Las Claves #Pandora FMS

Los ciberataques han comenzado formando parte del 2026 en España. Una tendencia que irá a más tanto por la digitalización de las compañías como por la tensión geopolítica y la falta de una estrategia eficiente de seguridad en todo el país. Uno de los ataques que más opciones tiene de triunfar es el conocido como ‘credential stuffing’, que aprovecha la falta de educación digital de España para acceder a las cuentas de los usuarios. 

Este tipo de ataque es el que ha detectado PcComponentes, uno de los mayores ‘eCommerce’ de toda España. Se basa en el uso de filtraciones antiguas de información comprometida. Por ejemplo, correos y contraseñas que se hayan filtrado en una determinada brecha de seguridad son utilizados para, a través de miles de bots automatizados, intentar acceder a otras cuentas. 

“Es muy habitual que los españoles repitan sus contraseñas en diferentes plataformas. Y eso reduce al máximo nuestra ciberseguridad. Si una plataforma tiene una brecha de seguridad y usas la misma información para otras, van a poder acceder en apenas unos segundos”, explica Sancho Lerena, CEO de la tecnológica española Pandora FMS y experto en seguridad y gestión IT.

Según los datos analizados por la compañía en base a informes de INCIBE, en España han aumentado un 51% los ataques de phishing en el último año superando los 21.000. Además, como indican diferentes estadísticas, en España hay entre un 20% y un 30% que utiliza la misma contraseña en diferentes plataformas. Se eleva hasta más de un 60% si nos referimos a contraseñas prácticamente idénticas, pero con pequeñas variaciones. “Son contraseñas muy fáciles de robar por los ciberdelincuentes. Si no se siguen los consejos, en apenas un segundo te la roban”, detalla el experto. 

A estos datos se suman otros igual de preocupantes. Un informe de Kaspersky reflejó que más de la mitad de las contraseñas comprometidas en 2025 ya se habían detectado en filtraciones anteriores. “La Dark Web tiene un gran fondo de información. Puede que determinadas filtraciones no se detecten o no se anuncien, pero eso queda ahí y cualquiera puede ‘comprarlas’ cuando quieran para poder desarrollar un ataque más grave”, indica el especialista. Acceder a estas cuentas, a su vez, suele ir acompañado de obtener más información, creando así un círculo de robos que ponen en situación muy vulnerable al usuario.

“Las empresas deben actuar porque el usuario no lo va a hacer. Es fundamental monitorizar los accesos para detectar que miles de bots están intentando entrar en una cuenta. También establecer dobles verificaciones para entrar en una cuenta… Hay muchas formas de hacerlo, pero sobre todo es fundamental tener un seguimiento de todo el funcionamiento de la estructura para poder alertar de comportamientos poco usuales”, subraya Lerena.

Más de 8 millones de usuarios de todo el mundo se han visto afectados por un ciberataque poco usual que ha afectado a los principales navegadores: Chrome, Edge, y Mozilla. El autor ha sido el grupo DarkSpectre, y según la firma Koi.ai, ha sido una campaña de malware muy compleja que se ha extendido durante 7 años y que utilizaba extensiones en los navegadores para infectar los dispositivos.

El ciberataque se ha detectado tras el análisis de Koi Security de una infraestructura llamada ShadyPanda. Posteriormente, se pudo comprobar cómo el grupo lanzaba diferentes extensiones infectadas para obtener datos tanto de usuarios individuales como de usuarios empresariales. Y, además, con gran atención a plataformas de conferencias donde se suelen producir las reuniones corporativas de las compañías. 

La gravedad de este malware oculto no solo refleja la debilidad de la estructura de ciberseguridad, sino también la falta de independencia europea en lo que respecta a plataformas de uso masivo, en su mayoría de raíz extranjera. “En Europa no tenemos ningún navegador popular entre los usuarios. Y, cuando suceden cosas como éstas, dependemos de la seguridad y de las alertas de plataformas extranjeras”, explica Sancho Lerena, CEO de la tecnológica española Pandora FMS y experto en seguridad y gestión IT. 

“El problema no es una extensión maliciosa concreta, sino la concentración de demasiadas capas críticas en una sola plataforma. Venimos advirtiendo desde hace tiempo. Los usuarios europeos solo utilizan plataformas extranjeras porque no le damos ninguna alternativa. Y algo parecido pasa con las empresas, que todas se apoyan en sistemas norteamericanos dependiendo absolutamente de su buen funcionamiento y servicio”, detalla este especialista. 

“Cuando pasan cosas como éstas, se ve la importancia de que haya alternativas. Todos los usuarios utilizan la misma plataforma y, cuando se cae, no hay ninguna otra posibilidad. Es una dependencia absoluta”, insiste.

Según comenta Lerena, sigue sin haber una estrategia clara en Europa para promover la conocida como soberanía IT. Una estrategia que debería dar prioridad a empresas europeas frente a norteamericanas, así como apoyar el desarrollo de proyectos IT que sitúen a Europa como una referencia. “Es clave porque, al ser empresas extranjeras, hay una mayor dificultad para auditar y controlar capas como navegadores, extensiones, ecosistemas…”, explica.

“Esta dependencia no es coyuntural ni fruto de un incidente aislado; es estructural. Europa consume plataformas digitales que no controla ni puede auditar de extremo a extremo”, subraya Sancho Lerena. Este último ciberataque no tendrá consecuencias en cuanto a uso de los navegadores. Pero sí que refleja la falta de alternativas y la debilidad que supone depender de un único suministrador y, además, extranjero.

