La guerra cibernética lleva años haciendo estragos pero no somos conscientes de ello

A pesar de las crecientes inversiones en seguridad informática, los ciberatacantes más sofisticados cuentan con mayor respaldo económico siendo su principal baza que son demasiados, cada año más.

Crackers (hackers cuya actividad es ilícita) y piratas informáticos dispuestos a vulnerar los mejores “cortafuegos” los hay por doquier, vendiéndose al mejor postor.

¿Está la ciberdefensa española preparada?

Índice

• La ciberdefensa carece de suficientes recursos

• El riesgo de la IoT

• Recomendaciones contra el ciberespionaje

• La ciberdefensa militar

• Conclusiones

La ciberdefensa carece de suficientes recursos

¿Sabíais que España sufrió más de 100.000 ciberataques en 2024?

No penséis que la Administración se escapa porque cuente con excelsas medidas de seguridad. De hecho, un alto porcentaje de los ataques se dirigen hacia organismos públicos. Es la razón por la que en mayo de 2025 el Gobierno español aprobó un presupuesto de más de 1.150 millones de euros para combatir las ciberamenazas.

Lo peor es que si se quiere seguir el rastro de los atacantes, sus amplios conocimientos informáticos les permiten borrarlo de modo que nunca se conozca su origen.

Se puede tener ciertas sospechas, pero señalar con exactitud el País desde donde se ataca resulta prácticamente imposible en el caso de los grandes ciberataques; miles…y aumentando.

Las grandes multinacionales informáticas llevan años potenciando sus sistemas de seguridad cibernética. Sin embargo, los crackers tan solo necesitan un breve lapso de tiempo para vulnerarlos. Por ello continuamente se confeccionan nuevos parches de seguridad.

Se calcula que hay cientos de miles de vulnerabilidades aún no descubiertas y por las que los ciberdelincuentes se introducen en nuestros ordenadores sin que nos percatemos.

Las más preocupantes son las vulnerabilidades RCE (siglas en inglés de "ejecución remota de código), que interceptan las actualizaciones de seguridad, esas que se nos recomienda instalar en nuestros pcs, modificándolas introduciendo su código malicioso.

Normalmente, las RCE se ejecutan desde sitios web sin protocolo https, por lo que la priemra recomendación para cualquiera es no acceder a las páginas con el antiguo http.

Es muy complicado defenderse ante esos ataques. Los crackers los refuerzan mediante el mecanismo man-in-the-middle que es cuando la señal de origen es interceptada durante su envío al destino.

Para que lo comprendamos mejor: en tiempos pasados, un método para espiar las comunicaciones por carta era interceptarlas, copiarlas y volver a intoducirlas en sus sobres de modo que pareciera que no habían sido tocadas, incluso con su sello intacto. Como éste último se rompía para poder abrir el sobre, había expertos que los reconstruían.

El ciberataque man-in-the-middle funciona del mismo modo interceptando las actualizaciones de seguridad informática sin que parezca que han sido comprometidas.

Hay empresas que no solucionan estos problemas dejándote a tí la responsabilidad de que decidas si instalas la app que te ofrezcan. Es como decirte: yo te presento el producto y tú decides si lo instalas o no. Lo que no te dicen es que pudiera ser usado por medios ajenos pudieran usarlo para introducir un malware en tu ordenador. Dependerá de las medidas de seguridad que tú tengas en tu pc.

Por lo tanto, ellos no desarrollan un software de seguridad que acompañe a su aplicación sino que dan por hecho que tú tomas medidas en tus dispositivos. Y, como es bien sabido, en especial en los smartphones, casi nadie instala una suite de seguridad.

En ocasiones, las herramientas que diseñan los ingenieros al servicio de la ciberdefensa son robadas por grupos ciberterroristas atentando contra la seguridad global con ataques masivos como sucedió con el WannaCry.

Un programa malicioso, surgido en 2017, por el que la opinión pública conoció la palabra “ransomware”, o software que pide un rescate a cambio de los datos robados.

El WannaCry afectó a más de 300.000 ordenadores de diferentes empresas de prácticamente todo el Mundo. Fue solo el comienzo (en realidad venía sucediendo de antes). Pero confiamos en las buenas apariencias de ciertas aplicaciones tras las que se esconden los piratas.

