La startup de inteligencia artificial Anthropic ha confirmado este miércoles que investiga un posible acceso no autorizado a Claude Mythos Preview. Se trata de un modelo desarrollado recientemente capaz de encontrar agujeros de seguridad en sistemas informáticos que hasta ahora se consideraban robustos y que ha puesto en alerta a las grandes tecnológicas y principales bancos del mundo.

Su lanzamiento se había restringido a un puñado de empresas de confianza debido a estos riesgos, con el objetivo de que pudieran analizar su ciberseguridad e impedir que Claude Mythos desencadenara una campaña de ataques informáticos a gran escala. No obstante, este miércoles Bloomberg ha informado de que un grupo de personas ajeno a esa pantalla de seguridad ha accedido al modelo sin autorización. Horas más tarde, Anthropic ha reconocido que lo está investigando.

“Estamos investigando un informe que advierte de a un acceso no autorizado a Claude Mythos Preview a través de uno de nuestros entornos de proveedores externos”, ha declarado la startup. Este acceso se habría producido gracias al sistema utilizado por terceras compañías que realizan trabajos de desarrollo para Anthropic.

Según ha explicado Bloomberg, un pequeño grupo de personas en un foro privado obtuvo acceso al modelo el mismo día en que la startup anunció su despliegue para pruebas con socios estratégicos. No obstante, la empresa ha asegurado que no existen pruebas de que la actividad se extendiera más allá del entorno de ese proveedor.

Anthropic lanzó Mythos este mes bajo un despliegue restringido para que corporaciones como Amazon, Microsoft, Apple, Cisco y CrowdStrike pudieran identificar y parchear vulnerabilidades críticas en sus propios sistemas antes de que la tecnología llegue al público general. Algunos bancos estadounidenses también han tenido acceso al modelo.

Mozilla, la organización que desarrolla el navegador Firefox y que también ha contaco con ese acceso anticipado, ha publicado un parche para 271 vulnerabilidades detectadas por Mythos. “Nuestra experiencia es esperanzadora para los equipos que superan el vértigo y se ponen manos a la obra”, había declarado la organización. “Las vulnerabilidades informáticas son finitas, y estamos entrando en un mundo donde finalmente podremos encontrarlas todas”.

La aparición de Mythos también parecía haber relajado las tensiones entre la Casa Blanca y Anthropic. La startup fue incluida en una lista negra el pasado febrero por negarse a ceder ante algunas peticiones del Pentágono en cuanto al uso de su IA en la guerra de Irán. Esto provocó la ira de Donald Trump, que los denomino “locos izquierdistas”. Sin embargo, en los últimos días se han producido acercamientos y el presidente estadounidense ha afirmado que la tecnología de Anthropic “podría ser muy útil” y que sus dirigentes “se están encarrilando”.

La posible brecha de seguridad en Mythos se suma, no obstante, a otros incidentes recientes que han puesto bajo escrutinio los procesos de Anthropic. El pasado marzo, la compañía atribuyó a un error humano el descubrimiento del nombre y las descripciones de Mythos en un registro de datos accesible públicamente. Además, este mismo mes se produjo la publicación no autorizada del código fuente de Claude Code, su asistente de programación.

La cadena de gimnasios Basic-Fit ha sufrido un robo de la información que afecta a aproximadamente un millón de sus socios en Europa. Entre los afectados hay clientes de sus gimnasios en España, Francia, Alemania y Países Bajos. Los datos sustraídos incluyen nombres y apellidos, direcciones, correos electrónicos, números de teléfono, fechas de nacimiento, números de cuenta bancaria e información sobre su membresía y consumo, según ha informado Basic-Fit a las víctimas a través de correo electrónico.

“Concretamente, incluye el tipo de membresía, el saldo de pagos, el número de pase de Basic-Fit, un identificador interno, los horarios y clubs de tus visitas recientes”, desglosa la empresa sobre este último punto. Los ciberdelincuentes también han accedido al tipo de dispositivo que los socios utilizaron para validar esas últimas visitas, como por ejemplo la marca del teléfono. Las contraseñas del servicio no se han visto afectadas, según la comunicación.

El acceso a los datos se produjo el pasado 8 de abril en el sistema encargado de registrar las visitas de los socios a los centros deportivos. El operador, que presta servicio a más de 4,5 millones de clientes en seis países europeos, ha detallado que sus herramientas de monitorización detectaron la intrusión y bloquearon el acceso. El sistema que gestiona su modelo de franquicias en otros países europeos opera de manera independiente y no se ha visto afectado por la filtración.

“Los hackers encontraron una vulnerabilidad en la seguridad de nuestro sistema”, ha explicado un portavoz de Basic-Fit a elDiario.es. “La solucionamos minutos después de detectar la brecha. Lamentablemente, la seguridad 100% no existe, tal y como confirma el NCSC (la agencia nacional de ciberseguridad del Reino Unido), que aconseja a las empresas que trabajen en su resiliencia”, añaden las mismas fuentes: “Los hackers no se han puesto en contacto con nosotros y, por lo que sabemos, los datos no se han publicado en ningún lugar”.

Ataques de suplantación de identidad

La empresa comunica a los afectados que no es “necesario” que tomen “ninguna medida inmediata”. No obstante, avisa que deben tener “cuidado con los posibles intentos de phishing”, una modalidad de ataque en la que los ciberdelincuentes suplantan la identidad de empresas e instituciones para ganarse la confianza de las víctimas y robar sus datos financieros o su dinero.

La acumulación de datos personales como las sustraídas en este tipo de incidentes, como cuentas bancarias, números de teléfono y fechas de nacimiento, facilita el diseño de los ganchos para engañar al objetivo. Los ciberdelincuentes utilizan detalles específicos como nombres completos o registros de actividad para generar un “sesgo de autoridad” y una sensación de urgencia que impida que sospeche de la interacción.

Además, el volumen de información filtrada permite la profesionalización de las estafas mediante centros de llamadas, donde los datos son vendidos a terceros o empleados para cometer fraudes financieros posteriores.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

Se hicieron con las claves bancarias, se transfirieron varias cantidades de dinero y las utilizaron para comprar monedas virtuales. Sucedió en noviembre de 2020: la cuenta bancaria del Colegio ‘Nuestra Señora de los Infantes’, considerado el más antiguo de España y de régimen concertado, sufrió un revés inesperado. Varias personas consiguieron hacerse con las claves del centro docente y, sin el conocimiento y ni la autorización del colegio, realizaron tres transferencias para después invertir el dinero en criptomonedas. Es decir, un ‘criptorrobo’ en toda regla.

Los tres presuntos autores de los hechos fueron identificados y detenidos y esta semana son juzgados en la Audiencia Provincial de Toledo. La Fiscalía pide dos años de prisión para dos de los acusados, y nueve meses para el tercero de ellos.

La suma total de las tres transferencias fraudulentas alcanzó un valor de 31.555 euros que fue restituido un año después al colegio afectado.

Según el escrito de la Fiscalía, consultado por este medio, los tres acusados, una vez recibidas las transferencias en las respectivas cuentas corrientes de su titularidad, obraron “con afán de lucro”: procedieron a seguir las instrucciones que “personas desconocidas” les iban confiriendo en torno al destino que habían de dar al dinero recibido, quedándose los acusados con una “suculenta comisión”.

Transferencias para comprar monedas virtuales

Concretamente, una de las acusadas recibió 13.600 euros en su cuenta a través de una empresa de compraventa de criptomonedas y procedió a la compra de moneda virtual, en dos operaciones, por importes de 5.000 y 1.000 euros respectivamente. Posteriormente, a través de otra empresa del mismo calibre procedió a la compra de criptomonedas por importe de 4.500 euros.

Para dichas operaciones de compra la acusada no dudó en facilitar todas sus claves bancarias, su propia imagen, a través de selfies que le pedían desde las empresas de criptomonedas para corroborar su identidad, y sus datos identificativos.

Similares operaciones fueron efectuadas por el segundo de los acusados, el cual tras recepcionar en su cuenta casi 14.000 euros, facilitó igualmente todos sus datos identificativos, de imagen y bancarios, para comprar moneda virtual, en dos operaciones por importe de 4.800 y 3.100 euros, la compra de 3.000 euros en criptomonedas, apropiándose, en concepto de comisión, de otra parte del dinero recibido.

El último de los acusados recibió una cantidad en su cuenta sensiblemente menor, de 3.985 euros, y realizó cuatro reintegros en cajeros por importe de 1.600, 400, 500 y 300 euros; y otro reintegro por 1.170 euros, hasta disponer de la totalidad del efectivo, “fraudulentamente transferido”.

Los hechos descritos fueron denunciados ante la Policía Nacional por el Colegio ‘Nuestra Señora de los Infantes en diciembre de 2020.

El Ministerio Público considera que los hechos narrados son constitutivos de tres delitos de blanqueo de capitales, y por ello procede imponer a una de las personas acusadas la pena de dos años de prisión, inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena, multa de 40.500 euros, con responsabilidad personal subsidiaria de un mes de prisión, así como el abono de las costas procesales.

Para el segundo de los acusados, por el mismo delito, pide igualmente la pena de dos años de prisión, inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena, multa de 41.900 euros, con responsabilidad personal subsidiaria de un mes de prisión, y abono de las costas procesales.

Finalmente, para el tercer implicado, propone la pena de nueve meses de prisión, inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena, multa de 11.955 euros, con responsabilidad personal subsidiaria de 15 días de prisión, y abono de las costas procesales.

El Colegio ‘Nuestra Señora de los Infantes’ es un centro concertado y diocesano. Pertenece a la Archidiócesis de Toledo, pero recibe financiación pública. Es considerado uno de los colegios más antiguo de España, fundado en el siglo VI, consolidándose como institución educativa en 1552 por el Cardenal Silíceo. Actualmente, imparte educación desde Infantil hasta Bachillerato y se le considera uno de los centros más prestigiosos de la ciudad.

Booking ha notificado a sus usuarios una brecha de seguridad que ha permitido el robo de información personal vinculada a sus reservas. En un correo enviado a los afectados, la compañía ha confirmado que los datos expuestos incluyen nombres, correos electrónicos, números de teléfono y cualquier detalle que el cliente haya compartido directamente con el alojamiento.