Acceso a datos de 16 millones de clientes de PcComponentes

Además, u posible ciberataque habría afectado a la empresa de eCommerce tecnológico más importante de España: PcComponentes. Según portales especializados en brechas de seguridad como HackManac, el alias ‘daghetiaw’ ha filtrado que cuenta con datos de más de 16 millones de clientes. Entre ellos se encontrarían los DNI, pedidos, facturas, contactos y metadatos de tarjetas de crédito. La compañía no se ha pronunciado oficialmente por el momento, pero en caso de que el ciberataque hubiera resultado efectivo, sería uno de los mayores golpes al sector del eCommerce en España por la relevancia de la empresa.

Según expertos en ciberseguridad, “lo crítico no es solo cuantos datos se han filtrado, sino su naturaleza”. Sancho Lerena alerta que “la información supuestamente filtrada permitiría construir una identidad falsa con total apariencia legítima”. “Cuando se filtran facturas, tickets de soporte y datos personales a la vez, ya no hablamos de un ataque, hablamos de una pérdida total de soberanía digital”, advierte.

Esto supone una pérdida total del control de la huella digital, abriendo la posibilidad de suplantación de identidad y de un alto riesgo de fraude por suplantación de productor y de contratación de servicios sin consentimiento.

Este posible ciberataque se sumaría al recientemente sufrido y confirmado por Endesa, lo que refleja la variedad de sectores afectados y la importancia que tiene para los ciberdelincuentes la información personal de la población. 

“España no puede permitirse que su mayor eCommerce tecnológico gestione datos sensibles sin blindajes adecuados”, remarca Lerena. Para este experto, “no es un error puntual, sino un síntoma de cómo se diseña y se opera en España”. Lerena remarca que la experiencia y los últimos incidentes de estas características en las compañías españolas -y muchas también europeas- muestran que se trabaja “sin visión de largo plazo, sin planes de contingencia y sin supervisión real”. Entre los principales riesgos que detecta el experto en caso de que el ciberataque anunciado por el agresor fuera real, están la suplantación de identidad y fraude financiero, la explosión de ataques de phishing dirigidos con información verificada, y la pérdida de confianza masiva en la seguridad digital del retail español.

Endesa Energía ha reconocido "un acceso no autorizado e ilegítimo" a su plataforma comercial a principios de año que ha resultado en la extracción de datos de los clientes relacionados con sus contratos de luz y de gas, incluidos el documento de identidad y los medios de pago. 

El grupo de ciberdelincuentes, que ha superado las medidas de seguridad implementadas por la empresa en su plataforma comercial, “habría tenido acceso y podría haber exfiltrado” datos de contacto, documentos de identidad y el IBAN de la cuenta bancaria. Endesa Energía asegura que no se han visto afectadas las contraseñas de acceso.

Aunque por el momento no ha detectado un uso indebido de los datos robados, la empresa avisa que los ciberdelincuentes pueden intentar usurpar o suplantar la identidad de los clientes, publicar los datos en foros digitales en la dark web o utilizarlos para enviar correos o mensajes fraudulentos dentro de campañas de phishing y de spam.

De momento, el grupo que presume ser el autor del ciberataque desvela detalles sobre éste en un foro de la dark web el domingo 4 de enero, como que se ha hecho con más de 1 TB de información que afecta a más de 20 millones de personas: "Hay datos personales, como nombres y apellidos, datos de contacto, dirección postal, y relación cuenta-persona; datos financieros, como IBAN, datos de facturación e historial de cuentas y cambios; datos energéticos, como el identificador único de punto de suministro o CUPS, contratos activos de luz y gas, datos del punto de suministro y datos regulatorios, como Listas Robinson, cuentas exentas e historial de incidencias”.

La empresa considera “improbable” que este robo “se materialice en una afectación de alto riesgo para sus derechos y libertades”, aunque recomienda a los clientes que estén atentos a “posibles comunicaciones sospechosas que pudiera recibir en los próximos días” y les insta a comunicar cualquier acción sospechosa en el número de teléfono: 800 760 366.

Nada más conocer el incidente, Endesa Energía también ha activado los protocolos y procedimientos de seguridad establecidos para estos casos, así como “todas las medidas técnicas y organizativas necesarias para contenerlo, mitigar sus efectos y prevenir que se repita en el futuro”.

Falta inversión en ciberseguridad y en personal cualificado

Para la firma tecnológica española Pandora FMS, el ciberataque a Endesa refleja el valor que tienen las empresas energéticas y reafirma la importancia de la ciberseguridad, ya que las incursiones en sectores esenciales aumentaron un 43% en 2025. El sector energético, que es fundamental tanto por la cantidad de datos que almacena como para el correcto funcionamiento del país, sufrió casi el 9% de estas incidencias. “Ya no importa tanto la cantidad de incidentes, sino la gravedad y efectividad de estos”, explica Sancho Lerena, experto en gestión IT y seguridad y CEO de Pandora FMS. “Esto no es un caso aislado, es el síntoma de un patrón: demasiadas compañías siguen sin segmentar entornos, sin revisar accesos y sin saber quién tiene la llave de qué. La sorpresa no es que pase, sino que no pase más a menudo”, resalta.

“Este tipo de ciberataques reflejan que se necesitan estructuras de seguridad y gestión más férreas. Monitorizar el funcionamiento interno es fundamental para analizar la evolución de logs, comportamientos anómalos y situaciones que muestren el intento de acceso no autorizado”, destaca este experto. “Este tipo de ciberataques tienen diferentes objetivos. Robar datos para revenderlos es uno muy habitual en pleno auge del mercado negro. Pero también se busca robar para conseguir un rescate a cambio, o simplemente paralizar un sistema y generar caos y desconfianza. Este último punto es clave, sobre todo ahora donde la ciberseguridad y la geopolítica están tan unidos”, indica Lerena.

En España es muy habitual que la protección de las empresas se produzca externamente con un equipo al que no se conoce. “Nuestra posición es que hay sistemas y formaciones para que se tenga un equipo propio que se dedique a ello, sin tener que externalizar toda la protección para una respuesta más rápida y un conocimiento más detallado”, advierte.

La conclusión es que los operadores estratégicos “están más amenazados que nunca”. La monitorización de los sistemas e infraestructuras IT de las compañías es más importante todavía. Y la inversión en este tipo de áreas también porque además de la ciberseguridad de cara al usuario también cobra relevancia la propia protección de la información interna. Monitorizar proactivamente infraestructuras críticas es clave para detectar y mitigar ataques DDoS (denegación de servicio) en tiempo real, manteniendo la continuidad del servicio y reduciendo el impacto en los usuarios. 

“En España existen soluciones lo suficientemente potentes como para reducir este tipo de agresiones. Falta invertir en sistemas que generen estabilidad en las infraestructuras y en personal cualificado. Monitorizar los sistemas y tener una visión general de toda la infraestructura IT es fundamental. La tecnología permite ver si hay algún comportamiento inusual y así dar la oportunidad de anticiparse a un contagio masivo”, detalla Sancho Lerena. 

Además, la incorporación reciente de nuevas tecnologías como la inteligencia artificial mejoran aún más estos sistemas de control frente a ciberataques. “El ciberataque no sucede solo por un fallo de ciberseguridad, también por errores en la configuración o por propios huecos que deja la compañía en su infraestructura”, insiste Lerena. Los ciberataques sufridos por las grandes empresas españolas confirman lo que viene alertando: que deben aumentar su inversión y preparación para estas situaciones. La gestión de datos irá a más y la tensión geopolítica aumentará el riesgo de recibir este tipo de agresiones.

Por su parte, en la firma de ciberseguridad ESET avisan que “el riesgo no termina con la notificación de la brecha”. “La información expuesta puede ser reutilizada durante meses o incluso años, para lanzar fraudes, suplantaciones de identidad o ataques dirigidos que aprovechan la confianza de los clientes en la empresa afectada”.

El director de Investigación y Concienciación de ESET España, Josep Albors, señala que es clave que las posibles víctimas puedan “mantener la calma y actuar con criterio”, y adoptar una actitud proactiva para reducir al máximo el impacto, si es que finalmente se produce. Esto se traduce  mantenerse alerta ante comunicaciones sospechosas, desconfiar de los mensajes que digan proceder de la empresa afectada y que incluyan enlaces, archivos adjuntos o solicitudes urgentes. Ante la duda, contactar directamente con la compañía por sus canales oficiales. 

También hay que comprobar con frecuencia los perfiles online y las cuentas bancarias que aparecen en los contratos, para detectar movimientos, mensajes o acciones que no hayan realizado los usuarios. Servicios gratuitos como Have I Been Pwned permiten comprobar si un correo electrónico u otros datos han aparecido en brechas conocidas y ayudan a anticiparse a posibles ataques.

Aunque Endesa asegura que las contraseñas de los usuarios no se han visto afectadas, los expertos de ESET recomiendan cambiarlas igualmente, especialmente si llevan tiempo sin actualizarse. Y reforzarlas con un sistema multifactor, que evita que los ciberdelincuentes accedan a la cuenta incluso si han conseguido la contraseña.

Miguel Ángel Valero

La revolución de la inteligencia artificial avanza a una velocidad que pocos anticiparon y con una intensidad de inversión que recuerda a las grandes épocas de exceso financiero. Paul Kedrosky, uno de los analistas más respetados en ciclos tecnológicos, sostiene que esta fase no es simplemente una burbuja tecnológica más, sino la suma de todas las burbujas anteriores concentradas en un solo fenómeno. Su tesis merece atención porque no cuestiona el potencial de la IA, sino la dinámica que se ha creado alrededor de ella.

En EEUU, la construcción de centros de datos se ha convertido en un motor económico tan potente que, según sus cálculos, llegó a representar más del 50% del crecimiento del PIB en la primera mitad del año. Este nivel de inversión es extraordinario. Nunca antes una sola categoría de gasto privado había impulsado tanto la actividad económica en tan poco tiempo. Y no hablamos solo de edificios; hablamos de energía, redes, refrigeración industrial, chips y una cadena de proveedores que se ha metido de lleno en la carrera.

El problema no es la inversión en sí, sino la naturaleza de lo que se está construyendo. El hardware clave, especialmente los chips de entrenamiento, tiene una vida útil sorprendentemente corta. Un GPU sometido a uso intensivo puede agotarse en torno a los 18 meses. La obsolescencia tecnológica hace que equipos de dos o tres años queden desplazados por nuevas generaciones más potentes. Y, aun así, gran parte de esta infraestructura se está financiando con esquemas típicos del sector inmobiliario, con préstamos a plazos de veinte o treinta años. El desajuste entre la duración real del activo y la duración de la deuda es enorme. En una burbuja inmobiliaria esto ya sería un riesgo grave; en una burbuja tecnológica con depreciación acelerada, lo es aún más.

A esto se suma un punto que rara vez se discute: el modelo económico de los grandes modelos de lenguaje. Lejos de comportarse como un software tradicional, donde cada usuario adicional reduce el coste medio, aquí sucede lo contrario. Los costes marginales no tienden a cero. La computación necesaria para entrenar, actualizar y servir modelos es elevada y crece con el tamaño de la demanda. No existe todavía una economía de escala que alivie la presión financiera. En algunos casos, los ingresos aumentan, pero los costes aumentan igual o más rápido. 

Otra capa de riesgo aparece en la estructura de la financiación. La infraestructura de IA se está financiando no solo con deuda bancaria tradicional, sino con mecanismos mucho más complejos: vehículos fuera de balance, deuda privada empaquetada, contratos de arrendamiento combinados con promesas de uso futuro. Es un ecosistema que recuerda a las titulizaciones previas a 2008: ingresos futuros muy optimistas y un exceso de confianza en que la demanda no solo se mantendrá, sino que crecerá indefinidamente.

Aun así, la inversión continúa porque la narrativa lo impulsa todo. La idea de que la IA es una carrera geopolítica que EEUU no puede perder crea un respaldo implícito. Los inversores creen que, si algo va mal, habrá apoyo público, incentivos, subsidios o rescates, igual que ocurrió en el sector financiero o en el sector automovilístico en momentos críticos. Esta expectativa reduce la percepción de riesgo y alimenta aún más el ciclo. Pero la brecha cada vez mayor entre el gasto necesario para construir centros de datos de IA y el dinero que realmente generan los productos que funcionan gracias a ellos crea un riesgo importante. 

Según el Center for Public Enterprise, "si se produce una parada repentina en la financiación de nuevos centros de datos, las empresas en situación de financiación Ponzi (con déficits de caja) se verán obligadas a intentar cubrir su posición vendiendo activos", provocando ventas forzadas a precios de derribo, lo que ‘probablemente conduciría a un colapso del valor de esos activos.

Nada de esto significa que la IA no vaya a transformar el mundo. Ya lo está haciendo. Pero como en todas las grandes revoluciones tecnológicas, el exceso suele preceder al impacto real. Es posible que hoy estemos adelantando inversión futura en cantidades imposibles de sostener. Y si llega una corrección, no afectará solo a las tecnológicas. Alcanzará al sector inmobiliario industrial, a los fondos de crédito privado, a la deuda corporativa de alto riesgo y a cualquier vehículo que dependa de que esta expansión continúe sin freno.

La pregunta no es si la IA representa o no una revolución tecnológica de las más importantes desde hace siglos, sino si el ritmo actual es sostenible.

El auge de la inteligencia artificial tiene fundamentos reales, pero el volumen, la velocidad y la estructura de la inversión están dibujando un patrón inquietantemente familiar. La combinación de infraestructuras que caducan rápido, deuda a largo plazo, expectativas elevadas y una narrativa casi mesiánica es lo que lleva a Kedrosky a afirmar que estamos frente a una “meta-burbuja”, la suma de todas las anteriores. 

"Si la historia sirve de guía, el riesgo no está en la tecnología, sino en las expectativas humanas. Y ese suele ser siempre el punto más frágil de cualquier ciclo económico", subraya el analista Pablo Gil en The Trader.

El problema de la ciberseguridad

Además, el desarrollo de la IA plantea el problema de la ciberseguridad. Joaquín Sastre, managing director en España y Head of Institutional Business en Boerse Stuttgart Digital, aporta una reflexión: "En el Día de la Ciberseguridad este domingo 30 de noviembre, cobra más relevancia que nunca que la solidez de la infraestructura es el pilar fundamental de la confianza en el ecosistema financiero, especialmente en un entorno donde los activos digitales avanzan hacia una adopción institucional plena. En el mercado español, cuyo interés crece de forma sostenida, la cuestión ya no es solo qué activos digitales incorporar, sino cómo hacerlo dentro de un marco seguro, transparente y regulado, alineado con las nuevas exigencias europeas".

"Desde Boerse Stuttgart Digital, respaldados por los más de 160 años de experiencia del Grupo Boerse Stuttgart, mantenemos una visión clara: la regulación y la seguridad no son opcionales, son estructurales. Nuestra licencia MiCAR para la custodia de criptoactivos, la certificación ISO 27001 y las auditorías externas periódicas no son simplemente requisitos normativos, sino la demostración práctica de un compromiso firme con la protección del inversor y la integridad del mercado", añade.

"En un momento en el que Europa avanza hacia estándares más exigentes y los inversores institucionales reclaman garantías reales, estas bases son esenciales para promover una adopción responsable, robusta y sostenible en mercados clave como el español. El Cyber Security Day nos recuerda que, junto a estas infraestructuras reforzadas, la vigilancia activa y la aplicación constante de buenas prácticas son imprescindibles para construir un futuro financiero digital fiable, competitivo y preparado para los retos actuales”, concluye.

Desde la tecnológica española Pandora FMS se recuerda que el Black Friday supone una fecha clave en el comercio mundial. Pero la digitalización de estas ventas ha hecho que la campaña sea una prueba más allá de por sus ofertas y sus transacciones. Este Black Friday es también fundamental para comprobar la capacidad de la infraestructura digital de las grandes marcas. “No se mide quién tiene mejores descuentos, sino quién tiene sistemas que aguantan la presión”, indica Sancho Lerena, CEO. 

“El problema siempre en estas fechas ha sido en la presión técnica, no en el consumo”, alerta. Y la inteligencia artificial, en boca de todos, es “un acelerador, no una solución” porque “aumenta carga y ataque en paralelo. La clave está en la preparación”, incide el especialista, que también pone el foco en la ciberseguridad tras los incidentes sufridos por compañías como Mango o El Corte Inglés en los últimos meses.

“El Black Friday ya se ha extendido a los días previos y posteriores. Son unas fechas de máxima actividad, donde las estructuras IT tanto de entidades bancarias, como del sector del transporte como de las propias marcas de venta no pueden fallar. Una caída de unos segundos puede suponer miles de euros de pérdidas y un notable daño reputacional”, explica Sancho Lerena. “Esto no se trata solo de invertir en IT, sino de tener sistemas actualizados y un entorno seguro que garantice el buen funcionamiento y potencie ventas y beneficios”, subraya Lerena. 

