Centro Criptológico Nacional  El robo de información confidencial de empresas españolas, el más codiciado objetivo de los ciberataques

El último informe del Centro Criptológico Nacional (CCN), llamado «Ciberamenazas y Tendencias 2024» revela que el robo de datos ha sido uno de los principales objetivos de los ciberataques que han sufrido las empresas españolas durante 2023. A lo largo del año 2023 múltiples entidades y organizaciones españolas sufrieron fugas de información. Según señala el CCN en su detallado informe, mayoritariamente fueron filtraciones de bases de datos con información confidencial, tanto de clientes como de trabajadores.

El CCN ha detectado que, en ocasiones, también han sido vendidos documentos sensibles y accesos a los servidores comprometidos de las compañías. El informe indica que durante el año 2023 se contabilizaron más de cincuenta filtraciones detectadas en organizaciones españolas. Los sectores más afectados fueron el gubernamental y el educativo.

También pone de manifiesto que más de diez servicios administrados por entidades públicas fueron vulnerados, «dando como resultado una fuga de datos». Cabe destacar que a pesar de que el sector de la ciudadanía se encuentre en tercer lugar, la mayoría de las filtraciones acaban repercutiendo contra residentes del país debido a que por lo general la información filtrada tiende a ser bases de datos con información personal.

Varias de las filtraciones han afectado a compañías multinacionales españolas. El 7 de noviembre de 2023, un «actor hostil» expuso la base de datos de una de las compañías energéticas españolas más grandes del país y a nivel internacional. El 14 de octubre del mismo año, otra empresa dedicada a la venta de tecnología conocida internacionalmente también sufrió una brecha de datos que afectó concretamente a más de 14.000 clientes españoles.

Deltaboys

Entre los ciberatacantes contra España destacan Deltaboys, un grupo que ha conseguido comprometer hasta diez servicios distintos, según indica el CCN. Dicho grupo no solo se ha dedicado a atacar a entidades españolas, mayoritariamente públicas y pertenecientes al sector educativo y a organismos gubernamentales. También publicaron vídeos tutoriales en los que enseñaban la metodología a seguir a la hora de vulnerar servicios.

En este capítulo, uno de los temas más sensibles es el referido a las empresas dedicadas al sector de la defensa. «La información que ha estado siendo divulgada en foros clandestinos son documentos sensibles que podrían emplearse para conseguir una ventaja estratégica», afirma el CCN, que apunta a que entre los datos vendidos de una de las organizaciones también figuraba información referente a servicios configurados en servidores expuestos a internet, «así como la versión del servicio empleado lo cual podría explicar los compromisos posteriores en otras organizaciones». Hasta tres organizaciones españolas fueron comprometidas.

Hay que recordar que de acuerdo a la Ley 40/2015 de Régimen Jurídico del Sector Público es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública. En el caso de operadores críticos del sector público, la gestión de ciberincidentes se realizará por el CCN-CERT en coordinación con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC).