Alcasec, el hacker investigado junto al ex secretario de Estado Francisco Martínez en el marco de la operación Borraska, seguirá por el momento en prisión. La titular del Juzgado Central de Instrucción nº3 de la Audiencia Nacional, María Tardón, rechazó a finales de marzo una nueva petición de libertad de José Luis Huertas alegando que la Policía aún no ha sido capaz de asegurar todas las fuentes de prueba. En un auto, fechado a finales de marzo y al que ha tenido acceso infoLibre, la magistrada resalta que los investigadores, pertenecientes a la Comisaría General de Información, todavía no han logrado acceder a todos los dispositivos intervenidos a Alcasec. Una denegación que la defensa de Huertas ha recurrido, insistiendo en la colaboración de su cliente.

Huertas, un joven de poco más de veinte años, lleva en prisión provisional desde mayo del año pasado. De hecho, es el único de los cuatro detenidos en la operación que casi un año después sigue entre rejas. En los últimos meses, la defensa del hacker ha solicitado hasta en dos ocasiones su puesta en libertad. La primera fue rechazada tanto por la instructora como por la Sala de lo Penal al entender que existía un "elevado" riesgo de fuga atendiendo a la "alta disponibilidad de criptoactivos". Y la segunda, cursada a finales de marzo, ha vuelto a toparse con la negativa de la magistrada que investiga el asunto.

El Ministerio Público, a través de un fiscal diferente al que hasta ahora ha llevado el caso, había interesado que se desestimara la petición de libertad formulada. Y Tardón así lo hace. En su resolución, la instructora considera que aún persisten "en la actualidad" las "razones" por las que apreciaba riesgo de fuga en el auto inicial de prisión. Esto es: la gravedad del horizonte penal al que se enfrenta el joven, la disponibilidad de criptoactivos o los conocimientos informáticos y el acceso a infraestructuras tecnológicas avanzadas de Huertas, con la facilidad que estos recursos podrían proporcionarle para ocultar su paradero.

En su solicitud de puesta en libertad, el abogado del joven también hacía alusión a la supuesta colaboración del investigado facilitando, entre otras cosas, códigos de acceso a los dispositivos móviles. "En el día de ayer José Luis ha prestado su colaboración para el desbloqueo de su teléfono móvil, aunque por el momento, a pesar de los esfuerzos de mi mandante, no se ha podido tener acceso, quedando los dispositivos a falta de dos oportunidades para poder desbloquearlos", señalaba su abogado en el escrito de solicitud de puesta en libertad.

Sobre esta supuesta colaboración, la magistrada hace referencia en su resolución a un auto del pasado 10 de diciembre: "Recientemente se ha informado por la Policía que siguen sin poder acceder al ordenador portátil del investigado porque ha utilizado un sistema de cifrado que siguen sin poder vulnerar. Y lo mismo ocurre con el teléfono móvil, que dispone de un sistema operativo que detecta intrusiones de terceros y destruye su contenido. Por ello, la Policía persiste en su intento de asegurar las pruebas que pueda haber en algún otro repositorio que se halle oculto".

"Se alega ahora que el día de ayer (...) se dieron nuevas claves. Sin embargo, se omite que en esta pretendida colaboración no fue posible en ningún caso el acceso a los dispositivos, aportando como último recurso una referencia o unas claves que ya habían sido aportadas por escrito. Con lo que no solo no existe la menor constancia de que puedan permitir su acceso, sino que existe el evidente riesgo de bloquear de manera definitiva los dispositivos implicados", completa la magistrada.

Una negativa que la defensa del joven ha recurrido en reforma, lo que obligará a pronunciarse de nuevo tanto a la jueza como al Ministerio Público. Según ha podido saber este diario, los abogados de Huertas insisten en que su cliente está colaborando con la investigación. Así, recuerdan, por ejemplo, que el joven volvió a comparecer a petición propia en la Audiencia Nacional a comienzos de febrero, respondiendo a todas las preguntas planteadas por la instructora y reconociendo parte de los hechos.

Una colaboración que, según los argumentos plasmados en su escrito, también se habría producido en relación con los dispositivos electrónicos intervenidos. Sobre la clave aportada para el desbloqueo del ordenador, explican que la misma era buena y que si los agentes no lograban acceder era, simplemente, porque la configuración de los teclados con los que ellos trabajan es distinta a la utilizada por el hacker. No obstante, con el código aportado la Policía ha podido finalmente acceder al dispositivo mediante un ataque por fuerza bruta, sistema que prueba distintas combinaciones hasta que da con la clave.

A lo que aún no se ha podido acceder es, sin embargo, al dispositivo móvil de Huertas. Ninguna de las claves aportadas hasta la fecha por el investigado eran correctas. No obstante, según los argumentos expuestos en el escrito por la defensa no se puede supeditar la libertad de su cliente a que sea capaz de recordar la contraseña.

Las pesquisas se iniciaron a finales del pasado año, a raíz del ciberataque a la Comisión Nacional del Mercado y la Competencia (CNMC) y la exfiltración masiva de miles de datos correspondientes a usuarios de líneas de telefonía móviles. Y fueron asumidas por el Juzgado Central de Instrucción nº3 de la Audiencia Nacional. Durante meses, la investigación se fue desarrollando con la participación del Centro Nacional de Inteligencia (CNI), así como con la colaboración internacional de las autoridades de Andorra o Suiza, clave para el seguimiento de flujos económicos o la actuación operativa.

A finales de mayo, Borraska estalló. La Policía detuvo a Francisco Martínez, quien fuera secretario de Estado de Seguridad con Jorge Fernández Díaz al frente del Ministerio del Interior y uno de los principales acusados por la Kitchen –la operación parapolicial para hacerse en plena Gürtel con documentos comprometedores para el PP que pudiera tener su extesorero Luis Bárcenas–. Y junto a él, al hacker José Luis Huertas y a dos de sus socios. Un joven para quien la Fiscalía pide tres años de cárcel en relación con otro ciberataque, en este caso al Punto Neutro Judicial, en el que se robaron datos bancarios de medio millón de contribuyentes.

Uno de los elementos "clave" del entramado, según se exponía en los primeros autos de ingreso en prisión, era su "capacidad" para "almacenar, organizar y cruzar" grandes volúmenes de datos sustraídos ilícitamente a través de ciberataques a "organismos públicos y privados" ejecutados "de forma sostenida durante años". Con ellos, continuaba, se construían "perfiles detallados" de "personas e instituciones" con el objetivo de "maximizar su capacidad de control, explotación estratégica y comercialización de información sensible". Toda una "red de inteligencia criminal privada y transnacional" con capacidad de intervenir en sectores estratégicos.

El hacker Alcasec era quien gestionaba y supervisaba la infraestructura tecnológica y operativa, incluyendo, entre otras cosas, la "aplicación de medidas de protección contra intervenciones policiales". En cuanto a la infraestructura digital, su núcleo estaba constituido por un servidor ubicado en Suiza, "contratado mediante criptomonedas y correos electrónicos temporales anonimizados" y cuya "administración remota" se realizaba desde múltiples lugares, incluyendo el "domicilio particular" de Huertas.

Dicho servidor integraba un motor de búsqueda, Elasticsearch, que almacenaba millones de registros obtenidos de un gran número de fuentes –Dirección General de Tráfico, Comisión Nacional de los Mercados y la Competencia, Registro Civil, Puertos del Estado, empresas energéticas, registros mercantiles u otras bases de Andorra, Bolivia o República Dominicana– y que permite consultas cruzadas por DNI, matrícula o teléfono, entre otros parámetros. O un bot de Telegram que bebía, precisamente, de esa información acumulada.