Según datos del Ontsi analizados por Pandora FMS, las nuevas tecnologías ya están a pleno rendimiento en los procesos de ventas de fechas como el Black Friday. El uso de IA, por ejemplo, ha aumentado en más de un 13% en los últimos dos años cuando se usa para generar lenguaje hasta rozar el 37%. Si se habla únicamente del análisis del lenguaje, éste ha aumentado en una cantidad similar hasta el 44,7%. Datos muy relevantes que hablan de la importancia que tienen las tecnologías en procesos como la atención online al cliente o potencial cliente. Siempre, como remarca Lerena, como un acelerador de procesos y no una solución generalizada para estos.

De igual manera, la IA que se utiliza para marketing o ventas, en el último año se ha disparado del 22,8% al 28,7% en el 2024, datos más recientes que se tienen en empresas de 10 o más empleados. Por el contrario, ha bajado en logística del 11,6 al 8,5% y en procesos de producción, pasando del casi 30% al 26,8% en un solo año. 

“La inteligencia artificial ha vivido una gran transformación en el último año. Y hay que verla como una herramienta de aceleración fundamental en momentos como el Black Friday, pero no hay que quedarse ahí. Hay que saber implementarla, ver los procesos donde más puede ayudar según la compañía… En definitiva, hay que estar preparados y saber cómo incorporarla a los procesos”, incide Lerena, quien alerta: “A más tecnología, más necesario es un entorno seguro”. 

El especialista reconoce que la digitalización de procesos de compra tiene que ir ligada a una evolución en ciberseguridad, porque las herramientas que las empresas utilizan también son empleadas por los ciberdelincuentes. “La IA también ayuda a quien quiere elaborar un ciberataque sofisticado. Y la propia IA puede ser un objetivo de ciberataque para que toda una estructura quede invalidada”, subraya Lerena. El sector bancario y el de transporte están reconocidos como sectores esenciales. En España, según datos de INCIBE analizados por Pandora FMS, los ataques a estos sectores junto al agua, las telecomunicaciones y la energía aumentaron en prácticamente un 43% en el último año.

“Los últimos meses hemos visto ciberataques a empresas como Mango. Y también caídas de sistemas como el de AWS, por lo que este Black Friday será un examen para muchas entidades”, subraya. Este Black Friday mide la preparación. Las que conocen su infraestructura resistirán; las que no, caerán.

Miguel Ángel Valero

Iberia ha confirmado haber sufrido un ciberataque por el que se ha extraído información como nombres, apellidos y direcciones de correo electrónico, entre otros datos. Un ciberataque que pone de relieve el interés que tienen los hackers en un sector como el de los transportes. “Es el sector esencial que mayor porcentaje de ciberataques recibe, y eso es porque su funcionamiento es clave en cualquier economía”, indica Sancho Lerena, experto en ciberseguridad y CEO de la tecnológica española Pandora FMS. 

El ciberataque a Iberia se suma a otras muchas complicaciones que ha vivido el sector. Otras aerolíneas como Air Europa también fueron víctimas de estos ataques meses atrás. Hace apenas unas semanas, de hecho, varios aeropuertos internacionales se vieron afectados por otro ciberataque que puso en jaque la movilidad aérea del continente. “Representan más del 24% de los ciberataques a sectores esenciales, no es baladí”, destaca Lerena según datos de INCIBE analizados por Pandora FMS. 

El transporte supera al sector financiero, que le sigue de cerca con el 23,8%. Y ambos superan con creces al sector TIC, al sector energético y al del agua. Todos ellos considerados esenciales por su relevancia en el correcto funcionamiento diario de la sociedad. “Esto es clave, porque los ciberataques tienen muchos objetivos. Uno económico, y otro también de desestabilización para la víctima y su entorno”, subraya el experto. 

Incluso en 2024, en pleno verano, la caída de CrowdStrike por un fallo interno puso en evidencia la dependencia tecnológica del sector y la necesidad tanto de mayor inversión como de una independencia IT que Europa sigue sin tener. Según Lerena, desde todos estos sucesos “la situación apenas ha cambiado. En un entorno mucho más tenso en cuanto a amenazas de ciberseguridad se refiere, seguimos sin avanzar en conceptos tan básicos como la soberanía IT respecto a EEUU Hay que implantar sistemas propios y potenciar la diversidad, no utilizando todos un proveedor que al caerse paraliza por completo la actividad”, explica el CEO.  

“La tecnología y especialmente el software cada vez suponen una mayor complejidad. No se trata de elegir al mejor proveedor, se trata de entender que a más tecnología más probabilidad de fallo”, afirma. A ojos de los expertos, a más complejidad del stock tecnológico, el coste de mantenerlo es mayor y también hay más posibilidades de entrar en una situación de alerta como la actual. “Como fabricantes de software de seguridad nuestra pesadilla es justo lo que le pasó a Crowdstrike: matar al paciente que queremos proteger. No se libra nadie”, incide Lerena. “Quizás por esto mismo no hemos vuelto a la Luna desde los años 60, porque antes la tecnología se usaba con la cabeza y era menos compleja, hoy el exceso pasa factura y la calidad del software no es que sea menor, es que es muchísimo más compleja. Si queremos volver a la luna tenemos que entender esto y mientras, cruzar los dedos para que cuando vayamos al aeropuerto otro parche no nos deje en tierra”, explica. La solución, indican, no es otra que seguir invirtiendo en formación y en sistemas de seguridad informática mediante sistemas de monitorización, que permiten adelantarse a situaciones de estas características y reducir los daños. El transporte opera bajo presión continua. La resiliencia depende de diversificar y reducir las dependencias.

Sophos: el 58% del retail termina pagando rescates por sus datos

El informe El Estado del Ransomware en Retail 2025 de Sophos revela que el 46% de los ataques se originaron en brechas de seguridad desconocidas, mientras que el 58% de las organizaciones con datos cifrados terminaron pagando el rescate. El informe también muestra que la demanda de rescate alcanzó casi una media de 2 millones$ (el doble que el año pasado) y que los atacantes están diversificando técnicas, combinando explotación de vulnerabilidades, extorsión y compromiso de cuentas para maximizar su impacto en el sector.

El comercio minorista continúa siendo un objetivo prioritario para los ciberdelincuentes debido a su alta dependencia tecnológica, la criticidad de sus operaciones y el valor de los datos que gestionan. La complejidad de sus ecosistemas que abarcan pagos, inventarios y plataformas online amplía la superficie de ataque y facilita la explotación de cualquier brecha operativa o técnica.

En este contexto, la explotación de vulnerabilidades volvió a ser la causa técnica más frecuente, presente en el 30% de los ataques, seguida del uso de credenciales comprometidas y del phishing. A nivel organizativo, casi la mitad de los incidentes (el 46%) se originaron en brechas desconocidas, mientras que la falta de experiencia especializada y las carencias de protección afectaron a más del 40% de los casos, mostrando una exposición multifactorial.

Las demandas de rescate en el sector retail se duplicaron en un año y alcanzaron los 2 millones de dólares de media, mientras que el pago promedio solo aumentó un 5% y se situó en 1 millón. Aun así, el 58% de las organizaciones que sufrieron cifrado terminaron pagando para recuperar sus datos, aunque sólo un 29% abonaron la cifra inicial exigida y la mayoría lograron reducirla, lo que sugiere una mayor resistencia y un uso más frecuente de asesoramiento experto.

El coste medio de recuperación (excluyendo rescates) cayó un 40% hasta 1,65 millones$, su nivel más bajo en tres años, gracias a una mejor detección temprana y a la adopción de servicios especializados. Además, los tiempos de restablecimiento también mejoraron: el 51% de los retailers se recuperaron en una semana y el 96% lo hicieron en menos de tres meses, mientras que el 98% de las empresas afectadas por cifrado consiguieron restaurar sus datos pese al descenso en el uso de copias de seguridad.

Los ataques de ransomware tuvieron un efecto directo sobre los equipos de TI y ciberseguridad, ya que el 47% de los profesionales del sector retail experimentaron un aumento de presión tras sufrir cifrado de datos. Este incremento refleja la exigencia creciente de responder con rapidez ante incidentes que pueden comprometer operaciones críticas.

El impacto organizativo también fue significativo: en el 26% de los casos se produjeron cambios en los equipos directivos responsables de TI y ciberseguridad tras un ataque. Estos datos evidencian cómo el ransomware no sólo afecta a sistemas y procesos, sino también a la estructura y dinámica interna de los equipos técnicos.

Sophos recomienda reforzar sus defensas en cuatro áreas clave:

• Prevención: identificar y corregir vulnerabilidades antes de los picos de actividad comercial. 
• Protección: asegurar que todos los endpoints, servidores y redes cuenten con defensas anti-ransomware específicas.
• Detección y respuesta: implementar servicios de Managed Detection and Response (MDR) para vigilancia continua 24/7 y respuesta experta en tiempo real.
• Planificación: disponer de un plan de respuesta probado, mantener copias de seguridad verificadas y formar al personal en verificación de identidad.

“En momentos de alta presión comercial, la combinación de ingeniería social y ransomware convierte a las personas en la nueva frontera de la ciberseguridad. La prevención, la verificación y la visibilidad continua son esenciales para evitar que la próxima brecha comience con una simple voz conocida”, afirma Chester Wisniewski, Director de Seguridad de Campo Global (Field CISO) en Sophos.

Mastercard: el 75% de los españoles compra en webs desconocidas

A pesar de las intenciones de ser más cautelosos, una gran mayoría de consumidores españoles (75%) se arriesga comprando en sitios web desconocidos durante las compras de Black Friday y Navidad. Una encuesta de Mastercard a consumidores sobre sus hábitos respecto a la ciberseguridad en las compras de Black Friday y Navidad, destaca que únicamente el 51% realiza una investigación significativa antes de realizar la compra. De hecho, el 24% realiza poca o ninguna investigación, lo que aumenta su vulnerabilidad.

El estudio devela que el 25% de los consumidores españoles no modifica en absoluto sus prácticas de seguridad durante el periodo de compras navideño, algo que aumenta la vulnerabilidad ante las estafas. Y es que un 14% admite estar más dispuesto a utilizar sitios web desconocidos en busca de ofertas, y un 15% está más dispuesto a ignorar advertencias de seguridad o a comprar utilizando redes Wi-Fi públicas (13%). 

Las medidas adicionales de seguridad son: 

• El 34% revisa sus extractos bancarios con más frecuencia
• El 27% examina la seguridad del sitio web con mayor atención
• El 25% utiliza diferentes métodos de pago para una protección adicional.

A pesar de ello, existen algunas alertas que hacen que los usuarios abandonen aquellos sitios web que les parecen sospechosos, entre las que destacan: 

• El sitio web solicita información personal innecesaria (47%)
• Precios que parecen demasiado buenos para ser verdad (46%)
• Faltas de ortografía sospechosas en el sitio web (45%)
• Falta de reseñas o calificaciones de clientes (44%)
• Ausencia de indicadores de pago seguro (44%) 
• Diseño poco profesional o de baja calidad del sitio web (42%)
• Pocas opciones de pago (29%)

Muchos compradores han tenido al menos una experiencia de compra online negativa durante las festividades: el 18% asegura que los artículos nunca llegaron, el 13% recibió productos falsificados, el 10% sufrió cargos incorrectos y el 9% vio comprometida su información de pago. Por el contrario, el 53% de los encuestados afirma no haber tenido ningún problema.

