acceso ilegal a sistemas de información de importancia crítica para la seguridad del Estado”. Si bien Moscú evitó señalar oficialmente a Ucrania, la reivindicación reforzó las tensiones entre ambos países.

Desde febrero de 2022, Rusia enfrenta desafíos crecientes en el ámbito aéreo, que van desde restricciones internacionales hasta ataques con drones cerca de la frontera con Ucrania. Sin embargo, hasta ahora ningún ciberataque había provocado una interrupción de tal envergadura en el sector.

Mientras Ucrania ha recibido en los últimos años apoyo tecnológico de países de la OTAN para reforzar su defensa digital, Moscú es acusada internacionalmente de ataques cibernéticos en el extranjero, campañas de desinformación y daños a infraestructura en Europa. La escalada de la guerra en el ciberespacio añade un frente nuevo y difícil de controlar, como dejó en evidencia el impacto del ataque sobre Aeroflot.

El impacto de las ciberamenazas sobre la economía y los puestos de trabajo quedó en evidencia tras el reciente cierre de la empresa británica KNP. Fundada hace más de 150 años, esta compañía empleaba a 700 personas y era considerada un referente en su sector.

Todo cambió abruptamente cuando un grupo de ciberdelincuentes llamado Akira logró infiltrarse en los sistemas de la empresa utilizando una contraseña sencilla definida por uno de sus empleados.

La brecha permitió la instalación de un virus tipo ransomware, el cual bloqueó el acceso a toda la información de KNP y desencadenó el pedido de un rescate imposible de pagar.

Los protocolos de seguridad y el seguro contratado resultaron insuficientes frente a un descuido humano. El desenlace fue la caída definitiva de la compañía y la pérdida de cientos de puestos de trabajo.

Cómo lograron los ciberdelincuentes acceder al sistema de esta empresa británica

El acceso de los hackers al sistema de KNP se realizó a través de la contraseña poco segura utilizada por un empleado. Este simple detalle, que suele pasarse por alto en muchas organizaciones, se erigió como el punto débil por el que los atacantes lograron saltar todas las barreras tecnológicas de la empresa.

El hacker bloqueó la totalidad de los datos empresariales e impidió así cualquier operación interna. Lo relevante del caso es que los ciberdelincuentes no recurrieron a sofisticados métodos de intrusión, sino que aprovecharon un error humano frecuente: la debilidad en la gestión de contraseñas.

El director Paul Abbott reconoció a la BBC que el empleado involucrado posiblemente no sabía que su decisión tuvo consecuencias tan devastadoras.

Por qué fue imposible recuperar la información robada y salvar la empresa

Una vez instalado, el software de ransomware bloqueó el acceso total a la información. Los atacantes exigieron el pago de un rescate para devolver los datos, aunque no especificaron la suma exacta.

Según estimaciones de empresas expertas, la cifra rondaría los 5 millones de libras, un monto inalcanzable para KNP. Pese a contar con seguro y con tecnología alineada con los estándares del sector, ninguna de esas medidas fue suficiente en esta ocasión.

Los daños económicos y operativos provocados por el ataque paralizaron todas las actividades, lo que llevó a la empresa a tomar la decisión de cerrar definitivamente.

Cómo han aumentado los ciberataques que secuestran información de empresas

El cierre de KNP no representa una excepción dentro del Reino Unido. En el año 2023, solo en el Reino Unido se reportaron cerca de 19.000 casos de ataques de ransomware, según datos del gobierno británico publicados por la BBC.

Grandes compañías como Marks & Spencer, Co-op y Harrods también fueron víctimas recientes de este tipo de ataques, siendo uno de los incidentes más graves el que ocurrió en Co-op, donde los ciberdelincuentes obtuvieron los datos personales de más de seis millones de personas.

El Parlamento británico advirtió sobre el riesgo permanente de un ataque masivo, señalando que cualquier descuido, por pequeño que parezca, puede poner en jaque a empresas de cualquier tamaño.