En cuanto al ex secretario de Estado, la jueza lo acusaba de ser "el coordinador jurídico-operativo y arquitecto del blindaje estructural de la organización criminal". En su declaración ante la instructora, Martínez reconoció que, primero como abogado y luego como "referente", trató de ayudar a Huertas a entrar en entornos profesionales y alejarse de la ciberdelincuencia. Y que en el marco del asesoramiento legal que le presta, probó la herramienta que estaba desarrollando Huertas para ver que todo se ajustaba a la legalidad. En cuanto a la constitución de sociedades, aseguró que de tal actividad no puede desprenderse que conociera la evolución posterior y el uso que se hizo de las mismas.

Endesa Energía ha alertado este lunes a sus 10 millones de clientes de que ha sufrido un jaqueo de sus datos personales, como números de DNI, datos relativos a su contrato y sus medios de pago (IBAN), si bien asegura que, en ningún caso, se han visto comprometidos datos de acceso a contraseñas, según informa EFE.

En una carta dirigida a sus clientes, la compañía explica que ha "detectado un incidente de seguridad, que ha permitido el acceso no autorizado e ilegítimo a su plataforma comercial" y que ha "comprometido la confidencialidad de ciertos datos de los que Endesa Energía es responsable". 

Asegura además que, en cuanto que ha tenido conocimiento del incidente, ha activado los protocolos y procedimientos de seguridad correspondientes, incluido el bloqueo inmediato de los usuarios de acceso comprometidos, el análisis de los registros y la notificación a todos los clientes afectados. 

También está realizando un seguimiento continuo especial de los sistemas para detectar cualquier actividad sospechosa y ha notificado el incidente a las autoridades competentes, incluyendo la Agencia Española de Protección de Datos.

Mientras, dice, continúa con la investigación tanto a nivel interno como con sus proveedores para averiguar lo sucedido y tomar cualquier otra medida que sea necesaria.

La compañía -que cuenta con unos diez millones de clientes potencialmente afectados en España y Portugal (6,3 millones en el mercado libre y 3,5 en el regulado)- asegura que no tiene constancia de que se haya realizado uso fraudulento alguno de los datos robados, pero pide que se comunique cualquier anomalía o desconfianza al número de teléfono 800.760.366.

Los aeropuertos españoles operan "con normalidad", sin que haya incidencias en los vuelos con Bruselas, Berlín-Brandenburgo y Londres-Heathrow, que aún sufren este domingo por las consecuencias del ciberataque a la empresa Collins Aerospace, proveedora de servicios de facturación y embarque, informa EFE.

El ciberataque se produjo en la tarde-noche del viernes y afectó al proveedor de servicios externos especializado en el procesamiento de datos en el sector de la aeronáutica Collins Aerospace, filial del grupo estadounidense de defensa RTX (anteriormente conocido como Raytheon).

Los aeropuertos españoles operan "con normalidad", han señalado este domingo a EFE fuentes de Aena, cuya red no se ha visto afectada por dicho ataque informático, en cuya consecuencia se siguen produciendo aún este domingo alteraciones del tráfico aéreo en los aeropuertos europeos citados y colas en los mostradores de facturación.

Aunque en España, este domingo, se han producido algunas demoras y cancelaciones puntuales en la conexión con Bruselas en Madrid-Barajas o Barcelona-El Prat, según figura en la web de Aena, fuentes de Iberia han indicado a EFE que no les consta que sea por el ciberataque, sino que hay restricciones por meteorología adversa en algunos puntos, lo que está afectando a la operación.

En el aeropuerto de Bruselas se han cancelado 44 vuelos cuya salida estaba prevista hoy y de otros 28 de llegada, y continúan las largas colas en los mostradores de facturación y los retrasos que han afectado a otros vuelos, pese al despliegue de personal adicional, dado que los procesos de 'check-in' y embarque se siguen haciendo manualmente.

Por el momento, se prevé que las alteraciones continúen este domingo, y se desconoce si el problema en el sistema de facturación y embarque podrá solventarse de cara a una normalización de las operaciones el lunes, según fuentes del aeropuerto belga y de las aerolíneas operadoras.

Por su parte, en el aeropuerto de Berlín-Brandenburgo aún puede haber "algunos problemas" en los procesos de facturación, debido a que también deben realizarse todavía de forma manual.

Esto puede dar lugar a retrasos, pero en el aeropuerto alemán, según sus responsables, la situación este domingo es fluida.

Los incidentes de ciberseguridad volvieron a crecer en España el pasado año y afectaron a más de 22.000 empresas, una amenaza cada vez más sofisticada debido al uso de tecnologías cada vez más disruptivas, como la inteligencia artificial, y dirigida en gran parte desde grupos criminales cada vez más y mejor organizados.

Los objetivos de esos ataques son en su mayoría económicos, pero también tratar de afectar de forma negativa sobre la prestación de un servicio o la reputación, y en muchos lugares del mundo se han convertido en un oscuro negocio en muchos casos más rentables que otros como el tráfico de drogas.

Son datos y reflexiones que este miércoles se han puesto sobre la mesa durante una jornada sobre "Ciberseguridad y nuevas tecnologías" que ha organizado la Asociación Española de Empresas de Consultoría (AEC) y que ha reunido en Madrid a expertos del Instituto Nacional de Ciberseguridad (INCIBE), del Real Instituto Elcano y de numerosas empresas especializadas en servicios de consultoría, tecnologías y seguridad.

Durante las intervenciones se han sucedido las alusiones al "phishing" (suplantación de identidad), al "ransomware" (secuestro de datos), al bloqueo de activos o de sistemas y a los miles de fraudes "online" que se producen, y hasta las advertencias sobre la posibilidad de encontrar muchos de los servicios que ofrecen estos delincuentes en la "dark web" (internet profunda).

O cómo se han sofisticado esos ataques durante los últimos años: los servicios web de un banco paralizados durante 48 horas por un ataque; peluches inteligentes que acaban exponiendo los datos de casi un millón de familias que los han adquirido; millones de equipos infectados de forma simultánea; interferencias en procesos electorales; o millones de votantes afectados por una fuga de información.

Luis Hidalgo, responsable de Relaciones Institucionales del INCIBE, ha subrayado la trascendencia de generar "confianza digital" entre los ciudadanos y entre las empresas y de extender la "cultura de la ciberseguridad", y ha expuesto los esfuerzos en formación que este Instituto hace en todos los ámbitos y sectores, desde los menores hasta las empresas, y las diversas herramientas de que dispone para combatir estos riesgos y amenazas.

En el ámbito empresarial cobra fuerza el concepto de "resiliencia operativa" y los esfuerzos que las compañías están haciendo para dar continuidad a su negocio y tratar de no ver interrumpida la marcha normal de una empresa cuando sufre este tipo de ataques desde grupos criminales cada vez mejor organizados.

El balance de ciberseguridad del INCIBE refleja que el pasado año se registraron en España 83.517 incidentes de ciberseguridad (cualquier problema digital que pone en riesgo los datos o la seguridad de los dispositivos), lo que supuso un aumento del 24% respecto a las cifras del ejercicio anterior, y se detectaron más de 180.000 "sistemas vulnerables" -que el INCIBE compara con una casa con la cerradura rota-.

Unos 58.000 ciudadanos fueron víctimas de ese tipo de incidencias, según los datos del INCIBE, que revelan que se produjeron unos 7.400 casos de "contenidos abusivos" (pornografía infantil, delitos de odio o ciberacoso), o que se clausuraron más de 300 tiendas online por fraude.

Félix Arteaga , investigador de Seguridad y Defensa del Real Instituto Elcano, ha constatado cómo han variado los riesgos y las amenazas durante las últimas décadas, cómo el "nuevo orden" establecido en la posguerra se ha desmoronado conforme avanzaba la ciberseguridad, y cómo está contribuyendo a esas amenazas algunas de las nuevas tecnologías, entre ellas la inteligencia artificial.

El mundo ya no es el mismo; sobre este axioma los intervinientes han incidido en que los nuevos riesgos y amenazas requieren nuevas formas de combatir el crimen y nuevos perfiles, para evitar que los grupos organizados que actúan a nivel internacional y en la mayoría de los casos desde países donde las legislaciones son más laxas interfieran en el normal funcionamiento de las empresas, las administraciones o los estados.

Para el presidente de la AEC, José María Beneyto, "los riesgos existen y la respuesta debe ser inmediata", y ha subrayado el conocimiento, la tecnología y la innovación que atesoran las empresas del sector de la consultoría en España para tratar de poner coto a esas amenazas.

Durante la jornada, responsables de empresas como Deloitte, Accenture Security, KPMG, Capgemini o IBM Consulting han relatado numerosas experiencias y casos concretos de ataques y la cada vez mayor sofisticación de los mismos, los cada vez más amenazantes y desafiantes riesgos y la amenaza global que suponen, pero también han lanzado mensajes en positivo y han valorado la capacidad de respuesta que existe para hacer frente a los mismos.

La Dirección General de Tráfico (DGT) investiga desde hace "dos semanas" la posible comercialización de datos de millones de conductores y vehículos procedentes de su base de datos, tras detectar un acceso ilícito.

Así lo han confirmado este viernes a Europa Press fuentes del departamento que dirige Pere Navarro, que han detallado que después de tener conocimiento del posible robo de información relativa a vehículos, conductores o matriculas, la DGT informó al Grupo de Investigación y Análisis de la Agrupación de Tráfico de la Guardia Civil (GIAT), que lo está investigando.

"Constantemente" llegan informaciones a Tráfico sobre accesos indebidos, que de forma inmediata lo corta y da traslado del caso al Grupo de Investigación y Análisis de la Agrupación de Tráfico de la Guardia Civil (GIAT), que investiga todo aquello relacionado con la seguridad vial y el transporte.

Las citadas fuentes han precisado, asimismo, que un importante número de organismos e instituciones, como es el caso de los ayuntamientos, tienen acceso a su base de datos y que, "en muchas ocasiones", los ciberdelincuentes anuncian la venta de esta información que en realidad no tienen. "Son falsos", indican fuentes de la DGT, que reconocen que también hay casos en los son "ciertos".

Santander ha informado de un reciente "acceso no autorizado" a una base de datos de la entidad alojada en un proveedor que ha afectado a clientes de España, Chile y Uruguay, y a todos los empleados y a algunos exempleados del grupo, según ha informado en un comunicado a la Comisión Nacional del Mercado de Valores (CNMV) y recoge Europa Press.

En el resto de mercados y negocios de la entidad no hay datos de clientes afectados. Santander señala que en la base de datos afectada no hay información transaccional ni credenciales de acceso o contraseñas de banca por internet que permitan operar con el banco. "Las operaciones y los sistemas de Santander no están afectados y los clientes pueden seguir operando con seguridad", añade el banco.

El banco, que está llevando a cabo una investigación, señala que implementó "de inmediato" medidas para gestionar el incidente, como el bloqueo del acceso a la base de datos y un refuerzo de la prevención contra el fraude para proteger a los clientes.

Santander "lamenta" la situación y señala que está informando "proactivamente" a los clientes y empleados directamente afectados. "Hemos notificado oportunamente a reguladores y fuerzas de seguridad, y continuaremos colaborando con ellos", concluye el comunicado.

El abogado de la pareja de la presidenta regional, Isabel Díaz Ayuso, ha interpuesto una denuncia ante los juzgados de instrucción de Madrid tras haber sufrido un hackeo en relación a los los emails cruzados con su cliente, en los ordenadores de su despacho y del fiscalista que lleva la inspección fiscal, según lo recogido por Europa Press.

En la denuncia, consta que los ordenadores fueron hackeados en la tarde del pasado martes 2 de abril para hacerse con los correos intercambiados con Alberto González Amador, su defendido. Entiende el abogado que estos hechos son constitutivos, al menos, de un delito de revelación de secretos, afectando a los derechos fundamentales de Alberto González a la intimidad, a la protección de datos de carácter personal y al derecho de defensa.

La denuncia se interpone poco después de que la pareja de Ayuso presentara una querella ante el Tribunal Superior de Justicia de Madrid (TSJM) contra la fiscal jefe de Madrid, Pilar Rodríguez, y el fiscal Julián Santo, por la difusión de una nota informativa que detallaba el cruce de correos entre su letrado y el fiscal en la causa en la que se le investiga por un presunto fraude fiscal.

En concreto, en el escrito judicial se expone que este hackeo se produce en el marco de su asesoramiento profesional para el intercambio de información y documentación. Relata que "las dos cuentas de correo recibieron en la mañana del 2 de abril, a las 11 horas 39 minutos, un correo electrónico enviado desde el correo personal de Alberto González Amador, correo que fue respondido a las 12 horas y 11 minutos".

"Unas horas después de haberse recibido y respondido el correo, durante la tarde del día 2 de abril esos correos desaparecieron de los sistemas informáticos para, transcurridas unas seis horas, volver a reaparecer en los sistemas ya el día 3 de abril, a las 00 hora y 09 minutos", recoge la denuncia.

Según detalla el abogado, esos hechos fueron puestos en conocimiento del perito informático, quién tras analizar preliminarmente los sistemas determinó que "se había sido objeto de un ciberataque". De este modo, el hackeo había afectado a los correos mencionados del día 2 de abril de 2024 "no teniendo transcendencia al resto de correos ni buzones corporativos".

"El ciberataque habría consistido en retirar la información (los correos electrónicos) de los sistemas (presumiblemente para su descarga y/o extracción de ficheros adjuntos con cientos de páginas) y posteriormente volver a ser entregados al buzón de correo de los usuarios, no levantando de esta manera sospechas sobre las actuaciones realizadas", señala el texto judicial.

La denuncia recoge que se ha solicitado ayuda a Microsoft para que facilite "cuanta información disponga almacenada sobre lo sucedido en relación al funcionamiento de los servicios de correo electrónico", pudiendo por el momento garantizarse que "los correos fueron entregados, posteriormente eliminados y vueltos a entregar (simulando haber tenido una única entrega)".

Destaca el letrado que "este tipo de técnicas son comúnmente utilizadas cuando un tercero quiere acceder a determinada información hackeando un sistema y dejando el mínimo rastro técnico posible del acceso, y por ello que acceden, trasladan la información para su consulta y la vuelven a dejar en el sistema".

Meta eliminó en 2023 dos redes de cuentas falsas en Facebook e Instagram creadas por otras tantas empresas españolas de software espía, Mollitiam Industries y Variston IT. La compañía de Mark Zuckerberg lo revela en su más reciente informe sobre amenazas, publicado este mismo mes y donde da cuenta de la supresión de seis redes distintas de cuentas falsas pertenecientes a ocho empresas con domicilio social en España, Italia y Emiratos Árabes Unidos. Las cuentas suprimidas las empleaban estas compañías para poner a prueba sus propias capacidades para infectar y extraer información de posibles objetivos.

Tanto Mollitiam Industries como Variston IT ya han sido señaladas por Reporteros sin Fronteras y por Google por sus actividades de espionaje al servicio de gobiernos extranjeros. Según publicó el año pasado infoLibre, Mollitiam ha vendido programas espía tanto al Ejército de Colombia, que los utilizó para espiar a periodistas, activistas y políticos, como a la dictadura de Vietnam. Reporteros sin Fronteras la incluyó en 2020 entre los 20 depredadores digitales de la libertad de prensa. La revista colombiana Semana desveló ese mismo año las operaciones ilegales que los militares habían llevado a cabo en lo que se conoció como el escándalo carpetas secretas. Pero tres años después, el Ejército seguía utilizando el software espía de Mollitiam, según desveló una investigación del consorcio Forbidden Stories, basada en una filtración de correos internos del Comando General de las Fuerzas Militares de Colombia y en la que participó este periódico.

Otra investigación, llevada a cabo por la red de medios European Investigative Collaborations (EIC), a la que pertenece también infoLibre, destapó que Mollitiam había suministrado al régimen vietnamita, una dictadura comunista que persigue a los disidentes y muestra escaso respeto por los derechos humanos, uno de sus programas más publicitados, que lleva el nombre de Invisible Man.

