Miguel Ángel Valero
El cierre de 2025 ha traído consigo dos denuncias de ciberataques a estructuras estatales. Francia ha alertado de un acceso ilegal a los sistemas del Ministerio del Interior. Reino Unido se ha visto afectado en la gestión de visados. Según medios británicos, el autor es un grupo chino.
La conclusión de los expertos es que la ciberseguridad vista desde las áreas de Defensa será clave en 2026. Sin ir más lejos, los ciberataques procedentes de China han aumentado un 150% en el último año, superando en sectores clave a los ataques rusos.
Pandora FMS, con base en datos de CrowdStrike e INCIBE, alerta sobre el auge del ciberespionaje chino en un contexto geopolítico cada vez más inestable. España, de hecho, ha visto cómo los ataques a sus servicios esenciales han aumentado un 43% en el último año. Sin embargo, cuando todos los ojos miran a Rusia, las cifras reflejan a otro gran peligro: el ciberespionaje de China. Un panorama que pone en duda la fiabilidad de los sistemas IT y de vigilancia que se contratan al gigante asiático.
Además del aumento del 150%, en sectores trascendentales como finanzas, medios de comunicación o industria se han alcanzado repuntes del 200% e incluso del 300%. Según los datos de Pandora FMS y CrowdStrike, cuyo sistema utilizan las principales compañías y administraciones de todo el mundo (como se pudo comprobar durante la caída de los aeropuertos y estaciones del verano de 2024), los objetivos del ciberespionaje de China son más audaces, más sigilosos y, por lo tanto, más peligrosos.“Los análisis confirman el peligro que hay, porque siguen operando en diferentes sectores y países”, detalla Sancho Lerena, CEO de la tecnológica española Pandora FMS.
“La nube es uno de los principales objetivos. La cantidad de datos que se almacenan en el cloud es infinita y la mayoría de entidades, sobre todo en España, no cuentan con los sistemas adecuados”, alerta el profesional en gestión IT y seguridad. "Estamos viendo un patrón claro de infiltración prolongada en entornos cloud mal configurados, sobre todo en pymes y administración pública”, apunta Sancho Lerena. “El error no está solo en la falta de inversión, sino en delegar sin control en proveedores externos", subraya.
De hecho, el informe de CrowdStrike concluye que los aliados de China se beneficiarán próximamente de las inversiones que se producirán en programas cibernéticos.
El 43% más de ciberataques a operadores esenciales en España
El escenario geopolítico ha disparado los ciberataques a los conocidos como operadores esenciales en España en un 43%, según un análisis de la tecnológica española Pandora FMS en base al historial de informes de INCIBE (Instituto Nacional de Ciberseguridad). El sector financiero y tributario era el que mayor porcentaje de incidentes protagonizaba con casi un 25,5% de ellos, pero en el último año ha reducido ese protagonismo hasta el 23,8%, siendo el segundo sector en 2024. El sector transportes, que el año pasado era el segundo sector esencial más perjudicado, pasa a ser el primero al acumular el 24,6% de las incidencias.
Los ataques al sector TIC también disminuyen pasando del 18,3% a poco más del 14%. Al igual que el sector energía, que en esta ocasión solo representa el 8,8% frente al más del 22% de incidentes que tuvo en 2023. El sector del agua es el único que crece ligeramente, pasando del 4,5% al 5% de las cifras analizadas de INCIBE en 2024.
Según destacan los expertos, estas cifras ayudan a comprobar la relevancia que tiene la ciberseguridad y la implantación de sistemas férreos y actualizados hoy en día. Sin embargo, destacan que más allá de la evolución de las cifras, se está comprobando que estos ciberataques cada vez tienen mayor impacto. “Más allá de que aumenten o decrezcan, es evidente que están cobrando mucha más importancia y están siendo bastante graves”, destaca Lerena.
Además, el responsable de Pandora FMS pone de relieve la necesidad de la independencia IT de toda Europa respecto de las empresas de EEUU. “Los sistemas de Cloud, Big Data e IA nos los suministran compañías norteamericanas. Y en este escenario geopolítico es necesario tener independencia porque los intereses pueden cambiar en cualquier momento”, subraya Lerena. Para el experto, además de la ciberseguridad, es “necesario monitorizar proactivamente infraestructuras críticas para detectar y mitigar ataques DDoS en tiempo real, manteniendo la continuidad del servicio y reduciendo el impacto en usuarios y clientes”.