De qué forma crear una contraseña fuerte y evitar este tipo de incidentes

La creación de contraseñas robustas es la primera línea de defensa contra el cibercrimen. Según expertos como Google, una clave segura debe combinar letras, números y símbolos sin utilizar patrones predecibles ni palabras comunes. No debe repetirse con otras cuentas ni contener datos personales fácilmente deducibles.

Entre las pautas principales destacan la extensión suficiente, la unicidad para cada servicio y la facilidad de recordarla sin que sea susceptible de ser adivinada.

Cumplir con estos requisitos ayuda a impedir el acceso no autorizado y reduce en gran medida las posibilidades de que un error humano derive en una catástrofe empresarial.

KNP Logistics Group, un conglomerado de transporte con más de 150 años de trayectoria en el Reino Unido, se declaró en bancarrota tras un ciberataque que paralizó su infraestructura tecnológica.

El incidente, atribuido a un grupo de ciberdelincuentes conocido como Akira, dejó fuera de operación a la compañía y provocó el despido de más de 700 empleados.

El ataque ocurrió a finales de 2023 y, según la investigación preliminar, se originó a partir del acceso no autorizado a través de una contraseña comprometida de uno de los empleados. A partir de allí, los atacantes desplegaron un ransomware, una técnica que cifra los datos de una organización y exige un pago para liberarlos.

Paralización total de la operación

KNP operaba alrededor de 500 camiones bajo distintas marcas, entre ellas Knights of Old y Nelson Distribution. Cuando los sistemas fueron comprometidos, la empresa perdió acceso a datos logísticos clave que afectaron la planificación de rutas, el seguimiento de entregas y la comunicación interna.

Los responsables del ataque dejaron un mensaje en los servidores de la compañía en el que afirmaban que la infraestructura estaba “total o parcialmente muerta”. No se especificó públicamente el monto exigido, pero medios británicos como la BBC citaron estimaciones de expertos que apuntan a un rescate de alrededor de 5 millones de libras (unos 5,7 millones de euros).

La empresa no contaba con los recursos para pagar esa suma ni con los medios para restaurar la información perdida.

Cierre de operaciones y despidos masivos

Ante la imposibilidad de recuperar los datos críticos, KNP interrumpió sus operaciones y declaró la quiebra poco después. De sus aproximadamente 730 empleados, la mayoría fue desvinculada. Solo una parte del personal de Nelson Distribution, subsidiaria con sede en Derby, mantuvo su empleo tras la venta de esa unidad.

La compañía afirmó que cumplía con los estándares de ciberseguridad del sector y que contaba con un seguro contra ataques cibernéticos. Sin embargo, esas medidas no fueron suficientes para mitigar el impacto del incidente ni garantizar la continuidad operativa.

Un problema creciente para las empresas

Según datos de la firma de ciberseguridad Qualysec, cerca del 60 % de las pequeñas y medianas empresas que sufren ciberataques no logran recuperarse y cierran en los seis meses siguientes. Factores como la pérdida de información sensible, la interrupción del negocio y el daño a la reputación dificultan el regreso a la normalidad.

Un informe de Verizon publicado en 2020 ya advertía sobre estos riesgos, al señalar que las consecuencias de un ataque no se limitan al aspecto financiero, sino que también incluyen la pérdida de confianza por parte de los clientes y el impacto en la cadena de suministro.

Recomendaciones de ciberseguridad

Especialistas recomiendan a las empresas adoptar políticas más estrictas de seguridad digital que incluyan el uso de contraseñas robustas, verificación en dos pasos, copias de seguridad automáticas y capacitación constante del personal.

El caso de KNP Logistics evidencia cómo una brecha aparentemente menor puede derivar en la pérdida total de una compañía. En un entorno cada vez más digitalizado, la ciberseguridad se ha convertido en un factor determinante para la supervivencia empresarial.