Además, la empresa española firmó en 2019 un acuerdo de confidencialidad con la compañía francesa Nexa, que también había vendido su software estrella, Predator, al Gobierno de Vietnam. Al mismo tiempo, Mollitiam proporcionó a Nexa un folleto de presentación de sus sistemas de infección y control remoto invisible de objetivos conectados a internet. Es decir, le ofrecía las mismas herramientas de cibervigilancia en los que se había especializado la francesa y su socio israelí Intellexa. Esa fue una de las revelaciones de los PredatorFiles, la investigación de EIC que desveló la venta a dictaduras, con la complicidad europea, de material de vigilancia de estas empresas.

Mollitiam es una pequeña empresa con sede en Toledo, nacida en 2018 y con una facturación media de 1,12 millones de euros anuales entre 2019 y 2021. Sus promotores tienen una larga experiencia en el sector de la cibervigilancia. Los socios mayoritarios, Esther y Samuel Álvarez González, ya crearon en 2007 el Grupo In-Nova, que en 2016 trabajó para el Ejército de Brasil en la formación de un grupo de élite especializado en luchar contra el cibercrimen. Ya antes, en 2012, es la empresaria española en Perú, cuando la Fundación In-Nova, que ella preside, firmó un convenio de colaboración con el Consejo Nacional de Ciencia, Tecnología e Innovación Tecnológica (Concytec) peruano. En 2014 Esther Álvarez viajó a Ecuador, donde expuso sus conocimientos sobre ciberdefensa. Cuatro años después, In-Nova figuraba como habilitada en el Registro de Proveedores de Bienes Estratégicos del Gobierno ecuatoriano.

En Colombia, los hermanos Álvarez crearon la empresa In-Nova Colombia SAS, que dirige un proyecto de consultoría con el Comando de Apoyo Tecnológico del Ejército (COATE). Como publicó infoLibre, en 2016 In-Nova participó en un proyecto de cooperación tecnológica entre España y Colombia para la transferencia de conocimiento en relación con sistemas autónomos de navegación y plataformas aéreas, con aplicación en vehículos aéreos no tripulados (UAV o drones), dirigido a oficiales de las Fuerzas Armadas colombianas.

Mientras, en España, Mollitiam vendió a la Guardia Civil en 2019 y por 302.500 euros un sistema de monitorización remota de comunicaciones desde móviles. También una herramienta para monitorizar redes sociales por 18.059, según publicó en su día El Salto. A In-Nova, el Ministerio de Defensa le adjudicó en 2015 el suministro de un prototipo de red de comunicaciones tácticas y, entre 2018 y 2022, cuatro contratos más por un importe total de 134.950 euros. Una de esas licitaciones fue para un sistema de interceptación.

Pues bien, según Meta, Mollitiam creó el año pasado una serie de cuentas falsas en Facebook e Instagram con las que ponía a prueba la capacidad de sus propias herramientas para infectar y extraer información de posibles objetivos. El informe detalla que la empresa toledana utiliza enlaces para loguear IP que le permiten rastrear las direcciones IP, la serie numérica que identifica a un ordenador u otro dispositivo en internet. También se dedica al phishing y a otras técnicas de ingeniería social –con las que se manipula a los usuarios para que revelen información confidencial, transfieran dinero o se descarguen programas maliciosos, por ejemplo– contra “opositores políticos, periodistas, activistas anticorrupción y contra los abusos policiales en España, Colombia y Perú”, asegura la compañía de Zuckerberg.

infoLibre ha preguntado a Meta por los periodistas, opositores y activistas que han sido objeto del espionaje de Mollitiam Industries tanto en España como en los otros dos países citados, pero la compañía estadounidense se ha negado a ampliar los datos incluidos en su informe. También le ha preguntado si ha presentado alguna denuncia en los tribunales de esos tres países, porque la ingeniería social es un delito. Facebook empezó a enviar en 2015 alertas de seguridad a los usuarios víctimas de ataques de este tipo de empresas o directamente de algún gobierno. También lo hace ahora con los usuarios de Instagram. Las actividades ilegales de Mollitiam Industrias en Colombia y Perú ya habían quedado al descubierto, pero no las llevadas a cabo en España, que Meta no ha querido concretar.

Tampoco Mollitiam y Variston han contestado a las preguntas que sobre el informe de Meta les ha enviado infoLibre.

La operativa de Variston IT es similar a la de Mollitiam Industries. “Usa cuentas falsas para desarrollar y probar exploits [programas que aprovechan las vulnerabilidades de una aplicación o sistema informático], compartiendo enlaces maliciosos y haciendo llamadas entre ellas en lo que parece un intento de validar su capacidad de ataque a iOS y Android”.

Variston IT es una empresa con sede en Barcelona cuyos propietarios y administradores son el alemán Ralf Dieter Wegener y el indio Ramanan Jayaraman. Según el ranking de empresas exportadoras de la empresa semipública Cesce –Compañía Española de Seguros de Crédito a la Exportación, que asegura las operaciones internacionales de las empresas españolas–, Variston exportó por valor de 14,36 millones de euros en 2021, casi un 10% más que el año anterior. Todas sus ventas fueron al extranjero. Fundada en 2018, tiene un capital social de 100.000 euros y una plantilla de 87 trabajadores. Según Meta, posee una filial en Italia, TrueLIT, también implicada en la creación de las cuentas falsas de Facebook e Instagram.

Sus actividades quedaron al descubierto cuando el Grupo de Amenazas de Google publicó en noviembre de 2022 que uno de los productos de Variston IT, Heliconia, explotaba vulnerabilidades de Chrome, Firefox y Microsoft Defender. En marzo de 2023 reveló que Variston o uno de sus clientes o socios había utilizado enlaces maliciosos enviados por SMS a usuarios ubicados en Emiratos Árabes Unidos. La página de destino a la que eran dirigidos los usuarios atacados era idéntica a la de Heliconia que había denunciado Google cuatro meses antes. En el descubrimiento de este ataque intervino también el Security Lab de Amnistía Internacional.

Meta y Google coinciden a la hora de advertir ante el enorme y rápido crecimiento de la industria del software espía. Estas empresas “han desarrollado capacidades que antes sólo estaban disponibles para gobiernos con mucho dinero y experiencia técnica”, destacaba Google en su informe de noviembre de 2022. La cibervigilancia puede ser legal dependiendo de las leyes nacionales de cada país, pero, añade, “a menudo se utiliza de manera perjudicial para llevar a cabo espionaje informático contra determinados grupos” de personas: periodistas, activistas de derechos humanos, opositores políticos o disidentes.

Incluso puede tener el apoyo financiero de los Estados. Es el caso de Mollitiam Industries. Para desarrollar una de sus herramientas, llamada Phoenix y que la propia empresa define como “un prototipo para la detección de posibles radicales en las redes sociales”, la empresa de Toledo contó con una subvención de 641.827 euros, abonados a partes iguales por la Unión Europea –a través del Fondo Europeo de Desarrollo Regional (Feder)– y por el Gobierno español, a través del CDTI (Centro para el Desarrollo Tecnológico y la Innovación, dependiente del Ministerio de Ciencia e Innovación). La subvención le fue concedida en 2019 y el resultado fue “un sistema modular de monitorización masiva para producir inteligencia a partir de la descarga anónima de datos no estructurados procedentes de redes sociales, darknets y deepwebs”, tal y como se publicita en su página web.

Pero no fue la única ayuda pública que recibió Mollitiam Industries. En mayo de 2021, el CDTI le concedió 450.000 euros en una operación para promover la innovación empresarial en la que también invirtió el fondo del Gobierno vasco Easo Ventures. La subvencionó con otros 410.394 euros a través de los proyectos Cien y Eureka, según figura en las cuentas de 2021 de Mollitiam.

Además, una ayuda de 59.636 euros sirvió a Mollitiam Industries para desarrollar el proyecto Electro I+D, que mide el nivel de “resiliencia en redes OT (civiles y defensa) frente a ciberataques”. El 80% del dinero vino de Europa, vía Feder, y el resto lo puso la Junta de Castilla-La Mancha. Esas mismas instituciones le otorgaron 50.751 euros para el proyecto Cibermarkint, “una plataforma Osint de inteligencia artificial”. Finalmente, recibió del Gobierno manchego una nueva ayuda de 15.941 euros a través del programa Adelante Inversión.

En total, se embolsó más de 1,6 millones de dinero de los contribuyentes en cinco años.

Meta explica en el informe que sus hallazgos permiten rastrear dónde están enfocando ahora las empresas de software espía el desarrollo de sus herramientas. La creación de cuentas falsas para probar sus nuevas armas de infección es sólo una primera fase de lo que el informe de Zuckerberg llama “cadena de ataque” de los programas espía. “Aunque el debate público suele centrarse en la fase de explotación [la última, tras las de reconocimiento e intervención, cuando los dispositivos y cuentas de los usuarios ya han sido comprometidos], es fundamental interrumplir el ciclo de vida completo del ataque en las primeras fases”, advierte Meta.

Los autores del ciberataque al Ayuntamiento de Sevilla han pedido un rescate para recuperar los sistemas informáticos, según confirman fuentes municipales, que señalan que detrás de esta acción delictiva, que provocó este martes la caída de la web municipal y de los distintos servicios que se ofrecen al ciudadano a través de Internet, se halla "uno de los grupos hackers más importantes del mundo", según informa Europa Press.

El asunto está siendo tratado e investigado por el Centro Criptológico Nacional (CCN-CERT), con quien se trabaja de forma conjunta, así como por la Policía Nacional. En relación al cibertaque, sus autores habrían exigido en torno al millón y medio de euros como condición para devolver el servicio, según ha avanzado Canal Sur radio, si bien "en ningún caso se negociará con ciberdelincuentes", añaden las mismas fuentes municipales.

Los técnicos del Ayuntamiento y personal externo especializado están trabajando desde el martes para determinar el origen y alcance del ciberataque y poder establecer la normalidad lo antes posible". En este sentido, todos los servicios se vieron interrumpidos "como medida de precaución", lo que obligó a que muchos trámites se realizaran por ventanilla como única vía.

El Ayuntamiento de Sevilla confía en que no se hayan visto afectados datos personales de los ciudadanos ni los servicios de emergencias tras este ciberataque sufrido este martes, aunque no ha podido confirmar del todo este extremo, y ha hecho un llamamiento a la cautela. En cuanto concluya el informe que se está elaborando al respecto sobre el origen del mismo y los posibles daños sufridos, se interpondrá la correspondiente denuncia: "Si no se ha hecho aún ha sido por recomendación de las fuerzas y cuerpos de seguridad del Estado".

Así lo ha expresado el concejal de Hacienda y Transformación Digital, Juan Bueno, en declaraciones a los medios en las que ha confirmado que los ciberdelincuentes han pedido un rescate para recuperar los sistemas informáticos y que detrás de esta acción delictiva se encuentra Lockbit (Bocado a la cerradura), de origen holandés. "Entiendo que en este momento no está nada afectado, pero hay que ser cautelosos en eso. A esta hora, y según los informes que tenemos, no hay constancia de que estén afectados. Vamos a esperar hasta tener el documento, y si estuvieran, tendríamos que actuar", ha añadido el concejal que ha insistido que "en ningún caso se negociará con ciberdelincuentes".

Bueno se ha mostrado confiado en que no se haya provocado "absolutamente ningún problema" en relación a los datos personales. "Si afectara, pues habría que estudiar cómo evidentemente podemos pormenorizar ese posible problema o ese posible agravio que se produzca a los sevillanos".

Hace justo un año, se produjo otra supuesta estafa al Ayuntamiento; en este caso, por la "suplantación de identidad de la empresa adjudicataria del contrato de las luces de Navidad para cobrar por el servicio". El abono del contrato rondaba el millón de euros.

La Unión Europea (UE) está empezando a despertar ante la amenaza que supone una industria de la vigilancia fuera de control, con el conocido grupo israelí NSO y su software Pegasus en el punto de mira. Mientras el Parlamento Europeo reanuda esta semana sus audiencias sobre ese programa espía, una investigación de Mediapart, Der Spiegel, Domani, IrpiMedia y EU Observer, realizada bajo los auspicios de Lighthouse Reports, revela la magnitud de las operaciones de un grupo de vigilancia europeo poco conocido cuyas herramientas se utilizan en todo el mundo, incluso en países cuyas autoridades están acusadas de corrupción y abusos de los derechos humanos.  

Tykelab, una empresa con sede en Italia, y su empresa matriz, RCS Lab Group, venden potentes tecnologías de vigilancia dentro y fuera de la UE que pueden, según sus palabras, "rastrear los movimientos de casi cualquier persona con un teléfono móvil, ya sea a unas pocas manzanas de distancia o en otro continente". 

Mediante el análisis de datos confidenciales de telecomunicaciones y el uso de información proporcionada por expertos del sector, hemos podido determinar que estas empresas utilizan una serie de herramientas de vigilancia y piratería informática. Llevan a cabo ataques encubiertos a las redes telefónicas en nombre de sus clientes y emplean sofisticados programas maliciosos, que proporcionan acceso remoto completo a un dispositivo móvil. 

Estas herramientas se han utilizado contra objetivos en el Sudeste Asiático, África, América Latina y Europa. 

Eurodiputados, profesionales del sector de las telecomunicaciones y expertos en privacidad entrevistados sobre estas revelaciones insisten en que empresas como Tykelab amenazan los derechos y la seguridad de los ciudadanos.  

“Se trata de un importante proveedor de programas espía, esta vez con sede en Europa, que no respeta el Estado de Derecho", declaró la eurodiputada Sophie In't Veld. “Ya es hora de que se regule todo el sector, que opera en una especie de zona gris en la UE. Hay que poner límites, de lo contrario nuestra democracia se rompe.” 

Según Edin Omanovic, director defensor de la ONG Privacy International, "debe quedar ahora clara para Bruselas y las capitales europeas la amenaza que supone la industria del software espía mercenario : deben tomar medidas decisivas para proteger las redes, detener el comercio y castigar a las empresas cómplices de los abusos, como ya ha hecho Estados Unidos". 

Esta investigación sigue una larga línea de revelaciones sobre las actividades de la industria del espionaje en todo el mundo. El año pasado, un consorcio de periodistas documentó cómo se había utilizado el software Pegasus contra periodistas, activistas de derechos humanos y políticos. Más recientemente, se descubrió que se había utilizado un software similar para vigilar a un periodista y a un político en Grecia. Este verano, una comisión parlamentaria europea escuchó a expertos de la sociedad civil y a un alto representante del grupo israelí NSO.  

Los datos confidenciales que hemos obtenido muestran cómo la empresa italiana, que se presenta como un inofensivo proveedor de servicios de telecomunicaciones, ha estado explotando discretamente las vulnerabilidades de las redes telefónicas de todo el mundo en nombre de sus clientes. 

Cuando se le preguntó por nuestras revelaciones, el grupo RCS Lab confirmó que controla Tykelab y que sus "productos y servicios se suministran a las fuerzas del orden para apoyar la prevención e investigación de delitos graves como el terrorismo, el tráfico de drogas, la delincuencia organizada, el abuso de menores, la corrupción, etc.". La empresa dijo que cumple la normativa italiana y europea en materia de exportación y asegura que su personal no está autorizado a realizar actividades operativas en apoyo de los clientes. Sin embargo, se negó a revelar ningún detalle sobre ellos. 