En una primera comunicación, la plataforma ha informado a las víctimas de que sus direcciones físicas también se habían filtrado. No obstante, Booking ha explicado posteriormente a elDiario.es que se trataba de un error en la redacción del aviso que esos datos no se han visto afectados. Este medio ha preguntado a la empresa por el número de afectados y la vía en que los ciberdelincuentes se han hecho con la información, pero esta no ha contestado a las preguntas.

En su respuesta a elDiario.es, Booking reitera lo comunicado a las víctimas: tras detectar “actividad sospechosa”, Booking ha actualizado los números de PIN de las reservas afectadas e instado a sus clientes a mantener la alerta ante posibles correos, llamadas o mensajes de WhatsApp sospechosos.

En este sentido, la empresa recuerda que nunca solicita datos de tarjetas de crédito o transferencias bancarias fuera de los canales oficiales de pago de su plataforma. “Si has recibido algún correo electrónico o alguna llamada telefónica sospechosa, podría provenir de personas con malas intenciones que se hacen pasar por el alojamiento o por Booking”, avisa a los afectados.

Este robo se produce en un contexto de aumento de los ataques de suplantación de identidad que utilizan a los hoteles como gancho. Los ciberdelincuentes se hacen pasar por los establecimientos para contactar con clientes que van a hospedarse en ellos de manera inminente para anunciarles problemas en su reserva o cambios de última hora. Su objetivo es que, movidos por la urgencia, realicen pagos o revelen sus datos financieros a los estafadores.

La Agencia Española de Protección de Datos (AEPD) ya ha sancionado a diversos hoteles por este motivo. Otra de sus tácticas es atacar a los propios empleados del alojamiento, enviando enlaces maliciosos a los empleados del establecimiento para infectar sus equipos y obtener las claves de acceso a Booking. Una vez dentro del sistema, envían mensajes a los futuros huéspedes alegando problemas con el pago o la tarjeta para redirigirlos a páginas fraudulentas donde capturan sus datos bancarios.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

Anthropic, la startup que compite con OpenAI por el liderazgo de la inteligencia artificial, afirma que ha desarrollado un modelo demasiado peligroso para ser liberado al público. La compañía ha anunciado esta semana que su nueva tecnología, denominada Claude Mythos, posee una capacidad sin precedentes para identificar y explotar vulnerabilidades de ciberseguridad. Según sus datos internos, el sistema ha localizado miles de fallos en los principales programas, incluyendo todos los grandes sistemas operativos y navegadores web.

La startup ha expresado en un comunicado que teme que si publica el modelo en abierto este pueda ser utilizado por grupos de ciberdelincuentes para aprovecharse de agujeros en el código que hasta ahora habían pasado inadvertidos. Claude Mythos es un modelo general que también puede generar texto como los chatbots más conocidos, pero han sido su capacidad de analizar software lo que lo que ha desatado las alarmas.

“Los modelos de IA han alcanzado un nivel de capacidad de codificación que les permite superar a todos, salvo a los humanos más habilidosos, a la hora de encontrar y explotar vulnerabilidades de software”, asegura Anthropic en su comunicado.

Los modelos de IA han alcanzado un nivel que les permite superar a todos, salvo a los humanos más habilidosos, a la hora de encontrar y explotar vulnerabilidades de software

Anthropic

Entre los hitos del modelo, presume Anthropic, está el descubrimiento de una vulnerabilidad de 27 años de antigüedad en OpenBSD, un sistema operativo diseñado específicamente para ser difícil de hackear. Logan Graham, responsable del equipo de pruebas de la empresa, ha calificado el avance como “un punto de inflexión” para la industria tecnológica.

Ante el temor de que la herramienta sea utilizada por los ciberdelincuentes, Anthropic ha optado por un despliegue restringido a través de una iniciativa llamada Project Glasswing. Se trata de una coalición de 40 organizaciones, entre las que se encuentran gigantes como Apple, Amazon, Microsoft, Google y la Linux Foundation, a los que ha dado acceso al modelo para que parcheen las posibles brechas que Claude Mythos pueda detectar en sus sistemas.

A pesar del revuelo generado en torno a las capacidades de esta nueva IA en las últimas horas, por el momento ninguna de estas compañías ha desmentido las capacidades de las que presume Anthropic. Amazon, Google y Microsoft son inversores oficiales de la startup, mientras que Apple y la Linux Foundation colaboran estrechamente con la empresa.

El secretario del Tesoro reúne a los bancos

El debate en torno a Claude Mythos ha escalado fuera de las fronteras de la industria tecnológica este viernes. Varios diarios económicos, entre ellos el Financial Times, han informado de que el secretario del Tesoro de Estados Unidos, Scott Bessent, convocó esta semana a los máximos responsables de algunos de los mayores bancos del país para abordar los riesgos asociados a esta IA.

Según el citado medio, que cita fuentes conocedoras del encuentro, a este asistieron directivos de Bank of America, Citigroup, Goldman Sachs, Morgan Stanley y Wells Fargo. También participó el presidente de la Reserva Federal, Jay Powell. El consejero delegado de JPMorgan Chase, Jamie Dimon también había sido invitado, aunque finalmente no pudo asistir.

Había sido precisamente Dimon el que, en su carta anual publicada esta semana, había escrito que los ciberataques “siguen siendo uno de nuestros mayores riesgos”, que “la IA casi con seguridad lo agravará” y que será necesaria una inversión significativa en defensa.

Según ha informado Anthropic, ya antes de esta reunión con los principales bancos, sus responsables habían iniciado conversaciones con el gobierno estadounidense para hablar de los riesgos de Claude Mythos para la seguridad nacional. La salida a la luz del modelo pilla a la startup en medio de una guerra abierta con la Casa Blanca: Donald Trump ordenó calificar a la empresa como un “riesgo para la cadena de suministro” después de que esta se negara a levantar algunas salvaguardas de seguridad en el uso de su IA en la guerra de Irán.

La sombra de una estrategia comercial

Sin embargo, no todos los expertos comparten el clima de pánico. El analista Gary Marcus, uno de los mayores críticos con el “autobombo” que rodea a la industria de la IA, ha señalado que el anuncio de Anthropic podría estar “inflado” y responder más a una maniobra de marketing que a una amenaza inmediata.

Marcus advierte que, en las pruebas de explotación del navegador Firefox presentadas por la empresa, se desactivó el “sandboxing” (un mecanismo de aislamiento de seguridad), lo que facilitó enormemente la tarea del modelo y lo convirtió más en una “prueba de concepto” que en un peligro real.

Además, Marcus subraya que modelos de código abierto mucho más pequeños y económicos ya han demostrado ser capaces de realizar análisis de vulnerabilidades similares a los de Mythos. Para el analista, el modelo está “en la tendencia” de evolución de la industria, pero no representa un salto fuera de los gráficos respecto a sus competidores.

Bankinter ha tenido que asumir la responsabilidad de una de las mayores brechas de seguridad de la banca digital reciente tras la absorción de EVO Banco. La Agencia Española de Protección de Datos (AEPD) ha impuesto a la entidad una multa de 400.000 euros como responsable última del agujero originado en EVO, aunque ha aceptado como atenuante el hecho que este se produjo con anterioridad a la fusión. Tras asumir la responsabilidad y acogerse al pago voluntario, la cuantía final ha sido de 240.000 euros.

La causa de la brecha fue un “error manual” de configuración durante un proceso de migración de software, según ha reconocido Bankinter. El fallo permitía realizar consultas masivas a la base de datos sin necesidad de credenciales válidas, algo que los sistemas de validación de la entidad no detectaron porque solo comprobaban que los datos se entregaran correctamente, pero no quién los solicitaba.

El agujero estuvo abierto desde febrero a abril de 2024. En marzo del mismo año, un ciberdelincuente descubrió la vulnerabilidad y durante cuatro días realizó hasta cinco millones de peticiones de datos. Más de 1,2 millones de esas consultas resultaron exitosas. No obstante, el informe pericial independiente citado en la resolución de la AEPD recoge que no existen pruebas de que el atacante pudiera exportar toda la información proporcionada por el sistema.

Esas fichas personales incluían números de cuenta IBAN, declaraciones de IVA del último ejercicio, ingresos mensuales, situación laboral y años trabajados de los afectados. La AEPD alerta en su resolución que esta combinación de datos permite construir un perfil “completo y detallado” de un individuo, lo que dispara las posibilidades de que sean víctimas de intentos de fraude o suplantaciones de identidad.

Sin embargo, los ciberdelincuentes no se detuvieron ahí. En una maniobra típica de estos grupos cuando tienen acceso a una brecha de alta gravedad, lanzaron una campaña de extorsión contra varios empleados del banco. Primero, publicaron los datos de 10 víctimas en un portal de la dark net como prueba de su ataque. Después, exigieron un pago a los responsables para retirar la información, entre ellos el jefe de ciberseguridad de EVO.

Al no obtener el dinero, los ciberdelincuentes cumplieron su amenaza y publicaron más paquetes de información de afectados, que incluían perfiles personales detallados de 958 clientes y cuatro trabajadores del banco.

En su resolución, la AEPD critica que la entidad careciera de medidas de cifrado o anonimizado adecuadas para este tipo de datos, lo que permitió que la información fuera visible para cualquiera que lograra acceso. “Los afectados confían en la entidad para el manejo seguro de su información personal, habiéndose erosionado la confianza y expectativas razonables de los afectados respecto al tratamiento de sus datos personales”, señala la Agencia.

Bankinter adquirió EVO Banco en 2019, pero ambas entidades continuaron operando como filiales separadas. El anuncio de la fusión definitiva llegó en abril de 2024, unas semanas después de que se produjera la brecha de seguridad ahora sancionada. La integración definitiva de los dos bancos concluyó el 14 de julio de 2025, fecha en la que EVO desapareció como entidad independiente y Bankinter asumió tanto la cartera de clientes como las responsabilidades legales derivadas de la gestión anterior.

LeakBase, uno de los principales mercados mundiales de compraventa de datos personales y contraseñas robadas, ha sido clausurado en una operación internacional en la que han participado la Policía Nacional y la Guardia Civil. La intervención se ha ejecutado de forma simultánea en 14 países para tumbar una plataforma que acumulaba más de 142.000 usuarios registrados desde su creación en el año 2021 y era accesible desde la web abierta.

La Policía describe a LeakBase como “un centro clave en el ecosistema del cibercrimen, especializado en el comercio de bases de datos filtradas”, así como en “los llamados stealer logs”, que son archivos de contraseñas y otras credenciales robadas programas maliciosos instalados en dispositivos infectados.

La información comercializada procedía fundamentalmente de brechas de seguridad en grandes compañías y del volcado de datos de equipos domésticos infectados con este tipo de malware. Los paquetes de datos expuestos incluían nombres de usuario, contraseñas y otros identificadores personales que posteriormente eran adquiridos por otros ciberdelincuentes “para ejecutar fraudes, suplantaciones de identidad o nuevos ciberataques”.

LeakBase había tenido un crecimiento exponencial desde 2024, cuando cayó otro foro similar llamado BreachForums. A finales de 2025 acumulaba ya unos 32.000 hilos públicos activos y 215.000 mensajes privados a diciembre 2025, según la información de diversos analistas de ciberseguridad. Su archivo maestro acumulaba cientos de millones de contraseñas robadas, incluyendo compilaciones como RockYou2024 (que agrupaba más 10.000 millones de contraseñas), que LeakBase revendía en paquetes segmentados por país o tipo de cuenta.

La plataforma surgió en 2021 como alternativa “fiable” a foros rusos como Exploit.in, posicionándose en la web para atraer a criminales no tan especializados en los ciberataques. “Entre sus normas internas destacaba la prohibición expresa de vender o publicar datos relacionados con Rusia”, recalca la Policía, una regla diseñada a evitar los contraataques de los grupos procedentes del país y hacer de LeakBase un “puerto seguro” para ciberdelincuentes occidentales.

Un detenido en España

En el despliegue realizado en España los agentes identificaron a dos personas y detuvieron a una de ellas. Estos individuos habían, presuntamente, “implementado complejos sistemas de anonimización y desarrollado técnicas avanzadas para ocultar su huella digital y dificultar su localización”. También se han efectuado dos registros domiciliarios en las provincias de A Coruña y Vizcaya, durante los que se ha intervenido abundante material informático y documentación relacionada con la gestión del portal.

“Como parte de la investigación, las autoridades incautaron la base de datos del foro, lo que permitió la desanonimización de numerosos usuarios que creían operar de manera anónima. Los agentes continúan rastreando activamente las huellas digitales para identificar a más infractores y establecer sus identidades en el mundo real”, detallan las autoridades.

Además de España, los países participantes en la operación han sido Australia, Estados Unidos, Canadá, Bélgica, Alemania, Grecia, Kosovo, Malasia, Países Bajos, Polonia, Portugal, Rumanía y Reino Unido.

“Esta operación también sirve como recordatorio de que, cuando se produce una filtración de datos, la información robada no desaparece automáticamente, sino que puede reaparecer en plataformas ilegales, donde podría ser utilizada para estafas, suplantaciones de identidad o intentos de acceso no autorizado a cuentas”, recuerda la Policía: “Proteger los datos personales sigue siendo esencial. Emplear contraseñas fuertes y únicas, junto con la activación de la autenticación multifactor, ayuda a reducir significativamente los riesgos si la información se ve comprometida”.

Una nueva campaña de ciberataques de revelación de identidad está afectando a políticos españoles. Después de que este verano múltiples incidentes de este tipo expusieran los datos personales del presidente del Gobierno, Pedro Sánchez, de los miembros del Gobierno, de representantes de varios partidos, de periodistas e incluso de ciudadanos anónimos afiliados a Podemos, se han vuelto a dar esta semana.

Primero fueron altos cargos de Transportes en una ofensiva que el autor enmarcó en una protesta por el accidente de Adamuz. Ahora, han sido presidentes y consejeros de 15 comunidades autónomas.

La filtración se ha llevado a cabo en un portal especializado en publicar este tipo de bases de datos. Incluye información personal de Isabel Díaz Ayuso, presidenta de la Comunidad de Madrid; Juan Manuel Moreno Bonilla, presidente de Andalucía, Jorge Azcón; presidente de Aragón; Alfonso Fernández Mañueco, presidente de Castilla y León; Juan Francisco Pérez Llorca, presidente de la Comunitat Valenciana; María Guardiola, presidenta en funciones de Extremadura; María Chivite, presidenta de Navarra; o Imanol Pradales, lehendakari vasco.

La información publicada sobre cada víctima varía. En algunos casos, como el de Ayuso, la filtración solo llega al correo electrónico personal. En otros, como el de Pradales, incluye incluso datos de una persona que el atacante ha identificado como su pareja.

La filtración abarca un total de 47 personas. Las fichas de algunos de los presidentes y consejeros autonómicos afectados añaden direcciones de sus viviendas, el modelo, color y matrícula del coche, o el número de la cuenta bancaria. En uno de los casos se incluye incluso el código del contador del gas. El DNI y el teléfono móvil están entre los datos filtrados que más se repiten.

Extremos como el del contador del gas apuntan a que el autor no ha llevado a cabo ciberataques individuales para hacerse con los datos, sino que los ha ido extrayendo de diferentes bases de datos robadas a las que ha tenido acceso.

El autor de la publicación, que se identifica como “Eurogosth”, no ha dejado pistas de sus motivaciones. “Sé que faltan CCAA, no se van a salvar, dentro de poco hare la V2 [versión 2] de esta db [base de datos], probablemente con familiares, o sin familiares, no lo sé, no afirmo nada. Viva España”, es su único mensaje. Por el momento no ha realizado más publicaciones. Entre los consejeros autonómicos afectados están varios del PSOE (Castilla-La Mancha), PSC (Catalunya) o Coalición Canaria, pero ninguno de Vox. Al País Vasco el autor lo denomina “Vascongadas”.

Cada vez más habitual contra políticos

Los ataques de revelación de identidad son uno de los golpes más comunes entre ciberdelincuentes, conocidos en la jerga como doxxeo. Ajustes de cuentas o rencillas entre ellos acaban con sus pseudónimos rotos y sus datos personales publicados en abierto, lo que facilita su localización por parte de la policía o el hostigamiento de sus rivales.

Durante 2025, no obstante, los doxxeos se extendieron como ataque justiciero contra representantes políticos. “Simplemente, somos dos chavales que un día dijimos: ¿qué hacemos hoy? Y como se está destapando últimamente mucho el tema de la corrupción, pensamos: ¿por qué no sacamos la información a esos políticos y la publicamos? Es un escarmiento”, afirmaron en verano los presuntos autores de la publicación que afectó a Sánchez y miembros del Gobierno.

Después atacaron también a periodistas y otras figuras progresistas. “Un poco de info de estos políticos de mierda, ultraizquierdas y corruptos”, decían en la publicación. Se trataba de dos jóvenes de 19 años que la Policía detuvo días después y que actualmente se encuentran a la espera de juicio, según ha podido saber elDiario.es. La publicación de este tipo de datos de representantes públicos puede ser considerado delitos contra la intimidad, amenazas, coacciones o incluso escalar hasta ser considerados de terrorismo y contra altas autoridades del Estado.

En la filtración de datos que ha afectado esta semana a altos cargos del Ministerio de Transportes, el autor se ha hecho eco de un bulo difundido por la extrema derecha para justificar su acción. “En lugar de arreglar las instalaciones, dan millones de dólares a países extranjeros para que arreglen las instalaciones de otros países”, afirma. Todos estos ciberataques se han publicado en la misma web, una de las más conocidas para llevar a cabo doxxeos y que no suele atender las solicitudes de retirada de datos a no ser que sean requerimientos judiciales.

Cuando se lanza contra figuras públicas, los doxxeos pretenden servir de apoyo para campañas de acoso, intentos de estafa o contratación de servicios digitales a nombre de los afectados.

Policía, CNI y otros políticos afectados

El autor de las filtraciones ha reaccionado durante este viernes al verse señalado por los medios. En una nueva publicación en la que se queja por ser identificado como “de extrema derecha”, ha decidido continuar la campaña de ataques contra miembros del Gobierno, entre ellos el presidente Pedro Sánchez, y políticos de todos los partidos. Para demostrar que no tiene relación con Vox, en el arhivo ha incluido a Santiago Abascal, así como datos de su madre y de su hermana.

En otra publicación, el mismo atacante ha revelado datos de contacto de dirigentes del CNI, de la Policía Nacional y del Ministerio del Interior.

La Policía está investigando la publicación de los datos personales del secretario de Estado de Transportes, José Antonio Santano; del presidente de Renfe, Álvaro Fernández Heredia; y del presidente de Adif, Luis Pedro Marco; en un foro utilizado habitualmente por los ciberdelincuentes en este tipo de ataques. El autor, que se identifica como “Vindex”, ha justificado su acción como una protesta por el accidente ferroviario de Adamuz, en el que han perdido la vida 45 personas.

“Tras recibir la noticia del terrible accidente ferroviario ocurrido en el sur de España, he decidido revelar la identidad de los presidentes del sistema ferroviario español, ya que son los responsables de las desastrosas instalaciones tercermundistas que provocan averías y accidentes mortales”, afirma el autor en la publicación, a la que ha podido acceder elDiario.es.

La filtración incluye números de teléfono móvil y las direcciones de viviendas. En uno de los casos, también el DNI. El autor amenaza en la publicación que “pronto habrá noticias sobre Puente”, pero por el momento no se han publicado los datos del ministro de Transportes.

Se trata de un tipo de ciberataque que busca generar una campaña de acoso contra los afectados, al facilitar que cualquiera pueda contactar con ellos o utilizar sus datos para perpetrar estafas o registrarse en servicios digitales.

Lo sucedido replica los ataques lanzados por varios ciberdelincuentes el pasado verano contra miembros del Gobierno y el PP, así como de periodistas y de ciudadanos anónimos. En una serie de filtraciones sin precedentes, se publicaron los datos personales de Pedro Sánchez, Ada Colau, María Guardiola, Juan Manuel Moreno Bonilla o las contraseñas de afiliados de Podemos.

La Policía detuvo a dos jóvenes de 19 años relacionados con lo sucedido, que actualmente se encuentran a la espera de juicio.