Con el objetivo de minimizar la vulnerabilidad en las compras, Mastercard ha elaborado seis pasos sencillos y prácticos para ayudar a los consumidores a proteger su información personal y financiera mientras disfrutan de la comodidad de las compras online:

• 1.Usar contraseñas seguras: utilizar una contraseña única para cada cuenta, mezclando letras, números y símbolos. Evitar los nombres de mascotas y las fechas de cumpleaños, ya que los ciberdelincuentes son los primeros en adivinarlos. Un gestor de contraseñas puede ayudar a recordarlas todas.
• 2.Duplicar la seguridad con la autenticación de dos factores: este sistema añade un segundo bloqueo, como un código enviado a tu teléfono, lo que dificulta mucho más el acceso a los defraudadores. Es importante activar la autenticación multifactorial para las cuentas bancarias siempre que sea posible.
• 3.Comprar en sitios fiables: asegurarse siempre de que la dirección del sitio web comience por https:// y muestre un icono de candado antes de introducir cualquier información personal o de pago. Si falta o parece sospechoso, es mejor no arriesgarse. 
• 4.Comparte menos, mantente más seguro: hay que tener cuidado con la cantidad de datos personales que se proporcionan en la red y rellenar únicamente los campos que sean necesarios para la compra. La tecnología de tokenización de Mastercard ayuda a proteger los datos de la tarjeta sustituyéndolos por un token digital seguro, de modo que el número real de la tarjeta nunca se comparte con el comerciante.
  5.Vigilar la cuenta bancaria en tiempo real: es clave controlar los extractos bancarios y de gasto con tarjeta para detectar a tiempo los cargos sospechosos, así como configurar alertas instantáneas por SMS o por la aplicación para saber inmediatamente si algo resulta sospechoso. 
• 6.No dejarse engañar por los trucos de la IA: los estafadores utilizan cada vez más la IA para crear voces, fotos y vídeos falsos que parecen reales. Si alguien presiona para realizar un pago urgente, incluso si es alguien que resulta familiar, verificarlo a través de un número de teléfono o contacto conocido antes de hacer nada.

Semperis: ciberataques en vacaciones y fines de semana

Semperis, proveedor de seguridad de identidades y ciberresiliencia basada en IA, publica un estudio mundial sobre ransomware que subraya que la mayoría de los ataques siguen produciéndose en vacaciones y fines de semana, cuando el personal de ciberseguridad es reducido. Además, el estudio muestra que los grupos de ransomware también intensifican sus ataques durante eventos empresariales importantes, como fusiones, adquisiciones, salidas a Bolsa y procesos de despido, para explotar la interrupción organizativa y lar educción del enfoque de seguridad.

“El sur de Europa es conocido por su sólida cultura, su capacidad de adaptación y su habilidad para sortear la complejidad”, ha señalado Antonio Feninno, Vicepresidente del Área de Ventas de Semperis para el sur de Europa. “Los grupos de ransomware ven la imprevisibilidad de las vacaciones, las reorganizaciones y los cambios de mercado como una oportunidad, pero este informe muestra que la seguridad basada en la identidad puedeconvertir nuestros mayores desafíos en fortalezas. Cuando protegemos el núcleo de lo que somos, nuestras identidades, convertimos la resiliencia en una ventaja competitiva para toda la región”, ha sentenciado Feninno.

"Los ciberatacantes siguen aprovechando la reducción de personal de ciberseguridad en vacaciones y fines de semana para lanzar ataques de ransomware. La vigilancia durante estas épocas es más crítica que nunca porque la persistencia y paciencia que tienen los atacantes puede llevar a interrupciones duraderas de los negocios", ha dicho Chris Inglis, primer Director Cibernético Nacional de EEUU y Asesor Estratégico de Semperis.“Además, los eventos corporativos, como las fusiones y adquisiciones, a menudo crean distracciones y ambigüedad en la gobernanza y la rendición de cuentas, exactamente el entorno en el que prosperan los grupos de ransomware”.

El informe, 2025 Holiday Ransomware Risk Report, revela que el 52% de las organizaciones en EEUU, España, Italia, Reino Unido, Francia,Alemania, Singapur, Canadá, Australia y Nueva Zelanda fueron atacadas en días festivos o fines de semana. Resulta alarmante que el 78% de las empresas redujeran el personal de sus centros de operaciones de seguridad (SOC) en un 50% o más durante los días festivos y los fines de semana, mientras que el 6% recortó totalmente su personal de SOC durante esas mismas fechas. El 60% de los ataques se produjeron tras una salida a Bolsa, una fusión o adquisición, o un proceso de despidos.

En el caso de España, el 41% de los ataques de ransomware ocurrieron durante un fin de semana o festivo y el 58% después de un evento corporativo importante. Ante las amenazas, el 93% de las organizaciones en España mantienen un SOC, siendo interno en el 83% de los casos y subcontratadoen el 17%. El 95% reducen el personal del SOC en un 50% o más durante fines de semana y festivos y el 2% elimina completamente el personal del SOC en esos periodos.

El 62% de las organizaciones comenta que la reducción de personal se debe a la necesidad de ofrecer a sus empleados un equilibrio entre trabajo y vida personal, el 47%informaron de que su empresa está cerrada los días festivos y fines de semana y el 29%no pensaban que fueran a ser atacados. En el caso de España, las organizaciones que no pensaban que fueran a ser atacadas ascienden al 33%.

El 60% de los ataques de ransomware se produjeron después de un acontecimiento corporativo importante y, de los atacados después de un acontecimiento de este tipo, el 54% de las empresas declararon haber sido atacadas tras un proceso de fusión o adquisición.

Los planes de detección y respuesta a amenazas de identidad (ITDR) ganan terreno, con un 90% de los encuestados que afirman que sus planes detectan las vulnerabilidades delos sistemas de identidad. Sin embargo, sólo el 45% de los planes incluyen procedimientos de corrección, y sólo el 63% automatizan la recuperación del sistema de identidad.

Miguel Ángel Valero

La caída de Amazon Web Services (AWS) ha paralizado medio mundo con fallos en Amazon, Prime Video,  el asistente por voz Alexa, la propia plataforma de tienda electrónica, y otras aplicaciones externas, como el popular traductor Duolingo, Canva, Roblox o la web de criptomonedas Coinbase. También la plataforma de inteligencia artificial (IA) Perplexit, redes sociales como Snapchat, o incluso videojuegos muy populares como Fortnite o Roblox. Se han visto afectadas empresas de transporte como Lyft, competencia de Uber, y Signal. Entre las principales empresas españolas que han registrado problemas o que tienen servicios asociados a AWS se encuentran BBVA, ING, Movistar y Orange. Ticketmaster reconoce que "no se pueden comprar entradas de ningún concierto en estos momentos" (10 de la mañana). Esa situación ha obligado a retrasar hasta la tarde el inicio de la venta de entradas de la gira de La Oreja de Van Gogh con Amaia Montero.

Esta caída refleja, según indican los expertos del sector, que sigue sin haber una alternativa en Europa a las grandes tecnológicas extranjeras. “Es una muestra de cómo dependemos de empresas que no son europeas. La mayoría de compañías que gestionan la nube son norteamericanas y aquí seguimos sin tener un plan B”, explica Sancho Lerena, CEO de la tecnológica española Pandora FMS y experto en gestión IT y seguridad. 

De hecho, el 90% de los datos europeos que se alojan en la nube están en manos de compañías estadounidenses. Y caídas como la de AWS vuelven a ejemplificar la falta de soberanía IT que hay en todo el continente. “Ya lo vimos durante la parálisis de los aeropuertos del año pasado. Prácticamente toda Europa quedó paralizada por depender de un servidor extranjero, en ese caso CrowdStrike. No se han tomado medidas desde entonces. Hay muchos discursos, pero no acciones concretas que reflejen un cambio de estrategia”, insiste Lerena. 

Esta falta de soberanía debilita también la ciberseguridad continental, que es una de las grandes preocupaciones de empresas y gobiernos en los últimos tiempos, especialmente teniendo en cuenta el contexto geopolítico. De hecho, un informe de CrowdStrike reveló que los ciberataques procedentes de China han aumentado hasta un 150% en el último año.  “Hoy la nube es fundamental para el alojamiento de los datos. Y hay que seguir avanzando en este concepto, pero no se puede limitar a depender de una o dos empresas. Luego ocurren estos fallos, porque ninguna compañía puede asegurar el riesgo 0, y la falta de soberanía supone millones de euros en pérdidas y parálisis de actividad”, subraya Lerena.

Jesús Molina, Head of Partners de Dojo, proveedor de herramientas y tecnologías de pago, estima: “Esta nueva caída en los servidores de pago, sumada a las que ya ocurrieron el año pasado, subrayan los riesgos que conlleva la centralización en los sistemas de pago. Para evitarlo, los comercios deben apostar con un sistema de pago descentralizado, con una infraestructura deslocalizada y a prueba de caídas, basada en servidores que se ubican en diversos continentes”.

“Los sistemas de pago descentralizados garantizan que todas las operaciones se continúan ejecutando incluso cuando ocurren fallos en varios puntos. Con estos sistemas los comercios pueden estar tranquilos de que sus pagos no solo funcionarán, sino que también ofrecerán una experiencia ágil y optimizada para el cliente”, añade.

“El Black Friday y la Navidad son ventanas de consumo en las que la eficiencia en el proceso de pago marca la diferencia entre ganar o perder ventas. Para evitar caídas en el servicio es clave contar con soluciones que hagan que la transacción sea rápida, segura y sin fricciones, aprovechando al máximo todas las oportunidades de venta en un entorno de alta demanda”, insiste.

“Ofrecer unos pagos cómodos, rápidos y seguros es un valor añadido en la experiencia del consumidor que aumenta su fidelización para que regrese en el futuro. Un desafío que pasa por disponer de un sistema de pagos eficaz y flexible, que se adapte a las preferencias de pago de cada consumidor y que sea capaz de responder en momentos de elevados picos de demanda sin incidencias”, concluye.

AWS es un complejo de servicios presente en todo el mundo que aporta soporte a más de 200 centros de datos globales, almacenamiento, bases de datos, computación, redes e inteligencia artificial. Sobre las 9 horas (española peninsular) AWS ha detectado un fallo masivo que ha generado problemas en cadena para el acceso a servicios asociados de numerosas plataformas. La compañía ha dado por resuelto el incidente cuatro horas después, aunque la recuperación de todos los servicios ha sido paulatina.

Este problema también ha afectado a los centros con soporte de la compañía, pero "se ha mitigado por completo y la mayoría de las operaciones del servicio de AWS se están realizando con normalidad ahora. Es posible que algunas solicitudes se limiten mientras trabajamos para lograr una resolución completa. Además, algunos servicios continúan trabajando a través de una acumulación de eventos como Cloudtrail y Lambda. Si bien la mayoría de las operaciones se recuperan, las solicitudes para lanzar nuevas instancias siguen experimentando mayores tasas de error. Continuamos trabajando para lograr una resolución completa”, aseguraba un comunicado de AWS a las 12,30 horas.

El origen de la interrupción del servicio se ha identificado en Amazon DynamoDB, un servicio de base de datos que se utiliza para aplicaciones de Internet y reduce las labores de gestión interna para los clientes del servicio, como administración de bases de datos, copias de seguridad, protección, la supervisión y otras.

Más de 76,8 millones de webs utilizan los servicios de Amazon, de las que unas 200.000 se encuentran en España. DynamoDB, el servicio donde se ha identificado el problema según AWS, sirve a más de un millón de clientes y gestiona más de medio millón de solicitudes por segundo.