Varios expertos en seguridad de redes de telecomunicaciones explicaron, bajo condición de anonimato, que habían visto a Tykelab realizando actividades de vigilancia telefónica a gran escala. La empresa alquiló docenas de puntos de acceso a la red (conocidos como "Global Titles" en el sector de las telecomunicaciones) de operadores legítimos de todo el mundo y los utilizó para sondear los puntos débiles de las redes de los países y obtener en secreto datos personales, incluida la ubicación de las personas que utilizaban esas redes. 

La empresa ha sido vista realizando actividades de vigilancia en países como Libia, Nicaragua, Malasia y Pakistán, así como en Italia y otros lugares de la UE. 

“Cada vez son más activos", afirma un experto que lleva meses siguiendo las actividades de Tykelab en varias redes telefónicas. “Desde principios de este año, han aumentado el número de ataques, y ahora es constante". 

Tykelab forma parte de un conglomerado italiano de vigilancia en expansión, RCS Lab, que tiene sucursales en Francia, Alemania y España, así como otra sucursal en Italia, Azienda Informatica Italiana. El grupo fue adquirido recientemente por otra empresa de seguridad italiana, Cy4Gate. 

Tykelab tiene su sede en Roma, en la segunda planta de un edificio normal de oficinas. Pero expertos en seguridad de redes de telecomunicaciones se dieron cuenta el año pasado de que la empresa estaba dirigiendo grandes cantidades de tráfico sospechoso a través de un grupo de redes telefónicas con sede en el Pacífico Sur. Era una de las muchas señales de alarma. 

Los datos confidenciales verificados por Lighthouse Reports muestran cómo, en un solo día de 2022, Tykelab utilizó uno de los operadores telefónicos del grupo con sede en un lejano archipiélago para enviar miles de búsquedas sospechosas a Malasia.  

Esas búsquedas, en una red débilmente protegida, dan lugar a la revelación de la ubicación de los usuarios de teléfonos. No existe ningún rastro de actividad en el propio teléfono, y un usuario individual poco puede hacer para evitar el ataque. 

Otros datos muestran cómo, durante un periodo de diez días en junio, la empresa utilizó 11 puntos de acceso a la red desde islas del Pacífico para enfocarse en personas de Costa Rica, Nicaragua, Libia y Pakistán, así como a Irak, Mali, Macedonia, Grecia, Portugal e Italia.  

"Los vemos sondear las redes y buscar de forma persistente y sistemática formas de eludir los sistemas de protección. También vemos que hacen un seguimiento descarado y selectivo de las personas", afirma el analista que ha recopilado el conjunto de datos.  

"Aunque la mayoría de estos ataques tienen como objetivo la revelación de ubicaciones, en Libia hemos visto actividad consistente en intentos de interceptar llamadas o SMS", añadió. 

Este analista explica que, además de los casos claros de vigilancia de personas, la empresa parece estar explorando los puntos débiles de las redes telefónicas de forma más general. Un mapa de la actividad de la empresa que pudimos examinar muestra cómo, en sólo dos días, sondeó redes en casi todos los países del mundo. 

"Esto parece una operación de gran barrido diseñado para identificar las redes globales menos defendidas", comentó el analista. 

Jean Gottschalk, de la consultora de seguridad móvil estadounidense Telecom Defense, revisó los datos a petición de Lighthouse Reports y confirma que indican una actividad sospechosa. "Los mensajes específicos que se han observado suelen ser enviados por plataformas de geolocalización cuyo objetivo es rastrear los movimientos de objetivos de alto valor", afirma. 

Desde principios de la década de 2010, es de dominio público que el sistema SS7 (que enlaza las redes de telefonía móvil de todo el mundo para que las compañías telefónicas puedan rastrear el paradero de sus clientes cuando viajan) puede ser explotado con fines de vigilancia. Empresas especializadas ofrecen este tipo de servicios a clientes gubernamentales, y algunos operadores telefónicos han puesto en marcha sofisticados cortafuegos para contrarrestar los riesgos de vigilancia. Pero, en general, el sector considera que es un problema complejo y costoso de resolver. 

Entre bastidores, profesionales de las telecomunicaciones han dado la voz de alarma sobre las actividades de Tykelab. Un informe confidencial para un foro de la industria privada le atribuye más de 27.000 ataques a la red en partes de África, el sudeste asiático y Europa en el primer semestre de 2022. En Canadá, el Centro de Ciberseguridad del gobierno (CCCS) identificó recientemente tres puntos de acceso de Tykelab como principales conductos para el tráfico sospechoso. 

La alerta del CCCS hizo que se pidiera el corte de una pequeña parte del acceso de Tykelab a las redes telefónicas mundiales. Sin embargo, Pat Walshe, ex director de privacidad de la asociación comercial de telefonía móvil GSMA, afirma que estas medidas son insuficientes. "Estas revelaciones exigen una investigación inmediata por parte de los reguladores y la adopción de medidas por parte del sector", afirma. 

Uno de los analistas que investiga las actividades de Tykelab afirma que las prácticas de la empresa no se ajustan a lo que normalmente se acepta en el sector de las telecomunicaciones. “Nada justifica que una entidad italiana utilice puntos de acceso en el Pacífico Sur para enviar solicitudes de localización a individuos en Libia y Nicaragua", afirma. 

El acceso a la red de Tykelab ha permitido a su empresa matriz, RCS Lab, ofrecer un sofisticado servicio de inteligencia a sus clientes, llamado Ubiqo. Un folleto de ventas explica que Ubiqo puede "rastrear los movimientos de casi cualquier persona con un teléfono móvil, tanto si está a unas manzanas de distancia como si está en otro continente", y "generar información procesando los patrones de movimiento, las ubicaciones y las horas de encuentro". 

La empresa ha dicho que espera ampliar su presencia en los mercados de ultramar, a lo que podrían contribuir los problemas públicos de su rival NSO Group. 

En junio, la empresa de ciberseguridad Lookout y el grupo de análisis de amenazas de Google identificaron a Tykelab y RCS Lab como los desarrolladores de una herramienta de vigilancia desconocida hasta entonces llamada Hermit, activa en Italia y Kazajistán. Lookout reveló en agosto que también había identificado otro caso de piratería informática de Hermit en la UE, esta vez en Rumanía. 

A los usuarios se les pide que descarguen Hermit tras recibir los enlaces de su operador telefónico u otros proveedores de servicios. Una vez instalado, Hermit puede grabar al usuario y su entorno, y acceder a los contactos, fotos, mensajes, eventos del calendario y archivos almacenados. 

Justin Albrecht, investigador de Lookout, dice que aunque el método de instalación de Hermit es menos sofisticado que el de Pegasus, sus capacidades son similares. “Tanto Pegasus como Hermit son potentes herramientas de vigilancia", afirma Albrecht. “Prácticamente todas las comunicaciones y datos personales de un dispositivo infectado con cualquiera de estos programas maliciosos quedarían expuestos a la entidad que realiza la vigilancia." 

La empresa gemela de Tykelab, Azienda Informatica Italiana, se describe en la documentación de la compañía como "centrada en servicios de investigación y desarrollo en apoyo de la unidad de Spyware". En las redes sociales, sus empleados dicen que construyen software de interceptación para dispositivos iPhone y Android. Uno de los responsables dice que en los últimos años se había centrado en facilitar la venta del producto de la empresa en el extranjero, y como resultado el sistema se vendió en Italia "y en varios países extranjeros".  

La expansión en el extranjero es una parte importante de la estrategia del nuevo conglomerado Cy4Gate-RCS Lab. Ambas empresas tienen "relaciones comerciales con gobiernos del Golfo, Asia Central y América Latina", según las declaraciones de los accionistas. Pero un crecimiento tal en el extranjero puede llegar a ser controvertido y someter a RCS Lab y a sus nuevos propietarios a una mayor vigilancia. 