La amenaza se ha sofisticado para que sea indetectable. Los parches de seguridad que se colocan para contrarrestar sus efectos dañinos duran poco porque los ciberciminales desarrollan contramedidas enseguida.

Ir al Índice

El riesgo de la IoT

Incluso protegiendo los ordenadores con las mejores suites de seguridad, casi todas las empresas y particulares se olvidan de proteger también otros dispositivos con acceso a Internet, la famosa IoT (Internet of Things o Internet de las Cosas).

Los crackers atacan estos dispositivos a sabiendas de que carecen de protección. Por ejemplo, las impresoras multifunción que vemos en todas las oficinas y que se han popularizado también en los hogares. A través de ellas se puede acceder a las redes corporativas de las empresas que los hackers maliciosos tengan como objetivo puesto que dichas impresoras funcionan mediante conexión Wifi.

Menos de la mitad de las impresoras de las empresas y entidades públicas cuentan con algún tipo de protección frente a los ciberataques.

Son edpoints: permiten que sistemas externos reciban mensajes y los transmitan a su vez para integrar dichos sistemas en redes que suelen usarse para minar monedas virtuales.

La seguridad de esos endpoints no es tenida en cuenta ni por fabricantes ni por distribuidores de los aparatos conectados a Internet, en especial las impresoras, cuando las colocan en las empresas donde van a ser usadas. Deberán ser los empresarios los que aseguren la red de su oficina con expertos propios.

La solución que han tomado algunas empresas en sus oficinas ha sido prohibir las memorias portátiles o usb para trasladar información de un ordenador a otro de forma rápida. Los ejecutivos que han implementado esta medida érronea creen que pudieran ser los medios con los que se ha “extraviado” mucha información sensible.

Pero si se prescinde del pendrive se recurrirá a la Nube para trasladar esa información. Ya sabéis como va: se accede después en cualquier otro lugar físico a dicha nube para visualizar y en su caso imprimir los archivos.

El pendrive no es el problema, realmente, sino la falta de formación en seguridad de quiénes manipulan la información, de hecho, los usb de última generación incluyen medidas de cifrado de datos que los hacen muy seguros. Si el pendrive se perdiera o cayera en manos ajenas, será muy complicado desencriptar sin la clave.

Desde hace años se está implementando el borrado remoto de dispositivos conectados a Internet como si de un teléfono móvil se tratara.

Los smartphones suelen incluir la opción de borrado o bloqueo remoto por si se perdiera. En muchos casos, y más si es una empresa pequeña, con una buena solución antivirus es suficiente pero ni eso tienen. Y ya no digo nada del firewall que muchos no saben cómo usar.

No solo se ataca a ordenadores, sino que uno de los aparatos más conocidos en los hogares de medio Mundo, el router, es uno de los más vulnerables.

En la década pasada fue cuando se descubrió lo vulnerables que son los routers a raiz de un ataque masivo sufrido en Alemania, afectando a cientos de miles de routers.

El objetivo suele ser el sistema DNS, que es que traduce el código de números de las páginas a las que accedemos tecleando sus nombres. Si se controla el DNS se puede redireccionar el tráfico.

Manipulando una gran cantidad de routers crean una botnet aprovechando la capacidad multiplicada de la misma con la que atacar grandes empresas u Organismos importantes.

Las sofisticadas medidas de reconocimiento facial de teléfonos y tablets de alto coste también pueden ser vulneradas.

Se ha comprobado que con una impresora 3D se puede imprimir una copia de la cara del usuario de un teléfono y añadirle algún complemento como una nariz de silicona similar a la del individuo y el apoyo de alguna fotografía. Con todos estos elementos se ha engañado a teléfonos de avanzada tecnología. Y esto se lleva haciendo años.

¿Qué ciberdelincuente está dispuesto a gastar dinero para tan laborioso trabajo? Supone usar la impresora 3D además de confeccionar la copia de la faz del usuario y los conocimientos en software necesarios. Por lo tanto, la respuesta sería: aquellos que esperan un beneficio elevado por el que valga la pena las molestias.

