Los primeros meses de 2024 han registrado un aumento histórico en incidentes de ciberseguridad en España. En este contexto, Lab52, el equipo de ciberinteligencia de S2 Grupo, ha elaborado un informe de urgencia para analizar qué tipo de amenazas están afectando a España, cómo se han realizado y cómo protegerse de ellas.
Según ha anunciado la compañÃa de ciberseguridad en un comunicado, los ciberdelitos de ataques de denegación de servicio (DDoS) de origen prorruso, la filtración de datos confidenciales sustraÃdos de organizaciones y su publicación en foros clandestinos, el hacktivismo y ransomware han afectado a España de una manera sin precedentes. En este sentido, «los sectores gubernamental y transporte han sido los más afectados».
En lo que se refiere a las cifras, el informe de S2 Grupo detalla que se han producido 27 publicaciones de filtraciones y robos de datos referentes a entidades españolas. Además, Lockbit, que es el grupo más activo, ha realizado 26 ciberataques en España. En relación con los ataques de ransomware en Europa, el 12% han sido realizados a organizaciones españolas.
Entre los sectores más afectados por estas filtraciones y robos de datos destacan en primer lugar el sector público, seguido por el educativo, bancario y telecomunicaciones. Sin embargo, los ataques producidos a través de ransomware han sido los más comunes en la administración pública, manufactura, alimentación y servicios de consumo.
«Se ha identificado una posible correlación entre los ataques cibernéticos y ciertos eventos geopolÃticos internacionales. Podemos ver cómo fechas reseñables a nivel polÃtico, principalmente relacionadas con las guerras Rusia-Ucrania e Israel-Palestina, coinciden con la proliferación de ciberataques», ha declarado José Rosell, CEO de S2 Grupo. «Aunque no se ha podido determinar un origen común para todas las filtraciones, existe la posibilidad de que estos incidentes formen parte de campañas estratégicas de influencia por parte de agentes externos», ha continuado Rosell.
En el primer semestre de 2024, las ciberamenazas han estado diversificadas, con grupos hacktivistas prorrusos como NoName057(16) y CyberArmyofRussia entre los más activos, junto a grupos de ciberatacantes mediante ransomware como Lockbit, BlackBasta y Cl0p.
Desde el equipo de ciberinteligencia de S2 Grupo se ha explicado que la información robada se vende como producto (venta de bases de datos o documentos confidenciales) o servicio (venta de las credenciales para acceder a los servicios comprometidos) en plataformas clandestinas de Internet como pueden ser la Clearnet, la Darkweb o en grupos de Telegram.
Desde S2 Grupo se ha señalado que en el contexto actual, marcado por las tensiones a nivel polÃtico internacional, «es clave poner la atención para incrementar la ciberseguridad de administraciones públicas, empresas y organizaciones de todo tipo». Los expertos de la compañÃa recomiendan «hacer seguimiento de los sucesos geopolÃticos». En este sentido, el equipo de ciberinteligencia de S2 Grupo ha explicado que se ha detectado un patrón en los hacktivistas por el que aprovechan eventos clave de geopolÃtica para poner en marcha sus campañas cibernéticas. «Conocerlos es fundamental para poder anticiparse a posibles amenazas».
A su vez, S2 Grupo indica la importancia del «diseño de una estructura de ciberseguridad escalable», pues es «muy importante implementar redundancias en servidores y servicios crÃticos, reducción del tráfico por IP y la implementación de herramientas que impidan la denegación de servicios».
Otro factor esencial es estudiar a fondo la infraestructura que se ha de ciberproteger, analizar todas sus vulnerabilidades desde el punto de vista de los cibercriminales (sus activos, información de valor, paÃses en los que está presente, etc.) para anticipar cualquier acción que pueda poner en riesgo a la entidad.
Desde S2 Grupo se ha resaltado que para llevar a cabo un plan de defensa frente a los grupos cibercriminales y ransomware «es necesario desarrollar una estrategia integral de prevención que contemple aspectos como la monitorización en tiempo real; detección y bloqueo en red; supervisión, recopilación y análisis de datos; disponer de una metodologÃa de análisis proactivo de ciberamenazas; y la incorporación de un sistema sofisticado de inteligencia de ciberamenazas que detecte Amenazas Persistentes Avanzadas», entre otros.