Bulos de la extrema derecha

Además de sus críticas a los altos cargos por el accidente, el ciberdelincuente de la filtración de Transportes reproduce un bulo que la extrema derecha ha espoleado esta semana para denunciar un supuesto desvío de fondos del mantenimiento ferroviario hacia Marruecos o Uzbekistán. “Además, en lugar de arreglar las instalaciones, dan millones de dólares a países extranjeros para que arreglen las instalaciones de otros países”, repite.

Lo que ha aprobado el Ejecutivo en los últimos años son créditos “reembolsables y condicionados” para que esos países compren material ferroviario a empresas españolas. Es decir, solo reciben esos créditos si se cierran esos contratos. Y son créditos que no están ligados al Ministerio de Transportes, que es el que invierte en la red ferroviaria española y en la compra de trenes para el operador público Renfe.

La compañía eléctrica Endesa ha comunicado a sus clientes que ha sufrido un ciberaataque en el que se ha producido la sustracción de sus datos personales y financieros. Los afectados pertenecen tanto a Endesa Energía, la comercializadora de mercado libre, como a Energía XXI, que opera en el mercado regulado. Fuentes de la compañía han explicado a este medio que aún no pueden informar del número exacto de afectados.

Según detalla el comunicado enviado a los usuarios, la investigación interna indica que los ciberdelincuentes han tenido acceso a una base de datos que incluye nombres, apellidos, datos de contacto y números de Documento Nacional de Identidad (DNI). Asimismo, la brecha de seguridad ha expuesto información relativa a los contratos de energía y, en determinados casos, los códigos IBAN de las cuentas bancarias asociadas a los pagos. La compañía especifica que las contraseñas de acceso de los usuarios no se han visto comprometidas en este incidente.

Entre ambas comercializadoras suman unos diez millones de usuarios en total. Sin embargo, antiguos clientes de Endesa también están recibiendo la notificación del robo de datos, según han informado algunos de ellos a elDiario.es.

La empresa ha notificado los hechos a la Agencia Española de Protección de Datos (AEPD) y a las Fuerzas y Cuerpos de Seguridad del Estado, tal como establece la normativa. En respuesta al ataque, la compañía ha bloqueado a los usuarios cuyo acceso había sido comprometidos y ha lanzado un análisis de los registros de actividad. Endesa asegura que sus servicios operan con normalidad tras la contención del incidente.

La comunicación advierte sobre el riesgo de que los datos sustraídos sean utilizados para intentos de suplantación de identidad o para la ejecución de campañas de phishing (envío de correos fraudulentos) y spam. La eléctrica recomienda a los usuarios desconfiar de comunicaciones sospechosas y evitar facilitar información personal a fuentes no verificadas. También ha habilitado un canal de contacto (800 760 366 para los clientes de Endesa Energía, y 800 760 250 para los de Energía XXI) para resolver las dudas de los afectados.

Como alerta la compañía, este tipo de ataques suelen ser la antesala de las estafas de suplantación de identidad. En ellas, los ciberdelincuentes se hacen pasar por empresas o instituciones confiables para la víctima, ganándose su confianza gracias a los datos robados. En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía.

El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

El colectivo Anna's Archive, un grupo activista para “preservar el conocimiento y la cultura de la humanidad”, ha asegurado que ha extraído unos 300 TB de datos de la plataforma Spotify, formando un archivo que comprende 86 millones de archivos de audio y 256 millones de metadatos, entre los que se incluyen nombres de artistas y títulos de álbumes. Según este colectivo, la cifra representa el 99,6% de la música consumida de forma habitual por los usuarios del servicio.

Spotify ha confirmado que ha detectado un acceso irregular a sus sistemas. La plataforma se encuentra investigando el suceso y ha comunicado la desactivación de una serie de cuentas de usuario que cree que están implicadas en la extracción de información. “Una investigación sobre acceso no autorizado identificó que un tercero extrajo metadatos públicos y utilizó tácticas ilícitas para eludir la DRM [gestión de derechos digitales] para acceder a algunos de los archivos de audio de la plataforma”, ha declarado la plataforma.

Desde Anna's Archive afirman que ya han publicado a través de torrents (un archivo o enlace que permite descargar contenidos entre usuarios) los metadatos extraídos de Spotify, así como las imágenes de las portadas y los análisis de audio de las canciones.

Aunque el inventario de Spotify supera los 100 millones de canciones, la empresa ha indicado que la filtración no constituye la totalidad de su catálogo. Como respuesta al incidente, la plataforma ha reforzado sus protocolos de seguridad y mantiene la vigilancia sobre comportamientos en su infraestructura para detectar nuevas incursiones.

“El patrimonio musical estará a salvo de la destrucción”

Anna's Archive justifica la publicación de los datos como un proyecto de preservación destinado a proteger el patrimonio cultural ante posibles desastres o conflictos que limiten el acceso a la música. El grupo funciona como un motor de búsqueda que facilita el acceso y descarga de materiales protegidos con derechos de autor. El acceso desde España a su página web se encuentra bloqueado por las operadoras, debido a reclamaciones de copyright.

“Por ahora, se trata de un archivo exclusivo para torrents destinado a la conservación, pero si hay suficiente interés, podríamos añadir la descarga de archivos individuales desde Anna's Archive. Por favor, hágannos saber si les gustaría que lo hiciéramos”, afirma el colectivo en su comunicado, que pide compartir los torrents para “ayudar a conservar los archivos”.

“Con su ayuda, el patrimonio musical de la humanidad estará protegido para siempre de la destrucción causada por desastres naturales, guerras, recortes presupuestarios y otras catástrofes”, inciden. Otros usuarios y especialistas, no obstante, recalcan como este material protegido ahora puede ser accesible no solo para usuarios, sino también para empresas y organizaciones, que pueden utilizarlo para el entrenamiento de la inteligencia artificial.

La filtración coincide con un periodo de tensiones entre la plataforma y los creadores. Recientemente, grupos como Massive Attack retiraron su catálogo del servicio debido a las inversiones de su fundador en tecnología de uso militar. La recolección de volúmenes elevados de datos para su procesamiento posterior es un patrón identificado por especialistas en el análisis de las estructuras de captura de información de las redes sociales actuales.

El Gobierno de Cantabria ha tardado un año en dar explicaciones detalladas a los usuarios de su plataforma educativa Yedra del hackeo (robo de datos) de que fue objeto en 2024. En aquel momento el suceso estuvo bajo secreto de sumario y se pensaba que afectaba únicamente a dos usuarios, pero tras la investigación de la Audiencia Nacional, y a requerimiento primero del Centro Criptográfico Nacional, la Consejería de Educación y ahora de la Policía Nacional, ha pedido a los usuarios este martes que cambien sus contraseñas para mayor seguridad y que no compartan claves de acceso.

“En ese momento no se consideró oportuno realizar un comunicado general a los usuarios de la plataforma porque únicamente se tenía constancia de dos usuarios afectados, que ya no estaban dentro del sistema educativo no universitario de Cantabria y cuyos datos tenían una antigüedad de cinco años”, añade el comunicado de la Consejería de Educación.

El Gobierno de Cantabria acaba de hacer pública una nota a través del Boletín Oficial de Cantabria (BOC), con fecha 12 de agosto, y en sus páginas webs. En dicha nota justifica su actuación de hace un año y pide que los usuarios cambien sus claves de acceso. Afirma el Ejecutivo autonómica que desconoce si la información sustraída ha alcanzado internet, pero considera, según la información policial que se le ha facilitado, que “hay comprometidos un elevado número de archivos”.

Dicha nota también está disponible en educantabria.es, portal en el que se comunica que “la Dirección General de Calidad y Equidad Educativa y Ordenación Académica del Gobierno de Cantabria informa que se ha producido un incidente de seguridad que ha afectado a los datos personales de parte de los usuarios de la plataforma educativa Yedra. Entre esos datos pueden encontrarse las fotos subidas a la plataforma, aunque no tenemos constancia de que se puedan vincular a usuarios concretos”.

Yedra es la macroplataforma de servicios avanzados de la comunidad educativa cántabra que permite realizar tareas de gestión académica y seguimiento educativo utilizando internet como canal de comunicación.

La detención de un hacker y el material incautado es el que ha permitido a los investigadores comprobar la seriedad de información personal comprometida y ha activado la alerta a los usuarios por el Ejecutivo un año después. Lo que se hizo entonces fue reforzar el personal de mantenimiento, preparar un plan de mejora de la seguridad de la plataforma y comunicar la brecha informática a la Agencia Española de Protección de Datos (AEPD). Y poco más, excepto presentar una denuncia ante la Policía Nacional.

En la nota informativa de este martes, la Consejería ha indicado que, el pasado 30 de julio, funcionarios de la Policía Nacional trasladaron formalmente que en la actualidad hay “un número elevado de registros comprometidos”, los cuales han sido encontrados “dentro de la documentación requisada a un supuesto hacker informático que está siendo investigado”.

A mediados de abril de 2024, el Centro Criptológico Nacional comunicó a la Dirección General de Informática del Gobierno de Cantabria la existencia de un ataque cibernético que podría haber puesto en peligro la seguridad de la plataforma educativa Yedra.

En ese momento, “los servicios informáticos del Gobierno de Cantabria solicitaron más información a la Policía Nacional, la cual no facilitó más datos, puesto que el eventual hackeo formaba parte de una investigación judicial bajo secreto de sumario. Dado que la Consejería de Educación y la Dirección General de Informática no disponían de más información que la señalada y no había constancia de que los datos comprometidos estuvieran circulando por Internet, se decidió comunicar la brecha informática a la Agencia Española de Protección de Datos”.

A continuación, se procedió a su denuncia ante la Policía Nacional y se trazó un plan de modernización de la plataforma educativa Yedra, así como de refuerzo del personal dedicado a su mantenimiento y desarrollo, tanto por parte de la Consejería como por parte de la empresa dedicada a su mantenimiento.

El pasado 30 de julio, funcionarios de la Policía Nacional trasladaron a la Consejería de Educación, con carácter formal, que actualmente hay un número elevado de registros comprometidos, los cuales han sido encontrados dentro de la documentación requisada a un supuesto hacker informático que está siendo investigado por la Audiencia Nacional.

Además, se han encontrado fotografías “tipo carnet” dentro de la documentación requisada, si bien no se ha confirmado que las fotos estén relacionadas con los nombres de las personas a quienes corresponden, puesto que el archivo de muestra que se ha entregado a la consejería no contiene elementos que permitan relacionar fotos y nombres, o identificaciones personales. Además, hasta el momento, “esta Consejería no tiene constancia de que los datos referidos estén circulando en Internet”, ha agregado.

Personación en la causa

Ante la nueva información aportada por la Policía Nacional, y tras su análisis por parte de la Dirección General de Informática del Gobierno de Cantabria, la Consejería de Educación ha solicitado a la Dirección General del Servicio Jurídico personarse como parte perjudicada en la causa que se sigue contra el presunto hacker informático.

Igualmente, se ha dado traslado de la situación a la delegada de Protección de Datos del Gobierno de Cantabria al objeto de estudiar el grado de afectación del derecho a la protección de datos personales, comunicando, además, la evolución del expediente abierto en su momento ante la Agencia de Protección de Datos.

Al mismo, tiempo se ha hecho una comunicación general a los usuarios de la plataforma educativa a través del cauce habitual de comunicación, aconsejando un cambio en sus claves de acceso, lo que se publicará en Boletín Oficial de Cantabria (publicación que se ha producido este 12 de agosto).

En este sentido, la Consejería de Educación, Formación Profesional y Universidades ha lamentado este tipo de ataques, “que cada vez son más frecuentes en el ámbito público y privado” y ha asegurado que “estamos completamente comprometidos con la búsqueda del máximo grado posible de seguridad digital y por ello se están implementando distintos procesos de mejora de la plataforma educativa”.

Asimismo, se ha solicitado la colaboración de los usuarios de esta o cualquier otra plataforma digital para que tomen medidas preventivas, “como no compartir contraseñas entre aplicativos o procesos distintos y cambiar de claves periódicamente”.

Recuerda esto. La gente que intentas pisotear es de la que dependes. Somos los que lavamos tu ropa, preparamos tu comida y servimos tu cena. Hacemos tu cama. Conducimos las ambulancias. Somos cocineros y taxistas y sabemos todo sobre ti. Controlamos cada parte de tu vida (...) Así que no nos jodas

En 'El club de la lucha', el escritor estaounidense Chuck Palahniuk presenta a Tyler Durden y su proyecto 'Mayhem'. Una revolución soterrada de la facción invisible y desencantada de la sociedad que amenaza la tranquilidad de la élite y la civilización consumista. Desde camareros que orinan en las sopas de una fiesta hasta la fabricación de explosivos caseros. Una rebelión ficticia convertida en objeto de fascinación en grupos y chats de extrema derecha donde la consigna es impedir que los rivales políticos o periodísticos puedan ir “tranquilos” por la calle o estar en sus casas, como sucedió con Pablo Iglesias, Irene Montero y su familia en Galapagar. El último capítulo: dos piratas informáticos detenidos por filtrar los números de teléfono y datos personales, sobre todo, de políticos y periodistas de izquierdas.

“Ningún votante de la izquierda debe poder caminar tranquilo”. Alberto 'Ferrando' Caliu, agitador de extrema derecha y difusor habitual de bulos racistas, puso hace poco por escrito en la red social X el dogma ambiguamente violento que, desde hace años, intentan legitimar sectores radicales y que no ponen personalmente en práctica, pero sí actúa como combustible. Convertir en aceptable o disfrazar de revolucionaria la incitación al acoso en la calle no solo a políticos sino a informadores, en este caso considerados progresistas o de izquierdas.

Ni este ni otros influencers de la 'fachosfera' más extrema tienen la patente de este formato de invitar a la violencia sin hablar de violencia y, por tanto, sin tener que responsabilizarse de ella. Tampoco el pirata informático 'Akkaspace', considerado responsable de esta última filtración de datos de políticos, que sí ha dado un paso más y ha expuesto datos personales de miembros del Gobierno y periodistas, algunos de los cuales han recibido amenazas en sus móviles. Lo ha hecho “para el pueblo” y contra la “corrupción del PSOE”, dijo en conversación con Vozpópuli, medio que le define como un “Robin Hood”.

La Audiencia Nacional investiga bajo secreto de sumario si, lejos de una acción altruista en defensa de los débiles, este y otro joven canario respondían ante terceras personas, o si hay algún tipo de negocio de por medio. El objetivo ideológico es explícito. Junto a la difusión de datos de expolíticos del PP que ya no están en activo, los piratas informáticos publicaron números de teléfono, direcciones y hasta matrículas de buen parte del Consejo de Ministros, dirigentes y exdirigentes de Podemos y diversos periodistas, entre ellos el director de este periódico, Ignacio Escolar. “Un poco de info de estos políticos de mierda, ultraizquierdas y corruptos”, escribió el usuario que publicó los datos.

Ante el juez, antes de quedar en libertad con cautelares, Akkaspace ha dado una versión distinta. Ha asegurado, según fuentes jurídicas, que un “agente encubierto” le pagó, pero ha negado haber perpetrado ataques informáticos sino que usó una “aplicación” y no tiene conocimientos de informática. Ni rastro de la lucha en nombre del “pueblo” que le atribuían algunos medios antes de su arresto.

Los datos fueron publicados en un canal de Telegram con más de 90.000 suscriptores montado en “apoyo” al eurodiputado y agitador Luis 'Alvise' Pérez, aunque sin vinculación real con él. El líder de 'Se Acabó La Fiesta' sale victorioso cuando se le hace la prueba de paternidad a este tipo de estrategias. Es quien, desde hace años, promueve desde su canal de Telegram y sus cuentas intermitentes de Twitter el hostigamiento –principalmente a políticos y periodistas del espectro progresista pero sin cerrarse a otras opciones– llamando a la colaboración ciudadana y disfrazándose de Tyler Durden para convertir el acoso en una causa noble.

“Somos el Club de la Lucha”

“Seguís sin entender que somos vuestros camareros, taxistas, policías, jardineros y los que hacemos que el sistema funcione. Os vemos”, dijo en una ocasión para desarrollar su campaña de acoso contra la futbolista Jenni Hermoso, víctima de abuso sexual tal y como han declarado los jueces. “Somos el Club de la Lucha contra el sistema corrupto que nos esclaviza y vamos a por vosotros”, dijo en otra ocasión para revelar el itinerario de Pedro Sánchez y fomentar las protestas contra él. “Somos sus vecinos, limpiadoras, contables, jardineros, trabajadores, taxistas...” dijo en otro mensaje muy similar cuando pidió información contra Javier Tebas, presidente de La Liga.

En el caso de Alvise Pérez, las incitaciones ambiguas al acoso no se han quedado en mensajes inflamados en su canal de Telegram. Durante años ha sido habitual que el agitador publique fotos de políticos y periodistas en situaciones personales, a veces con familiares y menores de edad, dando a entender que hacen algo ilegal y, sobre todo, que tiene mil ojos en las calles para perseguir a sus rivales. Lo que Tyler Durden bautizó como 'Monos Espaciales' en 'El Club de la Lucha' y que Alvise denomina 'Ardillas', apropiándose de la tendencia en Twitter que le reprochó haber sexualizado a los animales que protagonizan 'Space Jam'.

Los paralelismos entre Alvise, sus seguidores y la ópera prima de Palahniuk terminan ahí. El agitador, lejos de ser el líder anónimo de un grupo de ciudadanos que buscan la refundación de la sociedad capitalista, está al frente de un partido político con tres eurodiputados peleados entre sí y un código interno que le permite ejercer un control férreo, investigado además por financiación ilegal. Y su hostigamiento a políticos y periodistas, lejos de haber minado el poder de las élites a las que aspira a unirse, se ha traducido en varias condenas e investigaciones penales contra él.

Publicar datos personales o fotos privadas de políticos y periodistas no es un ejemplo de lucha contra el poder, han dicho varias veces los jueces, sino una forma de acoso. El propio Alvise acumula decenas de miles de euros en condenas civiles y está imputado en el Tribunal Supremo por difundir un bulo sobre Salvador Illa y por promover el hostigamiento de sus seguidores a la fiscal Susana Gisbert. También ha sido sancionado por difundir una foto de la hija menor de edad del ministro Óscar Puente dando a entender que no era su hija sino su amante.

La derecha parlamentaria y periodística, tanto el Partido Popular como Vox, celebran desde hace tiempo que Pedro Sánchez no puede “salir a la calle con tranquilidad”, entusiasmo que comparten con la extrema derecha aunque sin capacidad demostrada, al menos por el momento, de poder llevar a la calle la beligerancia violenta que sí preconizan en sus redes sociales.

Grupos como Núcleo Nacional, que intentaron capitalizar las manifestaciones de miles de personas ante la sede del PSOE en noviembre de 2023, no han concitado la unidad que esperaban entre los grupos de la extrema derecha, y las cabezas visibles de ese espectro ideológico, como Alvise o el líder de Desokupa ya demostraron su alcance: llevar a la gente a las puertas del Congreso e invitarles a sentarse de espaldas mientras tranquilizan a la Policía. Pero también su capacidad para hostigar a políticos y sus familias durante meses sin tener que sufrir consecuencias. Por ejemplo cuando agitadores como Miguel Frontera fomentaron el acoso diario durante meses a Pablo Iglesias, Irene Montero y sus hijos pequeños frente a su domicilio.

“Vamos a actuar semana a semana pero el riesgo cero no existe”. Así ha respondido el portavoz de la Junta de Castilla y León, Carlos Fernández Carriedo, a las críticas contra los sistemas de ciberseguridad del Ejecutivo autonómico y el hackeo que sufrió el portal Educacyl, cuya autoría podría ser la de un alumno que entró en el sistema suplantando a su profesor, según informó la semana pasada el propio Carriedo.

Las posibles derivadas legales del hackeo ya están en manos de la Guardia Civil y de la Justicia quienes investigan tanto la autoría como la posible vulneración de millones de datos. “Estamos comprometidos con la seguridad de los sistemas informáticos, el riesgo cero no existe, son varios sistemas que han sido hackeados y hemos tenido recientemente noticia del hackeo e información pública de datos que afectan al presidente del Gobierno y a varios ministros. El riesgo cero no existe como vemos en nuestro entorno”, ha afirmado.

Carriedo ha señalado que las brechas de ciberseguridad y hackeo están a la orden del día, como con la filtración de datos de estas últimas semanas del presidente del Gobierno y ministros, que ha derivado en la detención de varios supuestos responsables.

Respuesta a las críticas

El portavoz ha respondido a las críticas del Colegio de Ingeniería Informática, quien en un comunicado, ha reprochado a la Junta de Castilla y León que su inacción arriesga la seguridad digital y que el incidente “no es un hecho aislado”, sino “la consecuencia de una falta sostenida de estrategia, de inversión y, sobre todo, de voluntad política” para abordar “con seriedad” la gestión de los sistemas de información públicos.

“Nosotros como Junta hemos tenido en algún caso alguna brecha de seguridad. Insistimos en que somos muy conscientes de que aquellos que intentan hackear inventan un nuevo mecanismo y debemos estar preparados para todas las semanas ir cerrando esas brechas de seguridad”, ha apuntado el portavoz.

El consejero ha agregado que van a “seguir haciendo siempre inversiones en materia de ciberseguridad” y van a continuar reforzando los sistemas informáticos. “Se trata de estar muy atentos porque cada semana hay nuevas formas y tenemos que encontrar formas de taponar esos ataques informáticos”, ha apostillado.

Entre las peticiones del Colegio Profesional están la urgente“profesionalización del personal informático” de la Junta, puesto que gran parte de este personal no es funcionario y no puede acceder a plazas de Seguridad y Protección de Datos. Además, la creación de puestos técnicos de seguridad o delegados de Protección de Datos resulta “insuficiente”, según el Colegio, cuyo acceso está “restringido exclusivamente a funcionarios de carrera”, lo que excluye a otros profesionales.

Desde el Ejecutivo autonómico han negado este ataque hasta la semana pasada. La consejera de Educación, Rocío Lucas (PP), señalaba a preguntas de los periodistas que no había “ni rastro de ningún hackeo”. En ese momento había “normalidad”, ahora, tras reconocer la Consejería la vulneración, los datos que pudieron ser sustraídos “pueden ser, potencialmente, empleados para cometer suplantación de identidad mediante correos electrónicos, llamadas telefónicas no deseadas o correos con intención comercial”.

Los datos a los que podrían haber accedido los hackers son los datos personales del alumnado y de sus progenitores o tutores, como DNI, fecha de nacimiento, nacionalidad, dirección, teléfono o correo electrónico. Con la confirmación de la investigación policial de los hechos, Lucas ha pasado de acusar de generar “una alarma innecesaria” a que se haya tenido constancia de “algún intento de acceso no autorizado” con el correspondiente traslado a la Agencia de Protección de Datos y a la Guardia Civil.

El acceso no autorizado a cuentas de Instagram se ha convertido en un problema cada vez más común entre usuarios de distintos perfiles. En muchos casos, el incidente se detecta de inmediato: cambios inesperados en la contraseña, notificaciones de intentos de conexión desde ubicaciones desconocidas o publicaciones que el titular del perfil no reconoce. En otros, el ataque pasa desapercibido hasta que ya no es posible iniciar sesión o cuando los contactos alertan sobre comportamientos anómalos asociados al perfil afectado.

La situación plantea varios retos. Por un lado, recuperar el acceso puede requerir más de un intento, especialmente si la persona que tomó el control de la cuenta ha modificado los datos de recuperación. Por otro, una vez restablecido el perfil, es necesario revisar todas las configuraciones para evitar futuras incidencias. La seguridad digital, en estos casos, se vuelve una prioridad inmediata.

Consciente de estos riesgos, Instagram incorpora algunas funciones diseñadas para reforzar la seguridad. Una de las más eficaces es la autenticación en dos pasos, una verificación adicional que acompaña a la contraseña tradicional. Si bien no elimina por completo el riesgo de accesos indeseados, esta capa extra dificulta significativamente que terceras personas consigan tomar el control del perfil sin autorización.

Recuperar el acceso a tu cuenta

Perder el acceso a una cuenta puede resultar una experiencia frustrante, pero existen mecanismos dentro de la plataforma para intentar recuperarla. El primer paso es acceder a la opción “¿Has olvidado la contraseña?” desde la pantalla de inicio de sesión. Instagram ofrece alternativas para verificar la identidad, como recibir un código en el correo electrónico o teléfono asociados al perfil. En caso de que los datos de contacto hayan sido modificados por el intruso, el proceso se vuelve más complejo y puede requerir pruebas adicionales.

En estas situaciones, la red social habilita un sistema para informar que la cuenta ha sido hackeada. A través de la opción “Necesito más ayuda”, el usuario puede solicitar asistencia directa para demostrar que es el propietario legítimo. Instagram puede solicitar imágenes de identificación oficial, respuestas a preguntas de seguridad o incluso verificar actividad reciente para validar la reclamación.

Es recomendable actuar con rapidez para evitar que el atacante realice cambios irreversibles, como eliminar la cuenta o publicar contenido malicioso. Mantener la calma y seguir las instrucciones oficiales es clave para recuperar el perfil. Además, una vez restablecido el acceso, es fundamental revisar todas las configuraciones y activar herramientas de protección adicionales para minimizar el riesgo de que el problema se repita.

Medidas para que no suceda de nuevo

Una de las formas más eficaces de proteger una cuenta de Instagram frente a accesos no deseados es activar la autenticación en dos pasos. Esta herramienta, que añade una capa de seguridad adicional a la contraseña habitual, requiere que el usuario introduzca un código extra al iniciar sesión desde un dispositivo nuevo. La medida, aunque no infalible, reduce de forma considerable el riesgo de que terceros puedan hacerse con el control del perfil.

La opción se encuentra dentro del menú de ajustes de la aplicación. Al acceder al apartado de “Contraseña y seguridad” del Centro de cuentas, es posible seleccionar entre varios métodos de verificación. Los más habituales son el envío de códigos por mensaje de texto o el uso de una aplicación externa especializada. Esta última alternativa es considerada más segura, ya que evita la exposición a posibles interceptaciones por SMS. También se contempla la posibilidad de emplear una llave física de seguridad compatible con el dispositivo.

Una vez elegida la opción preferida, la plataforma solicita al usuario que complete el proceso de configuración. En el caso de la aplicación, se debe escanear un código o introducir una clave generada por Instagram, que se añade al servicio externo para que empiece a generar códigos temporales. La propia red social facilita una serie de claves de recuperación, útiles si se pierde el acceso al dispositivo habitual. Estas deben conservarse en un lugar seguro.

Además, es recomendable revisar periódicamente los dispositivos que tienen acceso permitido, así como las aplicaciones de terceros con conexión autorizada. Un control riguroso de estos aspectos puede evitar futuras brechas de seguridad. Si bien ningún sistema garantiza una protección total, la autenticación en dos pasos se ha consolidado como una herramienta disuasoria frente a la mayoría de intentos de intrusión.

La Junta de Castilla y León ha asegurado que el posible responsable del hackeo del portal educativo podría ser un alumno que accedió al sistema de forma no autorizada con la clave de un profesor. Según ha señalado el portavoz del Ejecutivo autonómico, Carlos Fernández Carriedo, ya han puesto en conocimiento a la Guardia Civil los hechos y serán ellos quienes investiguen el calado de la vulneración de datos.

Fernández Carriedo ha matizado que no consta que este estudiante haya hecho un “uso indebido” de los millones de datos a los que podría haber accedido con las clave. “Está siendo objeto de investigación. Dejemos que se investigue y lo hagan con la discreción que precisen”, ha apuntado el portavoz.

El consejero ha defendido la labora de la Junta al ubicar el acceso no autorizado y dar traslado a los Cuerpos y Fuerzas de Seguridad del Estado. En total más de un millón de registros personales de alumnos y de miembros de sus familias en Castilla y León fueron robados por el ciberataque perpetrado a finales del pasado mes de mayo.

Desde el Ejecutivo autonómico han negado este ataque hasta ahora. La consejera de Educación, Rocío Lucas (PP), señalaba a preguntas de los periodistas que no había “ni rastro de ningún hackeo”. En ese momento había “normalidad”, ahora, tras reconocer la Consejería la vulneración, los datos que pudieron ser sustraídos “pueden ser, potencialmente, empleados para cometer suplantación de identidad mediante correos electrónicos, llamadas telefónicas no deseadas o correos con intención comercial”.

Los datos a los que podrían haber accedido los hackers son los datos personales del alumnado y de sus progenitores o tutores, como DNI, fecha de nacimiento, nacionalidad, dirección, teléfono o correo electrónico. Con la confirmación de la investigación policial de los hechos, Lucas ha pasado de acusar de generar “una alarma innecesaria” a que se haya tenido constancia de “algún intento de acceso no autorizado” con el correspondiente traslado a la Agencia de Protección de Datos y a la Guardia Civil.

El PSOE pide explicaciones “urgentes” a la consejera

El Partido Socialista ha exigido en las Cortes de Castilla y León que la consejera de Educación, Rocío Lucas, ofrezca explicaciones “urgentes” en el parlamento tras reconocer el ciberataque a la web de Educación que negó la propia consejera el pasado 10 de junio en el Pleno de las Cortes. El grupo parlamentario socialista ha presentado una solicitud de comparecencia para que informe “cuanto antes” y valore el ciberataque sufrido en el sistema informático.

El portavoz socialista de Educación, Fernando Pablos, ha señalado que con el reconocimiento del ciberataque que ha puesto  en peligro  datos  personales de profesorado, estudiantes y sus familias, “la consejera de Educación  también está  reconociendo   que  mintió ante el Pleno de las Cortes”. “Estamos ante un hecho de doble gravedad ante el que la consejera debe dar explicaciones inmediatas o bien en la comisión de Educación, si se habilita el mes de julio, o bien ante la Diputación Permanente”, ha advertido.

El PSOE señala dos posibilidades, “dar explicaciones con transparencia o dimitir”. “Es muy grave la obtención ilícita de miles de personas de la comunidad e igual de grave es que sabiéndolo, la consejera mintiese en la sesión plenaria del parlamento, donde llegó a afirmar que el ciberataque no se había producido”, ha reiterado el portavoz socialista.