Por ejemplo, alguna propiedad intelectual muy valiosa, un individuo cuya terminal telefónica permita el acceso a una red corporativa importante como un alto ejecutivo o un directivo de alguna entidad pública.

Por otro lado, un ciberatacante, para vulnerar el reconocimiento facial, debe antes haber hecho una fotografía de la imagen que el usuario del móvil utilice en su dispositivo para que la copia sea exacta, por lo que antes ha de acceder a dicho teléfono. Sería ya más propio de espionaje de alto nivel para tomarse tantas molestias pero es que en este post hablamos también de ciberguerra.

Ir al Índice

Recomendaciones para luchar contra el ciberespionaje

Muchos usuarios no instalan los parches por lo que sus ordenadores se infectan sin que lo sepan. Para quiénes sí los instalan, los ciberdelincuentes, antes que robar su información personal, "zombifican" su computadora.

Incorporan multitud de equipos a redes zombi o botnet (“bot” de robot y net que significa “red” en inglés) para minar criptomonedas; es la mutación denominada “WannaMine”. La quinta parte de los ataques que sufren los ordenadores de todo el Mundo tiene por objeto esa finalidad.

A pesar del riesgo, sigue siendo muy recomendable instalar las actualizaciones de seguridad que recomiendan todos los sistemas operativos. Te vas, en tu pc, a "privacidad y seguridad" - seguridad de Windows - protección antivirus y contra amenazas - actualizaciones de protección (el sistema te indica como buscar las últimas actualizaciones).

Más fáciles de atacar si los teléfonos son baratos y es que hay entidades que adquieren teléfonos corporativos económicos creyendo que no se verá comprometida su seguridad.

Cuando sufren un ataque se ven obligados a pagar grandes sumas de dinero para amortiguar el golpe lo que hubieran evitado de haber tomado medidas de prevención.

Sucede, sobre todo, con las tablets, las cuales casi ninguna se protege. En las empresas resultan muy cómodas para acceder en cualquier sitio a la red: por los pasillos, en la cafetería, durante una presentación, etc.

Es un problema que llevamos arrastrando desde hace muchos años. En 2016 el malware denominado Crooks fue tan dañino que varios años después no se había encontrado "cura" todavía, infectando más dispositivos móviles en 90 países.

El sistema se ha replicado posteriormente solo que más sofisticado pero básicamente sigue la misma estrategia: desde una carpeta del sistema se conecta a un servidor externo desde el que descarga un archivo XML (transporta datos para que un programa insertado en un dispositivo los lea).

Ese archivo contiene instrucciones para descargar determinadas aplicaciones en el dispositivo infectado, por lo general publicidad no deseada.

Lo curioso es que apenas atacó a dispositivos configurados en idioma chino o cuando su IP era de un rango chino por lo que se sospechó que el origen de este malware sea China.

En 2025 otro malware, llamado Webrat, se diseñó para robar datos de cuentas de mensajería instantánea o de videojuegos y monederos virtuales. Si es tu pc el infectado, puede saber lo que tecleas, grabar las pantallas que visualices, controlar tu cámara web y el micro así como varias jodiendas más.

Los afectados por el Webrat lo descargaron de una plataforma que ofrece medidas y parches de seguridad con lo que, confiados, abrían los archivos pensando que robustecía la seguridad del pc cuando en realidad la estaba vulnerando.

El Webrat inhabilita el Windows Defender, ya sabéis, la solución antivirus del popular sistema operativo. Motivo por el que no está de más que contéis con otro antivirus aparte.

Recomendación: instalar una máquina virtual que crea un entorno seguro en el que puedes hacer pruebas descargando esos archivos de los que tienes dudas. Si en dicho entorno no da problemas, ya sabes que tampoco los dará en tu página de trabajo habitual.

El reconocimiento facial es hackeable así que debemos extremar las precauciones y no perder de vista nuestro teléfono, más si es corporativo. Si esto sucediera, se debe acceder de inmediato a la opción de control remoto para ubicar donde pueda hallarse el teléfono perdido o sustraído y si no está cerca proceder, cuanto antes, a su borrado.

La medida más eficaz es no usar el teléfono corporativo o incluso el particular para almacenar documentos o imágenes (capturas de pantalla, por ejemplo) con información sensible o reservada.

Se ha vuelto habitual en las empresas e incluso en los organismos públicos enviar por servicios de mensajería instantánea datos reservados, incluyendo imágenes o documentos que, al ser almacenados en la memoria del teléfono, son accesibles en un ataque remoto.

Lo mejor en cuanto a seguridad en un dispositivo móvil, algo que se lleva haciendo años pero que sigue siendo eficaz, es la autenticación en tres pasos: reconocimiento facial (o de huella dactilar, una firma electrónica o reconocimiento de voz), junto a una contraseña y una vez introducida reforzar la seguridad de las aplicaciones que usemos, al menos las más importantes, con un pin numérico.

Las aplicaciones debieran permanecer cerradas y solo abrirlas cuando las usemos, aunque nos resulte incómodo tener que introducir constantemente la clave de acceso (o por lo menos, cerrarlas mientras dormimos).

Cada oficina debiera contar con un dispositivo que solo se use para comprobar las memorias portátiles (como los pendrives). Dicho ordenador debe tener las máximas medidas de seguridad. Si la memoria extraible pasa el análisis entonces sabremos que los archivos que contienen son seguros y podrán compartirse con el resto de equipos de la intranet.

Insistimos en que la mejor defensa es la prevención y en concreto la formación de los empleados o funcionarios de una entidad para que sepan cómo usar con seguridad las redes.

El acceso remoto a las redes sociales (desde ordenadores que no están ubicados en las oficinas propias) es una de las amenazas de las que más está costando concienciar. Se debe a que, todavía hoy, las empresas o entidades no tienen implementado todas el cambio periódico de contraseña de sus empleados.

Tampoco añaden todas los parches de seguridad que los fabricantes y distribuidores recomiendan y desde luego casi ninguna se preocupa por las amenazas en la Nube creyendo que de eso se ocupan los servidores.

Algo tan básico como crear copias de la información sensible tampoco es usual que se haga. No se entiende en los tiempos actuales porque resulta de gran utilidad si hay un ciberataque.

Al tener los datos sensibles almacenados en dispositivos externos, si se produce el ataque de los que borran o secuestran la información, tan solo hay que recurrir a dichas memorias externas para continuar con la actividad. Los piratas informáticos no se saldrían con la suya.

Estas copias deberán hacerse con mayor o menor periodicidad dependiendo de la cantidad de datos generada y por supuesto comprobar que los dispositivos externos no estén dañados. Cada cierto tiempo deben ser renovados por otros nuevos.

Ir al Índice

La ciberdefensa militar

Tan importante es la amenaza cibernética que muchos Países cuentan ya con Organismos para defender sus redes públicas o al menos las estratégicas.

En España se encuentra el Mando Conjunto de Ciberdefensa cuyos cometidos son asegurar la disponibilidad, integridad y confidencialidad de la información que albergan los sistemas informáticos de las Fuerzas Armadas españolas.

Para ello conciencian a todos los militares sobre el uso de las redes y adiestran a algunos de ellos para que se especialicen ante amenazas cibernéticas, detectándolas y, si les resulta posible, rechazarlas.

Los militares del Mando Conjunto de Ciberdefensa, si localizan el origen de un ataque, prepararán la respuesta con el objetivo de eliminar ese riesgo de forma definitiva.

El proverbio “la mejor defensa es un buen ataque” se ha convertido en una máxima en el ciberespacio. De ahí que se busquen las 24 horas del día nuevas amenazas para destruirlas en origen o por lo menos atacarlas antes de que infecten redes importantes.

El Mando Conjunto de Ciberdefensa abarca también a las empresas que llevan a cabo proyectos para el Ministerio de Defensa por lo que saben muy bien lo que es el ciberespionaje industrial. Conocen perfectamente el ransomware, al que han tenido que enfrentarse en muchas ocasiones.

La Armada española ya ha dispuesto que se incorpore a decenas de buques sistemas de ciberdefensa, sobre todo los más modernos como los futuros submarinos S-80.

Los navíos contarán con apoyo desde tierra pero tendrán capacidad para defenderse por sí solos de ciberataques. Fijaos hasta donde llega la preocupación por esta cuestión que incluso los barcos se están dotando de sistemas defensivos, usando satélites artificiales para reforzar las redes tanto defensivas como de ataque.

