De la DANA al phishing: España es el tercer país del mundo en detecciones de ciberamenazas

ESET ha publicado su último informe Threat Report, que pone de manifiesto las tendencias más relevantes en el ámbito de la seguridad digital en España y en el mundo. El informe, que detalla las ciberamenazas y tendencias observadas por la compañía desde diciembre de 2023 hasta noviembre de 2024, se ha realizado a partir de los datos de la telemetría de la compañía, así como de la experiencia de sus expertos

Según el último Threat Report, las amenazas en España siguen un patrón periódico, con picos de actividad en ciertos momentos del año y descensos significativos durante las épocas festivas como Navidad y verano. Además, el país ocupa el tercer lugar a nivel mundial en detecciones de amenazas con un 9%, cerca de Japón, Eslovaquia, Canadá y Republica Checa.

En cuanto al tipo de amenaza cibernética más recurrente, el phishing sigue siendo el gran protagonista en España, destacando su capacidad para adaptarse y evolucionar. Este tipo de ataque, orientado al robo de credenciales, emplea páginas fraudulentas que imitan servicios populares como Office365, engañando tanto a usuarios particulares como a empresas. Estas campañas no solo buscan acceder a información confidencial, sino que también son el punto de partida para ataques más complejos. Además, se han detectado otros métodos que explotan vulnerabilidades antiguas en documentos de Office y archivos fraudulentos, como PDFs, que suplantan a entidades legítimas. Estas tácticas reflejan un cambio estratégico de los ciberdelincuentes, que combinan técnicas tradicionales con innovaciones dirigidas a maximizar su impacto.

Por otro lado, las ciberestafas relacionadas con criptomonedas han ganado terreno en el país durante el último año, impulsadas por el auge del valor de ciertos criptoactivos. Los ciberdelincuentes han aprovechado el creciente interés en este mercado para implementar campañas persuasivas que incluyen el uso de imágenes y videos de personajes famosos y mensajes atractivos difundidos a través de redes sociales. Además, algunas campañas maliciosas también han aprovechado eventos trágicos, como la DANA en Valencia, mediante el uso de imágenes generadas con inteligencia artificial para difundir información falsa y páginas web fraudulentas de donaciones. Asimismo, otro caso destacable involucró la suplantación de la AEMET con el objetivo de distribuir un troyano bancario en dispositivos Android.

“Los ciberdelincuentes están demostrando una importante capacidad de adaptación, utilizando estrategias clásicas con herramientas cada vez más sofisticadas para engañar a los usuarios. Estos patrones no solo reflejan la evolución de las tácticas empleadas por los malhechores, sino también la necesidad de mantenerse alerta y reforzar las medidas de ciberseguridad, especialmente durante los periodos de mayor vulnerabilidad” señala Josep Albors, director de investigación y concienciación de ESET España.

Las campañas de emails maliciosos y spam han mantenido su presencia en España a lo largo de 2024, mostrando una distribución estacional influida por periodos vacacionales como Navidad, Semana Santa o el verano. Una tendencia clave identificada en el informe Threat Report es el cambio en los tipos de archivos utilizados como adjuntos maliciosos. Documentos tradicionales como PDFs y archivos de Office han perdido protagonismo frente a scripts y ficheros ejecutables, reflejando un cambio en las tácticas de los atacantes para tratar de evadir los filtros de seguridad y conseguir nuevas víctimas.

A su vez, las campañas de infostealers mantuvieron una actividad constante con picos significativos liderados por familias como Formbook, que superó a Agent Tesla, históricamente uno de los más prevalentes, y por la entrada de Lumma Stealer en el top 10, con impacto en España y otros países. Además, en octubre, una operación policial conjunta desmanteló la infraestructura de Redline Stealer, uno de los infostealers más activos de los últimos años, marcando un hito en la lucha contra este tipo de amenazas, aunque los ciberdelincuentes continúan adaptándose para seguir operando.

En contrapartida, en 2024, las detecciones de ransomware disminuyeron en la segunda mitad del año, reflejando un enfoque estratégico de los ciberdelincuentes hacia objetivos menos numerosos, pero de mayor valor. En España, Lockbit 3.0 lideró inicialmente los ataques, aunque su actividad cayó tras el desmantelamiento de su infraestructura por parte de agencias policiales, incluidas detenciones en territorio nacional. Este vacío permitió el auge de actores como Ransomhub, apoyados por afiliados como el grupo CosmicBeetle, que han protagonizado múltiples ataques a empresas y organizaciones en el país, consolidándose como una de las amenazas más relevantes en los últimos meses.

Al igual que en España, el último informe Threat Report ha destacado un aumento significativo en la actividad de amenazas cibernéticas en 2024, con un protagonismo especial de los infostealers, ransomware y todo tipo de estafas también a nivel mundial. Estas amenazas han evolucionado para adaptarse a nuevos contextos y tecnologías, afectando tanto a usuarios particulares como a empresas en múltiples regiones.

Entre los infostealers, Lumma Stealer destacó con un incremento del 369% en detecciones durante la segunda mitad del año, siendo distribuido principalmente a través de activadores piratas de Windows. Además, se ha observado un incremento del 127% en amenazas dirigidas a macOS, impulsadas por el malware AMOS, orientado al robo de credenciales de criptomonedas.

Las estafas digitales también experimentaron una notable evolución a nivel global. El troyano HTML/Nomani, utilizado en estafas de inversión que emplean vídeos deepfake suplantando la identidad de todo tipo de celebridades y publicaciones con marcas conocidas, creció un 250% entre el primer y segundo semestre de 2024. Este tipo de fraude ha afectado especialmente a países como Japón, Canadá, España y Eslovaquia. Por otro lado, surgió una nueva modalidad de estafa dirigida a plataformas de reservas de alojamiento como Booking.com, utilizando cuentas comprometidas para crear páginas de pago fraudulentas que coinciden con reservas reales. Finalmente, los atacantes han explorado nuevas formas de atacar dispositivos móviles mediante aplicaciones web progresivas (PWAs) que imitan interfaces bancarias, permitiendo el robo de credenciales y códigos de autenticación.

“El informe Threat Report 2024 de ESET refleja cómo los ciberdelincuentes están evolucionando sus tácticas para adaptarse a nuevos contextos y maximizar su impacto. Desde el auge de los infostealers como Lumma Stealer y Formbook, hasta la persistencia del ransomware con actores como Ransomhub y las sofisticadas campañas de estafas digitales, el panorama cibernético exige una atención constante y un enfoque integral en ciberseguridad. En ESET, seguimos comprometidos con la investigación y la protección activa de usuarios y empresas, especialmente frente a amenazas que combinan métodos tradicionales con innovaciones tecnológicas para evadir las defensas”, concluye Albors.