“La cibervigilancia comercial vendida en secreto a cualquiera que esté dispuesto a pagar es un riesgo de seguridad global para todos nosotros, dentro y fuera de la Unión Europea", afirma Marketa Gregorova, ponente del Parlamento Europeo sobre el control de las exportaciones de tecnología de vigilancia. “Este tipo de servicio permite la tortura y el asesinato de activistas de derechos humanos y periodistas".

Si tiene alguna información que compartir, póngase en contacto con nosotros en enquete@mediapart.fr. Si desea enviar documentos a través de una plataforma altamente segura, puede utilizar SecureDrop de Mediapart, el procedimiento se explica en esta página.

Traducción de Miguel López

Apple ha lanzado dos parches de seguridad para sus sistemas operativos iOS 15, iPadOS 15 y MaCOS Monterey que corrigen dos vulnerabilidades localizadas en WebKit y Kernel que habrían sido activamente explotadas, informa Europa Press.

Una vulnerabilidad presente en el kernel, el núcleo del sistema operativo, permite a una aplicación ejecutar código arbitrario con privilegios de kernel, como ha indicado la compañía tecnología en su página de Soporte.

Identificada como CVE-2022-32894, afecta a iOS 15, iPadOS 15 y MaCOS Monterey, tres sistemas que también presentan una segunda vulnerabilidad (CVE-2022-32893), en esta ocasión en WebKit, el motor de navegación sobre el que funciona Safari. Por ella, un contenido web malicioso podría llevar también a la ejecución de código arbitrario en el dispositivos que acceda a él.

Apple es consciente de que ambas vulnerabilidades habrían sido activamente explotadas, y por ello ha lanzado sendos parches de seguridad (MacOS Monterey 12.5.1 e iOS/iPadOS 15.6.1), que insta a instalar en iPhone 6s y siguientes modelos, todos los iPad Pro, en iPad Air 2 y modelos posteriores, iPad de 5ª generación y siguientes, iPad mini 4 y posteriores y iPod touch de 7ª generación.

El Consejo Superior de Investigaciones Científicas (CSIC) ha recuperado la normalidad tras el ciberataque de origen ruso que sufrió los días 16 y 17 de julio, según ha informado la propia institución y ha recogido Europa Press.

De este modo, tal y como ha explicado el CSIC, sus 149 centros, institutos y sedes territoriales han ido "progresivamente" restableciendo la conectividad después de que el pasado 18 de julio se activase el protocolo marcado por el Centro de Operaciones de Ciberseguridad (COCS) y el Centro Criptológico Nacional (CCN) para evitar que el ataque se extendiera.

Desde el CSIC han explicado que su sistema informático tenía copia de seguridad de toda la información de la institución, por lo que no se ha detectado pérdida de datos sensibles o confidenciales.

"El CSIC dispone de múltiples mecanismos de seguridad que evitan más de 260.000 intentos de ataques diarios", han señalado desde el Consejo.

Recientemente, otras instituciones internacionales de investigación, como la Sociedad Max Planck (Alemania) o la NASA (EEUU), han recibido también ciberataques.

El Ministerio de Defensa atribuye a Rusia la autoría del ciberataque sufrió los días 16 y 17 de julio el Consejo Superior de Investigaciones Científicas (CSIC), organismo dependiente del Ministerio de Ciencia e Innovación, y que dejó sin conexión a la red a muchos de sus centros, informa Europa Press.

Así lo ha revelado este miércoles la ministra de Defensa, Margarita Robles, tras una visita a la embajada de Ucrania para abordar los envíos de armamento y material de ayuda humanitaria que está haciendo España, así como la situación de los refugiados ucranianos.

Robles ha asegurado que el ciberataque al CSIC fue comunicado al Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI), tan pronto como fue detectado y "se tomaron las medidas oportunas" para interceptarlo.

Según ha remarcado, este tipo de acciones rusas relacionadas con la guerra híbrida se suman al ataque militar convencional que está sufriendo Ucrania. "Igual que Rusia está atacando Ucrania, está utilizando otro tipo de armas híbridas como es el que nos ocupa", ha revelado.

El Ministerio de Ciencia e Innovación detalló este miércoles que el ataque fue de tipo ransomware, similar al que han sufrido otros centros de investigación como el Instituto Max Planck o la Administración Nacional de Aeronáutica y del Espacio de los Estados Unidos (NASA).

Además, adelantó que no se había detectado pérdida o secuestro de información sensible o confidencial, aunque las medidas empleadas para resolver el ataque han conllevado un corte de acceso a la red en diversos centros.

El Consejo Superior de Investigaciones Científicas, organismo dependiente del Ministerio de Ciencia e Innovación, recibió los días 16 y 17 de julio un ciberataque de tipo ransomware, lo ha informado este martes el departamento que dirige Diana Morant, según informa Europa Press.

En este sentido, el Ministerio ha indicado que el ciberataque fue detectado el día 18 de julio e "inmediatamente" se activó el protocolo marcado por el Centro de Operaciones de Ciberseguridad y el Centro Criptológico Nacional.

"Este ataque es similar al que han sufrido otros centros de investigación como el Instituto Max Planck o la Administración Nacional de Aeronáutica y del Espacio de los Estados Unidos (NASA)", ha señalado Ciencia. Asimismo, ha apuntado que, a falta del informe final de la investigación, "los expertos señalan que el origen del ciberataque procede de Rusia e indican que, hasta la fecha, no se ha detectado pérdida o secuestro de información sensible o confidencial".

También ha destacado que las medidas empleadas para controlar y resolver el ataque han conllevado un corte de acceso a la red en diversos centros, siguiendo el estricto protocolo internacional necesario para atajar el incidente y garantizar que no se extienda el ataque a los centros que no se han visto directamente afectados.

Hasta la fecha algo más de una cuarta parte de los centros del CSIC ya disponen de conexión a la red y los próximos días se restablecerá en toda la red de centros. El CSIC dispone de múltiples mecanismos de seguridad que evitan diariamente más de 260.000 ataques registrados, según los datos del Ministerio.

Tras el ataque, Juan Ignacio López-Bas Valero y María Muñoz Vidal, diputados del Grupo Parlamentario Ciudadanos, han presentado una pregunta en la que se solicita respuesta por escrito sobre la caída de los servicios de internet del CSIC.

Iberdrola sufrió el pasado 15 de marzo un ciberataque que se resolvió ese mismo día y que expuso datos de 1,3 millones de clientes, según confirmaron a Europa Press en fuentes de la compañía. Los autores del ataque sólo tuvieron acceso a nombre, apellidos y DNI, pero no a datos bancarios, fiscales o de consumo eléctrico.

Según precisa el diario El País, los ciberdelincuentes se hicieron con información sensible de la base de datos de los usuarios de la energética, incluyendo nombre y apellidos, DNI, domicilio, número telefónico y dirección de correo electrónico, pero no lograron acceder a los datos financieros de los clientes, como el número de cuenta corriente o de tarjeta de crédito.

Al día siguiente, una vez cerrada la brecha, la compañía detectó nuevos ataques masivos que en esta ocasión no consiguieron su objetivo.

Los ataques se produjeron de forma paralela a otros ataques en España como en Cercanías, el Congreso de los diputados u otras instituciones europeas. Afortunadamente, no han tenido acceso a datos críticos, según destaca Iberdrola.

El Gobierno de Ucrania ha denunciado este viernes un "ataque informático masivo" contra las páginas oficiales de diversos organismos estatales y ha confirmado que en las mismas fueron publicados "mensajes provocativos", si bien han recalcado que no se ha producido una filtración de datos. "Durante la madrugada del 13 al 14 de enero, varias páginas gubernamentales, incluidos los ministerios de Exteriores y Educación, han sido hackeadas", ha indicado el Servicio Estatal para Comunicaciones y Protección de la Información en un comunicado publicado en su web y recoge Europa Press.

Así, ha manifestado que "se publicó un mensaje provocativo en la página principal de estas web" y ha agregado que "el contenido de las páginas no ha cambiado y no ha habido filtración de datos". "Otras páginas oficiales han sido suspendidas para evitar que el ataque se propague", ha manifestado.