Campaña de ciberespionaje de Ink Dragon
Check Point Research, la división de Inteligencia de Amenazas del grupo de soluciones de ciberseguridad, ha identificado una campaña de ciberespionaje avanzada atribuida al grupo Ink Dragon y revela cómo este actor convierte servidores comprometidos de organismos gubernamentales en Europa, Sudeste Asiático y Sudamérica en parte de su propia infraestructura de mando y control. La operación se apoya en el uso de módulos personalizados de ShadowPad y en una versión evolucionada del backdoor FinalDraft, diseñada para camuflarse en el uso legítimo de servicios cloud corporativos y mantener acceso persistente de forma silenciosa.
Según Check Point Research, Ink Dragon destaca por reutilizar cada servidor comprometido como nodo de retransmisión, lo que le permite encadenar nuevas víctimas, ocultar el origen real de sus operaciones y mantener comunicaciones encubiertas entre distintos organismos públicos.
“Lo preocupante de Ink Dragon no es solo la calidad de sus herramientas, sino la forma en que reutiliza cada víctima como parte de una red de mando y control distribuida”, explica Rafael López, ingeniero de seguridad especializado en protección de correo electrónico en Check Point Research. “Un único servidor mal configurado puede convertirse en un punto de entrada al dominio, en un puente hacia otras organizaciones yen infraestructura permanente para futuras campañas. Las organizaciones no pueden tratar estas intrusiones como incidentes aislados, deben buscar toda la cadena de retransmisión y desmantelarla por completo”, advierte.
La investigación describe una cadena de ataque muy consistente. Ink Dragon comienza aprovechando errores de configuración en servidores IIS y SharePoint, en especial valores predecibles de machineKey en aplicaciones ASP.NET y la cadena de explotación conocida como ToolShell sobre SharePoint local. Estos errores permiten ejecutar código de forma remota mediante de serialización de ViewState o vulnerabilidades de autenticación.
Una vez dentro del servidor expuesto, el grupo:
Uno de los hallazgos más relevantes es que Ink Dragon convierte los servidores comprometidos en parte de su propia infraestructura de mando y control. Para ello utiliza un módulo de ShadowPad integrado dentro del proceso legítimo de IIS, capaz de registrar rutas ocultas, interceptar peticiones web y reenviar tráfico entre distintos sistemas sin levantar sospechas. El resultado es que cada servidor ciberatacado puede actuar como un puente silencioso entre el operador y otros equipos infectados, incluso en redes de otras instituciones públicas.
Este mecanismo hace que comunicaciones que parecen normales entre organismos, por ejemplo, tráfico rutinario entre ministerios o servicios públicos, puedan transportar en realidad órdenes del ciberdelincuente o datos exfiltrados.
Además, el módulo deja trazas internas con información sobre el origen y destino de los paquetes, que han permitido a Check Point Research reconstruir parte de esta red de retransmisión entre víctimas.
Tras el acceso inicial, Ink Dragon despliega un conjunto de componentes diseñados para mantener presencia prolongada y discreta. Entre ellos se encuentran loaders que se ejecutan bajo binarios firmados por fabricantes legítimos, técnicas de volcado de credenciales para obtener contraseñas y hashes, y el aprovechamiento de sesiones RDP inactivas de administradores para moverse lateralmente sin generar alertas. Sobre los sistemas más sensibles, el grupo instala una versión evolucionada del backdoor FinalDraft, capaz de camuflar su comunicación dentro de la actividad habitual de Microsoft 365. Para ello utiliza la API de Microsoft Graph y esconde comandos y resultados dentro de borradores de correo cifrados. Esta variante también incorpora funciones de exfiltración de alto rendimiento, recopilación de historiales de acceso RDP y ajustes que debilitan ciertos controles de seguridad de Windows para facilitar la expansión del ataque.
La investigación también reveló que otro actor avanzado, RudePanda, había accedido a algunas de las mismas redes gubernamentales. No existe relación conocida entre ambos grupos, pero el solapamiento demuestra que una única vulnerabilidad expuesta puede convertirse en puerta de entrada para varias operaciones de espionaje simultáneas.
Los objetivos identificados incluyen ministerios, organismos públicos y proveedores de servicios críticos en Europa, el Sudeste Asiático y África, lo que amplifica el riesgo de que un compromiso aislado se convierta en un eslabón dentro de una cadena de ataques más amplia.
Recomendaciones para las organizaciones
Check Point Research recomienda a organizaciones públicas y privadas adoptar medidas inmediatas para reducir su exposición frente a Ink Dragon y actores con tácticas similares:
Captación de empleados para facilitar los ataques a las empresas
Pero hay más. Check PointCheck avisa de un crecimiento sostenido de las campañas de captación de insiders por parte de ciberdelincuentes, que buscan colaboradores dentro de empresas de banca, telecomunicaciones y tecnología para facilitar accesos, robar información sensible o desactivar controles de seguridad.