Las fragatas también se dotarán de avanzados sistemas de defensa cibernética puesto que son navíos poderosos que suelen ser objetivos de fuerzas navales hostiles en caso de conflicto. Sin embargo, quedan algunos años para que la Armada española cuente con una cobertura total en ciberdefensa como ya la tienen otras potencias.

Para implementar cuanto antes tanto la defensa en los buques como en todas las instalaciones de tierra, en España se pretende poner en marcha la Ciberreserva, formada por cientos de voluntarios con experiencia y conocimientos informáticos. Su ayuda será decisiva para frenar ciberataques masivos.

Uno de los grandes temores de los militares (y de cualquier Gobierno) es el ataque a una gran infraestructura crítica, lo que Leon Panetta, ex-secretario de Defensa de los Estados Unidos denominó “ciber Pearl Harbor” pero resulta complicado, hoy por hoy.

Las instalaciones de grandes infraestructuras críticas cuentan con múltiples elementos que componen su red de seguridad. Como mucho puede provocarse un apagón de varias horas o cortar el suministro de agua corriente a una zona determinada pero enseguida consigue reponerse sin que afecte a una zona más amplia ya que estas redes poseen “cortafuegos”.

Ahora bien, tal vez estos ataques no provoquen un daño global pero en cuanto a la zona afectada pudiera llegar a ser irreparable, por ejemplo, teniendo como objetivo un Hospital, una instalación local de telecomunicaciones o el sistema de control ferroviario.

El secretario general de la ONU, Antonio Guterres, considera que la ciberguerra es una realidad. Sin embargo, duda que la Convención de Ginebra o el Derecho Internacional pueden aplicarse en casos de ciberataque. Lo dijo en el discurso que dio en la Universidad de Lisboa cuando le nombraron doctor honoris causa, en 2018.

En 2025, Guterres avisó de que la ONU tenía cada año menos fondos para hacer frente a los retos a los que se enfrenta la humanidad, viéndose obligados a reducir en un 25% el gasto en misiones de paz. Se debe a que los Estados Unidos dieron la mitad de lo que solían dar cada año porque Donald Trump no cree en la Organización de las Naciones Unidas.

Se impone un cambio de paradigmas, como dice el secretario general. Desde ya deben tenerse en cuenta otros escenarios como el de la ciberguerra que requieren de personal habilitado pero en menor cantidad que las misiones humanitarias. Y, sin embargo, el daño puede ser más grave.

El otro campo de batalla en Internet es el de las noticias falsas que se divulgan y expanden para desacreditar al oponente. Se trata de la tradicional desinformación solo que últimamente, con las herramientas que la inteligencia artificial pone al alcance del ciberespionaje, se ha sofisticado notablemente.

Un cracker o grupo cibercriminal puede conseguir que una noticia falsa o fake news parezcan tan reales que las crean millones de personas, provocando con ello movilizaciones y desestabilización.

El modus operandi es el mismo desde hace años: anonimato en las redes sociales porque gracias a numerosas cuentas falsas se pueden difundir fácilmente las noticias maliciosas.

Ir al Índice

Conclusiones

No es lo mismo un hacker que un cracker. Los primeros son expertos informáticos y los segundos también pero emplean sus conocimientos para llevar a cabo acciones criminales.

En España y el resto del Mundo se producen cientos de miles de ciberataques (decenas de millones a escala global). Son constantes pero no nos damos cuenta los ciudadanos de a pie puesto que lo hacen de tal modo que no te percatas de que tu pc está siendo hackeado para incorporarlo a una red zombi.

Las redes zombis están formadas por numerosos ordenadores cuya capacidad conjunta es usada para minar criptomonedas de modo ilícito y, desde hace pocos meses, para el desarrollo de la inteligencia artificial.

Lo lícito es que alquiles tu hardware para que sea usado en el criptominado o para la IA recibiendo un dinero por ceder el control de tu pc mientras no lo usas (por ejemplo, por la noche). Lo que hacen los piratas informáticos es lo mismo pero sin tu permiso.

Los crackers se introducen aprovechando vulnerabilidades de tus dispositivos conectados a Internet para hackear tu red doméstica.