España se sitúa en la tercera posición en cuanto a detección de amenazas ransomware, con un 6%, solo por detrás de Japón y Polonia. Así se desvela en el informe Threat Report, de ESET, que detalla las ciberamenazas y tendencias observadas por la compañía desde diciembre de 2023 hasta mayo de 2024, basándose en su telemetría y en la experiencia de sus expertos.
Además, se observa un creciente uso de temas relacionados con la Inteligencia Artificial por parte de ciberdelincuentes, una tendencia que parece continuar en aumento. En la primera mitad de 2024, ESET detectó que Rilide Stealer utilizaba nombres de asistentes de IA generativa, como Sora de OpenAI y Gemini de Google, para atraer a víctimas potenciales. En otra campaña maliciosa, el infostealer Vidar se disfrazaba como una supuesta aplicación de escritorio para Windows del generador de imágenes de IA Midjourney, aunque este modelo solo está disponible a través de Discord.
Además, los investigadores han encontrado infostealers en videojuegos pirateados y herramientas de trampas para juegos multijugador en línea, con malwares como Lumma Stealer y RedLine Stealer. Este último mostró varios picos de detección, impulsados por campañas en España, Japón y Alemania. El pico más notable ocurrió el 24 de abril, con un 87% de las detecciones registradas en España. Las recientes oleadas de este malware han sido tan significativas que las detecciones en este semestre han superado en un tercio a las del segundo semestre de 2023.
“En España, los casos de phishing se encuentran en primera posición entre las ciberamenazas detectadas durante el último semestre. Estos ataques, que buscan robar credenciales de servicios online, coinciden significativamente con las detecciones globales, subrayando la persistencia y efectividad de esta táctica fraudulenta contra tanto usuarios individuales como empresas.” señala Josep Albors, director de investigación y comunicación de ESET España.
Amenazas de seguridad en España
En el ámbito del ransomware, LockBit, antes dominante, fue desbancado tras la Operación Cronos, una acción global coordinada por agencias de seguridad en febrero de 2024. Esta operación, liderada por la Agencia Nacional de Lucha contra el Cibercrimen del Reino Unido junto con Europol y Eurojust, culminó con la detención de afiliados en Polonia y Ucrania, además de la emisión de múltiples órdenes de arresto internacionales.
Los infostealers ya se hacen pasar por herramientas de IA generativa como Midjourney, Sora y Gemini
A pesar de este golpe significativo, la telemetría de ESET ha detectado dos campañas destacadas de ransomware en la primera mitad de 2024 que utilizaron el generador de código filtrado de LockBit. Estas campañas fueron ejecutadas por grupos independientes, no afiliados oficialmente a LockBit, que aprovecharon la filtración del código para lanzar sus propios ataques.
«En España, el ransomware sigue siendo una amenaza considerable, situando al país en el octavo puesto del ranking global de detecciones. Este tipo de ataque afecta mayormente a pequeñas y medianas empresas, causando pérdidas económicas significativas. No obstante, en los últimos meses hemos observado algunos ciberataques a grandes empresas, con picos notables, destacando ataques específicos por las familias de ransomware que lideran nuestro ranking de detección y que representan el 50% del total de detecciones», explica Albors.
Tendencia del ransomware
El informe de ESET también subraya que Balada Injector, un grupo conocido por explotar vulnerabilidades en plugins de WordPress, mantuvo su actividad en la primera mitad de 2024, comprometiendo más de 20,000 sitios web y registrando más de 400,000 visitas en las variantes utilizadas en una campaña reciente.
Además, durante la presentación del informe, la compañía profundizó en su última investigación sobre una de las campañas de malware del lado del servidor más avanzadas: el grupo Ebury, con su malware y botnet. A lo largo de los años, Ebury ha sido utilizado como puerta trasera para comprometer casi 400,000 servidores Linux, FreeBSD y OpenBSD; más de 100,000 seguían comprometidos a finales de 2023.