El análisis de Check Point Research revela que, cada vez con mayor frecuencia, los ciberdelincuentes recurren a empleados internos como vía directa para comprometer organizaciones, reduciendo la necesidad de explotar vulnerabilidades técnicas o lanzar ataques complejos de ingeniería social. A través de foros de la darknet, tanto actores criminales como empleados descontentos o motivados económicamente publican anuncios para vender accesos, credenciales o información privilegiada.
La mayoría de los anuncios detectados son breves y directos, aunque algunos recurren a mensajes emocionales y manipuladores, apelando al cansancio laboral o prometiendo independencia financiera. En algunos casos, se han observado ofertas que animan a “escapar del ciclo interminable de trabajo” a cambio de colaborar con grupos criminales, con recompensas que oscilan entre varios miles y decenas de miles$. Según los datos recopilados, los pagos más habituales se sitúan entre los 3.000 y los 15.000$ por accesos puntuales o conjuntos concretos de información, aunque existen ofertas superiores cuando se trata de bases de datos completas o accesos privilegiados de alto valor.
Una parte significativa de la actividad relacionada con la captación de insiders se dirige al sector financiero y a las empresas de criptomonedas, donde Check Point Research ha identificado anuncios que buscan empleados de plataformas como Coinbase, Binance, Kraken o Gemini, así como de grandes consultoras y proveedores de servicios tecnológicos.
En algunos casos, los ciberdelincuentes ofrecen bases de datos robadas con millones de registros de usuarios, que posteriormente se utilizan para ataques altamente dirigidos, fraudes financieros o campañas de phishing de gran precisión.
Los bancos continúan siendo uno de los objetivos más valiosos. Entre los anuncios analizados figuran solicitudes de acceso a sistemas bancarios centrales, historiales completos de transacciones o incluso colaboraciones a largo plazo con pagos periódicos, lo que refleja un enfoque cada vez más profesionalizado y estructurado por parte de estas redes criminales.
Las empresas tecnológicas también concentran un elevado interés debido al volumen de datos sensibles que gestionan y a su papel como proveedores clave dentro de la cadena de suministro digital.
Check PointResearch ha observado intentos de captación de insiders en grandes fabricantes de dispositivos, plataformas digitales y proveedores cloud, con ofertas que alcanzan los 10.000$.
En el sector de las telecomunicaciones, las campañas de SIM swapping siguen siendo uno de los principales vectores de ataque, con especial interés en empleados capaces de reasignar números de teléfono o interceptar mensajes SMS para eludir sistemas de autenticación. En estos casos, las recompensas ofrecidas pueden llegar hasta los 15.000$.
En logística y transporte, los ciberdelincuentes buscan insiders que puedan facilitar la manipulación de envíos, controles aduaneros o el redireccionamiento de mercancías, con pagos que oscilan entre los 500 y los 5.000$, ampliando así el alcance de esta amenaza más allá de los sectores tradicionalmente más ciberatacados.
“La amenaza interna se está consolidando como uno de los desafíos más complejos de la ciberseguridad actual. Cuando un empleado colabora de forma activa con un ciberdelincuente, la detección y prevención del incidente se vuelve mucho más difícil, ya que los accesos y acciones pueden parecer legítimos desde el punto de vista de los sistemas de seguridad”, explica Rafa López, ingeniero de seguridad especializado en protección de correo electrónico en Check Point Software.
“El uso generalizado de criptomonedas como método de pago anónimo está acelerando esta tendencia, incrementando los riesgos no solo financieros, sinot ambién reputacionales, operativos y regulatorios para las organizaciones afectadas”.
Recomendaciones para mitigar la amenaza interna
Desde Check Point Research subrayan que la protección frente a amenazas internas requiere una combinación de tecnología avanzada y medidas centradas en las personas. Entre las principales recomendaciones destacan:
Ataques a los sistemas de inteligencia artificial
Un análisis de Lakera, partner tecnológico de Check Point Software, pone de relieve un cambio significativo en la forma en que los ciberdelincuentes atacan los sistemas de inteligencia artificial (IA) a medida que éstos incorporan capacidades más avanzadas, como el uso de herramientas, la lectura de documentos o la interacción con fuentes externas.