El organismo ha hecho hincapié en que trabaja con el Servicio de Seguridad de Ucrania y la Policía para "recopilar pruebas digitales e investigar el incidente", al tiempo que ha apuntado que "la mayoría de los recursos estatales afectados han sido restaurados, mientras que el resto estarán disponibles pronto".

Por su parte, el portavoz del Ministerio de Exteriores ucraniano, Oleg Nikolenko, ha confirmado el ciberataque en su cuenta en la red social Twitter. "Nuestros especialistas han empezado a restaurar el trabajo de los sistemas informáticos y la Policía ha abierto una investigación", ha zanjado.

El Alto Representante de la Unión Europea para Política Exterior, Josep Borrell, ha señalado que la UE movilizará todos sus recursos para ayudar a Ucrania ante el ciberataque masivo registrado este viernes. A su llegada a la reunión de los ministros de Exteriores de la UE en Brest, Francia, el jefe de la diplomacia europea ha condenado el ataque denunciado por Kiev y ha dicho que el bloque ya investiga su origen, aunque ha señalado que "se lo puede imaginar", en referencia a Rusia.

En todo caso, se ha comprometido a movilizar todos los recursos de la UE para asistir a Kiev, en un momento en el que la seguridad europea se ve amenazada por el despliegue militar ruso frente a sus fronteras, donde ha concentrado decenas de miles de militares haciendo saltar las alarmas sobre una agresión a su vecino. "Vamos a movilizar todos los recursos para ayudar a Ucrania a hacer frente al ciberataque", ha subrayado, tras anunciar que el Comité Político y de Seguridad de la UE se reunirá de urgencia y estudiará como incluir a Kiev en programas europeos de ciberdefensa.

Borrell ha apuntado a distintos programas de la Cooperación Permanente Estructurada (PESCO), en los que Estados miembros trabajan conjuntamente para mejorar su capacidad ante amenazas de este tipo, y ha pedido que la ayuda se extienda a Ucrania en este momento crítico.

Este mismo jueves, el Alto Representante confirmó que los Veintisiete sopesan establecer una operación militar europea en Ucrania para mejorar su resistencia ante ciberataques. "Está sobre la mesa y espero que la decisión se tome relativamente rápido", señaló Borrell sobre esta posibilidad, después de calificar las ciberamenazas como uno de los "mayores riesgos que enfrentan" los ucranianos.

El vicepresidente del Govern y conseller de Políticas Digitales, Jordi Puigneró, ha considerado este sábado que el ciberataque que sufrió la Generalitat el viernes fue "absolutamente planificado y contratado", y no impulsado por aficionados, por lo que investigarán la autoría y las motivaciones.

En una entrevista del 3/24 recogida por Europa Press, ha explicado que no se ha producido ningún robo de datos ni se ha pedido un rescate: "No era de esta tipología, era un ataque de denegación de servicio, para impedir que los ciudadanos puedan acceder a los servicios de información".

La Agencia de Ciberseguridad de la Generalitat consiguió recuperar en tres horas la totalidad de las más de 2.000 aplicaciones afectadas, y este sábado ya está "todo controlado" y en situación de normalidad.

El ciberataque del viernes fue cuatro veces más grave que el sufrido por la Generalitat durante el 9N de 2014, pero la rápida respuesta fue posible gracias a la activación de las contramedidas necesarias para mitigarlo, ha informado el Govern este sábado en un comunicado.

Se produjo en dos olas: la primera se detectó a las 18.55 mediante los sistemas de monitorización existentes, y cuando ya se estaban recuperando los sistemas se produjo una segunda ola, pero a las 22.30 ya se habían recuperado todos los servicios y aplicaciones.

Hasta un millar de pequeñas y medianas empresas estadounidenses, muchas de ellas firmas informáticas, se habrían visto afectadas por un nuevo ataque informático a gran escala del mismo grupo que afectó al proveedor de carne JBS Foods esta primavera. La banda de delincuentes REvil, que se cree que opera fuera de Europa del Este o Rusia, ha atacado esta vez a un proveedor de software conocido como Kaseya, cuyos productos son ampliamente utilizados por las empresas de gestión informática y otros ámbitos, según una alerta de la firma especializada en seguridad informática Huntress Labs, informa Europa Press.

En al menos un caso los atacantes han exigido el pago de un rescate de cinco millones para que las empresas recuperen los datos de sus clientes corporativos, ahora mismo en peligro de acabar en manos del mejor postor, según ha explicado uno de los directores ejecutivos de la firma, Kyle Hanslovan, a la cadena CNN.

Este ataque es el último de una serie de asaltos informáticosasaltos informáticos que ha llamado a la alerta a las autoridades estadounidenses. En mayo, un ataque al oleoducto Colonial Pipeline interrumpió los envíos de combustible a las gasolineras de la costa este, mientras que el ataque a JBS provocó el cierre temporal de sus nueve plantas procesadoras de carne de vacuno de EEUU.

Kaseya ha informado del cierre provisional de sus servidores mientras investiga el incidente, que de momento "se ha limitado a un reducido número de clientes".

El Ministerio de Trabajo y Economía Social ha informado este miércoles de que se ha visto afectado por un ataque informático, según ha señalado el departamento en su cuenta de Twitter, ha informado Europa Press.

El departamento que dirige la vicepresidenta tercera del Gobierno y ministra de Trabajo y Economía Social, Yolanda Díaz, ha apuntado que los responsables técnicos del Ministerio y del Centro Criptológico Nacional están trabajando de manera conjunta para determinar el origen y restablecer la normalidad lo antes posible.

Este ataque se ha producido después de que el pasado mes de marzo el sistema informático del Servicio Público de Empleo Estatal (SEPE) recibiese otro ciberataque que impedía acceder a su página webciberataque que impedía acceder a su página web. El servicio informático del SEPE fue infectado con un ransomware, un software malicioso que tiene la capacidad de cifrar archivos y bloquear ordenadores con la idea de obtener dinero a cambio de devolver el funcionamiento normal al sistema.

Los ataques con virus tipo ransomware son aquellos que restringen la entrada a parte del sistema y piden un rescate por liberar los archivos. Entre los que más han aumentado están Maze o Ryuk, operados por humanos con los que tiene que negociar el afectado

Casi la mitad de estos intentos de ataques está dirigido contra Estados Unidos (49%), seguido por Reino Unido (5%), mientras que España recibe el 1%, entre los se puede contar el que afectó al Servicio Público de Empleo Estatal (SEPE) y que le obligó a paralizar sus operaciones.

El regreso de WannaCry

Otro de los tipos de ataque que han vuelto a ser detectados por los investigadores de Check Point son los que utilizan WannaCry, el virus informático que paralizó miles de ordenadores en todo el mundo en 2017. Durante el mes de marzo, ha habido 40 veces más empresas afectadas por este virus de las que hubo el pasado octubre y en lo que va de 2021 los perjudicados han crecido un 53%.

El equipo de expertos tras el informe no ha podido determinar las causas de la reaparición de este virus informático, pero señala que sigue utilizando tácticas que atacan las mismas vulnerabilidades que en 2017 y para las que ya existen parches, por lo que recuerda la importancia de mantener actualizados los equipos y sistemas.

Junto a esta recomendación, desde CPR aconsejan que las empresas inviertan en equipos de detección de amenazas y hagan copias de seguridad, así como que tengan protocolos que incrementen el nivel de seguridad como identificaciones multifactor o el principio de mínimo privilegio, con el que el usuario solo tiene acceso a lo estrictamente necesario para desempeñar su trabajo.

Asimismo también se recomienda instalar programas que identifiquen correos electrónicos maliciosos y formar a los empleados. Por el contrario, se desaconseja el pago de rescates, ya que incluso pagando a los ciberdelincuentes, existe la posibilidad de no recibir de vuelta el control de tu equipo.