Se conoce como doxxeo y es un ataque habitual entre ciberdelincuentes. Consiste en publicar datos personales de rivales y enemigos, rompiendo su anonimato para exponerlos a represalias de otras bandas, acoso o ante la policía. Desde la semana pasada, al menos nueve ministros, diversos políticos y periodistas principalmente del entorno progresista, así como implicados en el caso Koldo, han sido víctimas de este tipo de ataque.

La información de los afectados está siendo publicada en una conocida plataforma que los hackers utilizan habitualmente para estos doxxeos. Sus direcciones, nombres completos, teléfonos y correos electrónicos aparecen ahora junto a los de otros ajustes de cuentas entre hackers. En algunos casos, también se han difundido sus números de DNI, así como la marca, el modelo y la matrícula de sus vehículos.

Entre las víctimas figuran las vicepresidentas María Jesús Montero y Yolanda Díaz, los ministros Fernando Grande-Marlaska, Óscar Puente, Luis Planas, Diana Morant, Ana Redondo, Elma Saiz y Félix Bolaños. También la presidenta del Congreso, Francina Armengol, y el presidente de la Generalitat de Catalunya, Salvador Illa. Los exministros del PP María Dolores de Cospedal, Ana Pastor y Rafael Catalá también han resultado afectados, así como Pablo Iglesias e Irene Montero, de Podemos. Otras figuras políticas de la izquierda como Mónica Oltra, Antonio Maíllo y Cayo Lara aparecen en las filtraciones. Los datos de Santos Cerdán y José Luis Ábalos han sido asimismo publicados.

“Un poco de info de estos políticos de mierda, ultraizquierdas y corruptos”, escribe el autor de la publicación. Los ataques también han alcanzado a periodistas, entre ellos el director de este medio, Ignacio Escolar, y otros como Silvia Intxaurrondo, Jordi Évole, Jesús Cintora, Antonio Maestre, Susanna Griso o Sonsoles Ónega. También a presentadores como David Broncano o El Gran Wyoming.

El más relevante de ellos fue en un canal de apoyo a Alvise Pérez, que contaba con más de 92.000 miembros en el momento de los hechos. Este espacio suele difundir noticias sobre el agitador ultra junto a proclamas de contenido xenófobo y mensajes contra el Gobierno y los medios. La elección de este canal no parece casual: conecta el ataque con un ecosistema digital donde se propagan discursos de extrema derecha y hostilidad hacia las figuras filtradas, en su mayoría vinculadas al entorno progresista.

La Audiencia Nacional ya investiga los hechos. Aunque los autores han utilizado seudónimos e intentado tapar su rastro, han dejado pistas a los especialistas. Por un lado, el hecho de que los datos incluidos en la filtración sean muy dispares entre los afectados lleva a pensar a los expertos consultados que provienen de fuentes diferentes. Esto, unido a que en ningún caso incluyen contraseñas u otra información relativa a plataformas o servicios específicos, apunta a que los datos provienen de fuentes públicas y brechas antiguas, no de un hackeo realizado para la ocasión.

“Parece que efectivamente es un tema de OSINT [Open Source Inteligence], de ir buscando todo lo que hay en fuentes abiertas por diversos sitios de Internet hasta acabar recopilando una ficha y poder publicarlo”, dice Rafael López, experto en ciberseguridad de la firma Check Point. “No se puede descartar nada al 100%, pero la teoría más plausible es que se ha realizado por personas dedicadas a este tipo de cosas, que con buenas herramientas de búsqueda y relaciones pueden acabar encontrando muchísimos datos, especialmente si son de personajes públicos”, añade.

La hipótesis coincide con la declaración de varias víctimas, que indican que la información está desactualizada. En otras ocasiones los datos incluyen erratas, lo que respaldaría una redacción manual de la filtración. Algo que no restaría gravedad a la acción, puesto que las leyes de privacidad también prohíben la elaboración y publicación de este tipo de fichas con información personal de las personas sin su permiso.

El especialista en ciberseguridad y redes de extrema derecha en Telegram, Marcelino Madrigal, comparte el diagnóstico de la recopilación de datos de fuentes abiertas. Además, añade una motivación: “Todo apunta a un encargo, a que alguien ha pagado por todo esto”, apunta: “Quienes lo están haciendo son gente que se dedica profesionalmente a tirar servidores de videojuegos como GTA V”.

Madrigal explica en conversación con este medio que este tipo de acciones son habitualmente contratadas por dueños de servidores rivales para sabotear los de su competencia y llevarse a los jugadores. Ese es el entorno en el que se suelen mover los principales sospechosos. “No vienen de las típicas guerras de cuentas de Twitter”, abunda Madrigal.

Confesión en directo

Uno de los autores se ha identificado como “Akkaspace” tanto en la plataforma de doxxeo en la que se ha publicado la información como en los grupos de Telegram donde se han difundido sus enlaces posteriormente. El presunto ciberdelincuente intervino el viernes en un canal de Twitch confesando los hechos.

Sin mostrar la cara, pero con una voz sin distorsionar que apunta a la de un hombre joven Akkaspace reconoce “estar un poco nervioso” por el impacto de sus acciones. “Me dedico al tema de la ciberdelincuencia, si se le puede llamar así”, dice en la entrevista con el streamer TomateKing, cuyo contenido suele centrarse en retransmisiones de GTA V. “Me han llegado a pagar 3.000 euros por tirar un servidor una semana”, sigue el hacker.

“Ahora mismo estoy centrado en una cosa, que son las bases de datos”, continúa: “Con un bot que tengo, con el que he sacado todo básicamente. Yo saco bases de datos, las indexo, y la gente, si compra el bot, haciendo una búsqueda de un nombre completo, un número de teléfono o un DNI, puede acceder a toda la información. Así es como he hecho lo de los políticos”. El streamer confirma sus palabras, señalando que el hacker pudo acceder a todos sus datos personales con solo saber su nombre.

El presunto ciberdelincuente niega, no obstante, que esté movido por sus inclinaciones políticas. “Ni soy nazi ni de extrema derecha ni mi compañero tampoco”, dice. “Simplemente, somos dos chavales que un día dijimos: ¿qué hacemos hoy? Y como se está destapando últimamente mucho el tema de la corrupción, ¿por qué no sacamos la información a esos políticos y la publicamos? Es un escarmiento”.

El “nacional socialista” argentino

Antes de la confesión de Akkaspace fue otro hacker el que reivindicó la autoría de los hechos Se trata de Gov.eth, un conocido hacker argentino vinculado a numerosos ciberataques contra medios y políticos en América Latina y Europa. Recientemente, este presunto ciberdelincuente ha reivindicado acciones similares contra Javier Milei y plataformas estatales argentinas, así como medios de comunicación.

Este hacker sí que ha hecho alusión a su ideología en el pasado, definiéndose como “nacional socialista”. También ha alabado a Hitler y Mussolini. En su ataque contra Milei, Gov.eth critico su relación con “los judíos”, afirmando que “le controlan”, como “a Donald Trump”. Según adelantó el viernes la Cadena SER, este individuo estuvo en un primer momento en la primera posición de la lista de sospechosos de la policía.

Gov.eth ya ha sido objeto de investigaciones tanto en Argentina como en España, y su actividad ha sido denunciada por diversas organizaciones de derechos digitales y medios de comunicación. Sin embargo, hasta ahora ha logrado eludir la acción de las autoridades, refugiado tras redes de anonimato y plataformas donde la moderación es escasa o inexistente. Su posible participación en este caso añadiría un nuevo episodio a una campaña de doxxeo sistemático contra objetivos políticos y mediáticos.

La Audiencia Nacional está investigando diversas filtraciones de datos personales realizadas en grupos de Telegram, donde se ha publicado información de nueve ministros, de la presidenta del Congreso, Francina Armengol; del presidente de la Generalitat Catalunya, Salvador Illa, de implicados en el caso Koldo, así como de varios políticos y periodistas, mayoritariamente del entorno progresista.

La primera se produjo el jueves y afectó a miembros del Gobierno como la vicepresidenta María Jesús Montero, los ministros Fernando Grande-Marlaska, Óscar Puente, Luis Planas, Diana Morant, Ana Redondo y Elma Saiz, y también exdirigentes del PP como María Dolores de Cospedal o Rafael Catalá, entre otros.

Una segunda brecha de seguridad que ya ha sido remitida a la Audiencia por la Policía se produjo la tarde del sábado y afecta a datos personales como DNI, móvil, dirección de correo e incluso domicilio de la vicepresidenta Yolanda Díaz, del ministro Félix Bolaños, Armengol, Illa, o la líder de Podemos, Ione Belarra, según confirman a EFE fuentes policiales.

Estas dos primeras filtraciones se produjeron en un canal de Telegram llamado “Chat sobre Alvise Pérez”, donde se comparten noticias y debates relacionados con las acciones del agitador de extrema derecha, así como proclamas xenófobas. En el grupo participa el propio Alvise, quien usa el grupo en ocasiones para difundir los contenidos que publica en sus canales oficiales. Cuenta con más de 95.000 miembros.

Entre los afectados también se encuentran periodistas, así como el exnúmero 3 del PSOE Santos Cerdán, el exministro José Luis Ábalos, su exasesor Koldo García y el empresario y presunto comisionista Víctor de Aldama, los cuatro investigados en el Tribunal Supremo por el denominado caso Koldo.

Se investiga también la difusión de datos personales de unos 300 militantes socialistas. El Portal de la Militancia del PSOE pasó unas horas fuera de servicio durante el fin de semana. Por el momento el juez de la Audiencia Nacional Francisco de Jorge mantiene la causa en secreto.

Sin embargo, según ha alertado en X el especialista en ciberseguridad y entornos de extrema derecha, Marcelino Madrigal, las filtraciones han continuado. El domingo se publicaron los datos de periodistas como Silvia Itxaurrondo, Jordi Évole, el director de este medio, Ignacio Escolar, Jesús Cintora, Antonio Maestre, Susana Griso o Sonsoles Ónega. También de presentadores como David Broncano o el Gran Wyoming.

Este lunes, la brecha se ha agrandado hasta incluir a políticos de Sumar, Compromís e Izquierda Unida, ha avisado Madrigal. La táctica empleada se conoce en el argot del cibercrimen como doxxeo, y consiste en la publicación y difusión de información personal de alguien sin su consentimiento, generalmente con el objetivo de que pueda ser acosado por otros usuarios de manera anónima.