El estudio, basado en un mes de monitorización de tráfico real protegido por Lakera Guard durante el 4º trimestre de 2025, confirma que los agentes de IA se han convertido en un nuevo objetivo prioritario y que los ciberdelincuentes están adaptando rápidamente sus técnicas para explotar estas funcionalidades emergentes. El objetivo más habitual de los atacantes fue la extracción del prompt del sistema, que representó aproximadamente el 60% de los intentos detectados. Este tipo de información interna permite comprender cómo funciona el modelo, cuáles son sus límites y qué herramientas o flujos utiliza, facilitando ciberataques posteriores más sofisticados.
Junto a la extracción de instrucciones internas, cerca del 20% de los ciberataques analizados buscaban eludir los mecanismos de seguridad de contenido, mientras que un 12% correspondía a intentos exploratorios sin un objetivo inmediato claro, utilizados como fase de reconocimiento. Además, se observaron intentos dirigidos a la filtración de datos confidenciales y a la inyección de código malicioso, especialmente en entornos donde los agentes de IA ya interactúan con información real o sistemas conectados.
Uno de los aspectos más relevantes del análisis es la creciente eficacia de los ciberataques indirectos. A diferencia de las inyecciones directas de instrucciones, los ciberdelincuentes están ocultando órdenes maliciosas dentro de documentos, páginas web o contenidos externos que los agentes procesan como parte de su funcionamiento normal. Este tipo de ciberataques requiere menos intentos para tener éxito y resulta más difícil de detectar, ya que el contenido externo suele tratarse como contexto legítimo y no como una entrada potencialmente perjudicial.
Las técnicas más utilizadas para lograr estos objetivos incluyen escenarios hipotéticos, ocultación de instrucciones camufladas dentro del contenido, juegos de rol y marcos de autoridad falsos, en los que el modelo es inducido a actuar como si estuviera realizando una prueba interna, una simulación educativa o una evaluación de seguridad. En muchos casos, pequeños cambios en el lenguaje, el contexto o el idioma son suficientes para provocar desviaciones en el comportamiento del sistema.
El informe también pone de manifiesto la aparición de ciberataques específicamente diseñados para entornos agentivos, como intentos de acceso a repositorios internos de documentos, instrucciones ocultasen contenidos externos o fragmentos de texto con apariencia de scripts que pueden propagarse a lo largo deflujos automatizados. Estas técnicas reflejan un cambio de enfoque por parte de los ciberdelincuentes, que ya no se limitan a forzar respuestas de texto, sino que buscan influir en todo el proceso de razonamiento y ejecución del agente.
“Estamos entrando en una etapa en la que la seguridad de la IA ya no puede centrarse únicamente en el contenido que genera el modelo”, explica David Haber, CEO de Lakera. “Cuando un sistema empieza a leer documentos, consultar fuentes externas o ejecutar acciones, cada uno de esos pasos se convierte en una posible superficie de ataque. Los datos observados por Lakera muestran que los ciberdelincuentes lo han entendido perfectamente y están actuando en consecuencia”.
De cara a 2026, Check Point Software subraya que la protección de los sistemas de IA deberá extenderse a todo el ciclo de funcionamiento del agente, incluyendo las fuentes externas, las herramientas conectadas y la forma en que se interpretan y combinan los distintos contextos. La seguridad deberá ser preventiva y estar integrada desde el diseño, con controles específicos frente a inyecciones indirectas, filtración de información sensible y uso indebido de capacidades automatizadas.
El análisis refuerza la necesidad de adoptar enfoques de seguridad alineados con los principales marcos internacionales, como el OWASP Top 10 para aplicaciones basadas en modelos de lenguaje, y de tratar los sistemas de IA agentiva como componentes críticos dentro de la arquitectura digital de las organizaciones.
Suplantación de Loterías y Apuestas del Estado
Por otro lado, Loterías y Apuestas del Estado ha emitido un aviso alertando de un aumento de estafas que utilizan suplantación de identidad durante la campaña de Navidad. En las últimas semanas, grupos de ciberdelincuentes están distribuyendo correos electrónicos, SMS y páginas web fraudulentas que imitan de forma muy precisa la imagen de la entidad con el objetivo de robar datos personales, credenciales o realizar cobros no autorizados.
Desde Check Point advierten de que este tipo de campañas se intensifican en periodos de alta demanda como la venta de Lotería de Navidad. La combinación de urgencia, expectativas de premio y aumento de operaciones online facilita el trabajo de los atacantes, que ahora emplean también IA para generar mensajes mucho más convincentes.
Los fraudes detectados siguen patrones similares a los observados en ataques recientes: