Abril es el mes en el que muchos de nosotros hemos podido disfrutar de varios días de vacaciones con motivo de la Semana Santa. Sin embargo, los delincuentes y los ciberataques no entienden de vacaciones y durante este pasado mes hemos observado numerosas campañas de estafas y propagación de amenazas en España que pasamos a resumir.

Inmersos como estamos en medio de la campaña de la renta es normal que se detecten varios casos dirigidos a conseguir víctimas por parte de los delincuentes. Una de las estrategias más clásicas consiste en suplantar a la Agencia Tributaria y, mediante el envío de un email o un SMS dirigir a los usuarios a una web preparada para suplantar a este organismo oficial donde se solicitan datos personales y de las tarjetas de crédito. Otra estafa clásica que ha regresado durante las últimas semanas es la que suplanta a la Guardia Civil, donde se nos informa de una supuesta multa y se nos redirige a una web desde la que proceder a realizar el pago correspondiente.

Durante el mes pasado también vimos campañas pensadas para obtener acceso a cuentas de WhatsApp desde dispositivos controlados por los atacantes. Esta campaña se detectó en varios países europeos (entre los que se encuentra España) y utilizaba un supuesto concurso de danza organizado por el Teatro Real para tratar de convencernos de que tenemos que votar y, para ello, debemos introducir un código, código que usarán los delincuentes para vincular un nuevo dispositivo a nuestra cuenta.

Otros eventos de repercusión internacional como la muerte del Papa Francisco o los aranceles de Trump también fueron usados por los delincuentes en campañas de alcance internacional y que también se observaron propagándose en redes sociales en España. Pero el tema del que todo el mundo habló el pasado mes de abril fue del apagón que sufrió todo el país el lunes día 28, oportunidad que algunos no dejaron pasar para preparar campañas de propagación de aplicaciones bancarias maliciosas para móviles.

Las ciberamenazas relacionadas con el robo de información siguen teniendo a España como uno de sus principales objetivos. Esto se comprueba con los numerosos casos analizados durante el pasado mes de abril, donde amenazas como VIP Keylogger/Snake Keylogger se encuentran entre las más detectadas. El uso de plantillas donde se suplanta la identidad de empresas de paquetería y logística o proveedores de energía eléctrica sigue siendo  muy frecuente, aunque también hemos observado otras plantillas menos habituales suplantando la identidad de registradores de la propiedad.

Tampoco podemos descartar otras campañas similares como las protagonizadas por el infostealer Agent Tesla que, a pesar de haber disminuido sus actividad en nuestro país con respecto a años anteriores, seguimos detectando correos maliciosos con asuntos varios a todo tipo de usuarios y empresas españolas, con la intención de robar principalmente credenciales almacenadas en todo tipo de aplicaciones de uso cotidiano. Otras amenazas como las herramientas de acceso remoto maliciosas también han tratado de conseguir víctimas haciéndose pasar por empresas de logística como DHL.

Los incidentes relacionados con el robo de información confidencial de empresas españolas también han sido numerosos durante las últimas semanas, aunque muchos de ellos aún están por confirmar en el momento de escribir estas líneas. Entre los más destacados se encontrarían las supuestas filtraciones sufridas por empresas del sector energético como Naturgy, Iberdrola o Energia XXI (todas ellas sin haberse confirmado aun su autenticidad).

Otra supuesta filtración del mes de abril habría afectado a la empresas encargada de gestionar la conocida como Lista Robinson, algo que esta empresa negó diciendo que la información filtrada pertenecía a una tercera empresa y que tendría una antigüedad mínima de 7 años. Por otro lado, sí que se han confirmado ciberataques a organismos oficiales como el Ayuntamiento de Badajoz e incluso a infraestructuras críticas como Aigües de Mataró.

Por su parte, las Fuerzas y Cuerpos de Seguridad del Estado han realizado varias operaciones contra grupos de ciberdelincuentes durante las últimas semanas. Estas operaciones policiales han permitido detener, por ejemplo a un grupo especializado en la sextorsión y a otro especializado en la estafa del “hijo en apuros”, estando ambos grupos localizados en la provincia de Valencia.

Los investigadores de ESET presentaron a finales de abril sus conclusiones acerca del grupo APT TheWizards y, más concretamente, sobre Spellbinder, una herramienta de movimiento lateral usada para ataques de “adversario en el medio”. En esta investigación se descubrió un descargador malicioso que era desplegado en los sistemas de las víctimas por mecanismos de actualización de software legítimos chinos y se demostró la relación entre este grupo APT y una empresa de seguridad china.