En el mundo del cibercrimen hay que saber gestionar los fracasos, pero aún más los éxitos. La historia de Xanthorox, una herramienta de inteligencia artificial diseñada para cometer delitos que ganó tracción en los fondos de las redes españolas esta primavera, da buena prueba de ello. La vanidad de su creador a la hora de presumir de una herramienta que le estaba llenando los bolsillos de criptomonedas le llevó a revelar pequeños detalles sobre sus operaciones ante sus seguidores. Un error fatal, ya que esto permitió a los investigadores seguir esas pistas hasta terminar descifrando su identidad.

“Empezó a hacer mucho dinero, consiguió fama muy rápido y se le subió a la cabeza”, revela Alejandro Villanueva, analista de inteligencia de la firma de ciberseguridad española Zynap. Junto a su compañera Beatriz Pimenta, son los autores de la investigación que ha seguido el rastro de migas de pan dejadas por el creador de Xanthorox hasta su residencia personal en Bangladesh.

Xanthorox es lo que se conoce como una IA sin restricciones. Un modelo generativo como ChatGPT, pero sin los guardarraíles que impiden que estos sistemas se involucren en actividades ilegales. Una “nueva IA para hackers”, presumía su creador, perfeccionada para ser capaz de ayudar a ciberdelincuentes novatos a diseñar archivos maliciosos, gusanos o infecciones de ransomware, un tipo de ataque que secuestra los archivos informáticos de la víctima hasta que pague un rescate por recuperarlos.

El desarrollador de Xanthorox glosaba entre los “casos de éxito” de su sistema las infecciones de este tipo. “El primer ransomware generado por inteligencia artificial”, aseguraba, que permite “eludir todos los antivirus, con un cifrado potente y pesado diseñado para ser rápido, con una penetración profunda en el sistema y un bloqueo de archivos criptográficamente seguro, lo que hace que la recuperación sin la clave privada única del operador sea computacionalmente inviable”.

Estas explicaciones estaban disponibles en una página web accesible para todo el mundo, en anuncios publicados en foros de ciberdelincuentes, en un canal de Telegram público e incluso un canal de YouTube que explica como diseñar este tipo de ciberataques con la herramienta. Todo ello disponible para hackers novatos desde 200 dólares. La demanda aumentó y el hacker empezó a ser menos cuidadoso con la información que compartía.

Pero su éxito atrajo miradas indeseadas. La situación llamó la atención de algunos medios de comunicación, que recalcaron cómo esos 176 euros al cambio eran “todo lo que se necesita” para empezar una carrera como hacker. Cuando la televisión apareció en escena y denominó a Xanthorox como “el ChatGPT diabólico”, el hacker comprendió que todo había ido demasiado lejos.

Sin embargo, para entonces ya era tarde. Los expertos en ciberseguridad seguían de cerca la evolución de esta nueva amenaza. “Nosotros monitorizamos la darknet y habíamos visto sus anuncios en los foros. Pero cuando vimos que se empezaban a publicar informaciones tanto en medios nacionales como internacionales nos concentramos en investigar a esta persona”, indica Alejandro Villanueva.

Mucho calor en casa

Durante los meses que el creador de Xanthorox había hablado sin pudor en canales públicos sobre las capacidades de su herramienta, había ido dejando un rastro que ahora podía ser descifrado. Pistas como que “su casa se estaba calentando por todo el tráfico que generaba su IA”. Un “pecado cardinal” de la ciberseguridad, puesto que dejaba entrever que había instalado los servidores en su propio domicilio, poniendo una señal gigantesca sobre su ubicación real.

“La IP estaba geolocalizada en Bangladesh, el desarrollador había dejado expuesto inadvertidamente un router doméstico activo, probablemente el mismo router utilizado para alojar la infraestructura de la herramienta”, explican en el análisis de Zynap: “Sorprendentemente, estaba alojado directamente en una conexión residencial. Un puerto abierto en la misma IP nos llevó a un panel de acceso de un router tp-link residencial, anticuado y potencialmente vulnerable”.

No había sido su único error. El hacker había estado usando un puñado muy pequeño de alias tanto en plataformas criminales como personales, como YouTube, Reddit, Minecraft o juegos de ajedrez. “Aunque parezca inofensivo, la reutilización de un nombre de usuario en entornos delictivos y personales creó un solapamiento involuntario, pero rastreable”, detallan los investigadores.

Una identidad al descubierto

A partir de ahí, el dominó empezó a caer. El rastro terminó por revelar una identidad real: un estudiante de ingeniería informática bangladesí de 23 años, activo desde hacía al menos dos años en distintos foros de venta de malware y ciberataques por encargo. El perfil coincide con las pruebas sobre él que habían podido conseguir los investigadores. A pesar de tener “rodaje”, sus errores eran los de un “novato”, declara Villanueva.

Sintiéndose acorralado, el creador de Xanthorox decidió bajar la persiana. Echó el cerrojo al canal de Telegram, eliminó los anuncios y cambió su página web para asegurar que su IA es solo un experimento educativo. Sobre la criptomoneda con la que estaba rentabilizando su creación, dijo que no era suya.

“Hemos tenido conocimiento de que circulan acusaciones infundadas y desinformación sobre Xanthorox AI, incluyendo afirmaciones falsas de participación en actividades ilícitas como phishing bancario o la implementación no autorizada de ransomware. Negamos categóricamente estas acusaciones”, dice ahora el portal, que asegura que sus “funciones de detección automatizada supervisarán los intentos de generar contenido dañino o ilegal. A cualquier usuario que intente causar daño o participar en actividades ilegales se le revocará la licencia de forma inmediata y permanente”.

“Está intentando cubrirse las espaldas a nivel legal”, detalla Villanueva. Es poco probable que le sirva de algo. “Su modus operandi era el típico de los ciberdelincuentes: cobro con cripto, me publicito solo en canales de dudosa reputación y presumo de los ataques de ransomware”.

Una “anécdota” que marca el futuro del cibercrimen

Aunque la investigación ha servido para parar los pies a una herramienta de hacking que estaba ganado tracción en España, Villanueva la considera más una “anécdota” por la poca sofisticación del atacante. Sin embargo, se trata de un aviso sobre lo que está por llegar.

El hacker utilizó herramientas de código abierto para construir Xanthorox. Esto significa que “cualquiera puede montar algo así con muy pocos conocimientos”, lo que a su vez puede producir una proliferación de las amenazas gracias a las menores barreras técnicas de entrada. “Van a aparecer tantos que desde el punto de vista de la ciberseguridad, no va a quedar otra opción que utilizar estas mismas herramientas y ponerse al día con todo esto”, concluye.

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 3,2 millones de euros a Carrefour por múltiples infracciones graves relacionadas con la seguridad y el manejo de los datos personales de sus clientes. La sanción llega una investigación que ha revelado fallos significativos en la protección de información sensible, que se vio comprometida hasta por seis ciberataques sufridos por la cadena en 2023. Estos afectaron a un total de 118.954 personas.

La técnica utilizada por los ciberdelincuentes fue el “credential stuffing”, un tipo de ataque que, en lugar de intentar desentrañar las contraseñas de los usuarios con fuerza bruta informática, se basa en el uso automatizado de combinaciones de correos electrónicos y contraseñas previamente filtradas en otras brechas de seguridad. Los atacantes prueban estas credenciales en masa en distintos servicios, confiando en que muchos usuarios reutilizan las mismas contraseñas en múltiples plataformas.

En el caso de Carrefour, esta práctica permitió repetidos accesos no autorizados a cuentas de clientes, exponiendo sus datos personales. Los paquetes de información robada difirieron en cada una de las brechas, incluyendo desde referencias que permiten la identificación de los usuarios (nombre, apellidos, correo electrónico, teléfono de contacto, DNI o NIE, dirección postal y fecha de nacimiento) hasta datos económicos o financieros (aunque sin medios de pago directos) credenciales de acceso a sus servicios, como usuario y contraseña.

Durante la investigación, Carrefour argumentó que el número de cuentas donde se confirmó la validez de credenciales (118.895) no implica un acceso a datos personales en todos los casos. La cadena francesa asegura que la afectación real a la integridad de las cuentas solo fue de 234 casos y a la confidencialidad de 973 casos. No obstante, la AEPD ha rechazado este argumento, afirmando que el acceso exitoso a las contraseñas ya implica un alto riesgo y una pérdida de control sobre los datos de las 118.895 cuentas de cliente afectadas.

La cuantía de la multa deriva de tres infracciones de la normativa de privacidad. Por un lado, por una violación “muy grave” del principio de integridad y confidencialidad de los datos, por el que la Agencia multa a Carrefour con dos millones de euros; a la que se suma otra calificada como “grave” por no establecer las correctas medidas de seguridad para evitar estos ciberataques, sancionada con otro millón de euros. Por último, el regulador establece una tercera sanción “leve” por no comunicar correctamente lo sucedido a los afectados, de 200.000 euros.

La AEPD destaca varias deficiencias por parte de Carrefour durante la investigación, que a juicio del regulador justifican la sanción. Por ejemplo, que la empresa no implementó la medida de seguridad del doble factor de autentificación (confirmación de identificación a través de un método adicional a la contraseña) hasta después de la quinta brecha. Además, sus sistemas permitían la consulta masiva de información desde direcciones IP distintas sin detectarlo como una anomalía.

elDiario.es se ha puesto en contacto con Carrefour para incluir su posición en esta información y preguntar si planea recurrir la sanción ante la Audiencia Nacional, pero todavía no ha recibido respuesta. La cadena, no obstante, no ha ejercido la posibilidad de reducir un 20% la cuantía de la sanción por asunción de responsabilidad, ni el 20% adicional por pronto pago.

Riesgo de suplantaciones

El tipo de datos robados a Carrefour son la materia prima que los ciberdelincuentes utilizan para realizar ataques de suplantación de identidad. En ellos, se hacen pasar por empresas como Carrefour u otras instituciones intentando ganarse la confianza de la víctima haciéndole ver que conocen sus datos y situación personal. Una de sus técnicas más utilizadas es inducir una situación de urgencia, en la que el objetivo debe realizar algún tipo de acción con rapidez para evitar un problema o situación negativa.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.