En este mes julio, se detectó un notable incremento en los intentos de ataque dirigidos a organizaciones de telecomunicaciones, agencias gubernamentales y compañías de software, tras haberse identificado vulnerabilidades críticas en SharePoint Server, plataforma de colaboración empresarial de Microsoft. El reciente aumento en la actividad maliciosa se vincula de manera directa con la explotación de dos fallas de seguridad catalogadas como zero-day, que han puesto en riesgo a servidores locales en diferentes países y ya han afectado a más de 50 organizaciones.

Como respuesta, Microsoft lanzó una actualización de emergencia destinada a remediar ambas vulnerabilidades, CVE-2025-53770 y CVE-2025-53771, presentes en las versiones SharePoint Server Subscription Edition, SharePoint 2019 y SharePoint 2016. Cabe destacar que estos fallos solo impactan a los entornos instalados localmente, ya que SharePoint 365 no se ve afectado. La compañía de ciberseguridad ESET señaló que los ataques explotando estas vulnerabilidades comenzaron desde inicios de julio y continúan vigentes, evidenciando la urgencia de implementar las correcciones disponibles.

Ambas vulnerabilidades se distinguieron por evadir parches incluidos en la anterior actualización de seguridad lanzada por Microsoft en julio. Se trata de brechas que permiten a los atacantes ejecutar código de manera remota sin necesidad de autenticación, facilitando el control total sobre los servidores comprometidos. De acuerdo con la explicación brindada por Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, se denomina “zero-day” a una vulnerabilidad recientemente descubierta y sin un parche disponible, lo que la convierte en un blanco atractivo y efectivo para los cibercriminales.

¿Por qué surgió este problema de seguridad?

La raíz técnica de los problemas se encuentra en la “deserialización de datos no confiables”, como describió Microsoft en su comunicado oficial. Investigadores consultados por Washington Post subrayaron que este tipo de ataque puede permitir extraer claves criptográficas de los servidores afectados, lo cual la puerta a la instalación de diversos tipos de malware y backdoors. Con este tipo de herramientas, los ciberatacantes logran mantener acceso persistente a las redes comprometidas.

La campaña de ataques, conocida como ToolShell, ya ha impactado tanto a empresas privadas como a instituciones gubernamentales, según detalló Cyberscoop. Los primeros registros de explotación datan del 7 de julio, con una posterior escalada en los días mencionados de julio, coincidieron varias compañías de ciberseguridad. Los vectores de ataque han aprovechado la capacidad de ejecutar comandos en los sistemas vulnerables y tomar el control absoluto de los servidores.

El origen de la vulnerabilidad explotada en estos ataques se remonta a mayo, cuando fue detectada inicialmente durante un concurso de hacking celebrado en Berlín. El evento, impulsado por la empresa de ciberseguridad Trend Micro, ofreció recompensas económicas a quienes lograsen identificar fallos informáticos en programas de uso masivo.

En ese contexto, los organizadores habían fijado un incentivo de 100.000 dólares para aquellas pruebas de concepto capaces de demostrar exploits de “día cero”, es decir, herramientas diseñadas para aprovechar debilidades desconocidas hasta ese momento en sistemas populares como SharePoint. Esta iniciativa buscaba promover la detección proactiva de vulnerabilidades en la plataforma de colaboración y gestión documental de Microsoft, antes de que pudieran ser aprovechadas con fines maliciosos en el entorno real. No lo consiguieron.

Ante esta situación, Microsoft recomienda a las organizaciones verificar la versión de SharePoint implementada y asegurarse de que cuente con soporte oficial, lo que permite aplicar las actualizaciones urgentes. Asimismo, la empresa aconseja realizar la rotación de las “machine keys” de ASP.NET y reiniciar IIS en todos los servidores involucrados, para reducir el riesgo de persistencia de las amenazas.

Desde ESET, Gutiérrez Amaya insiste en la importancia de mantener todos los sistemas correctamente actualizados, emplear contraseñas robustas o activar la verificación en dos pasos donde sea posible, instalar soluciones de seguridad confiables en cada dispositivo y mantenerse al tanto de las amenazas emergentes. Estas medidas resultan claves para preservar la integridad de la información y el funcionamiento seguro de los sistemas empresariales frente a ataques de este tipo.