El Ministerio para la Transformación Digital ha aprobado una orden ministerial que impide realizar cualquier comunicación comercial telefónica a través de números que no comiencen por el prefijo 400. La medida, que forma parte del Plan Antiestafas, fija octubre como fecha límite para que las operadoras bloqueen cualquier intento de contacto publicitario que no utilice esta nueva numeración.

“En el día de hoy hemos publicado en el BOE una instrucción que va a obligar a que todas las operadoras telefónicas obliguen a todas las empresas a hacer las llamadas comerciales, siempre con un número 400”, ha detallado el ministro Óscar López este martes en un evento de AMETIC, la patronal tecnológica. “Esta medida entrará en vigor a partir de octubre y por lo tanto, todos los ciudadanos que sepan que a partir de octubre solo podrán recibir llamadas comerciales que entren de un número 400 y el resto serán bloqueadas”.

Los nuevos números 400 serán unidireccionales. Esto significa que los ciudadanos podrán recibir la comunicación, pero el sistema les impedirá devolver la llamada a ese mismo número. Con esta restricción, el Gobierno busca neutralizar las estafas de rellamada, en las que los ciberdelincuentes intentan que la víctima contacte con números de tarificación especial dejándole un gancho en un primer contacto.

Además de la imposición del nuevo prefijo, las operadoras de telecomunicaciones también deberán permitir que sus clientes restrinjan totalmente cualquier contacto comercial vinculado a los números 400.

Registro de nombres contra el fraude por SMS

El paquete de medidas también incluye la mensajería móvil. Con el objetivo de frenar las suplantaciones de identidad de empresas e instituciones a través de SMS, la Comisión Nacional de los Mercados y la Competencia (CNMC) creará un registro oficial donde todos los organismos deberán inscribir los códigos alfanuméricos que utilizan como remitentes.

“A partir de junio, se acabaron los SMS suplantando la personalidad de compañías”, ha afirmado López, señalando que el objetivo es conseguir que “solamente las empresas y las entidades que estén en ese registro de la CNMC podrán hacer esos envíos masivos”. A partir del 7 de junio, las operadoras tienen la orden de bloquear cualquier mensaje cuyo remitente no figure en esta base de datos verificada.

Estas medidas se suman a un protocolo previo que, desde marzo de 2025, prohíbe el uso de numeración móvil para servicios de atención al cliente, obligando al uso de números cortos, fijos locales o rangos gratuitos (800 y 900).

El ministro ha defendido que esas primeras medidas han servico para frenar millones de contactos publicitarios y estafas. “Con las medidas que hemos puesto hasta ahora, hemos conseguido bloquear ya 192 millones de llamadas y 17 millones de SMS”. Según datos del sector, compañías como Telefónica interceptan actualmente cerca de 500.000 llamadas fraudulentas cada día antes de que lleguen al terminal del usuario final.

La nueva normativa se aplicará a todas las compañías, con la única excepción de las pequeñas operadoras de luz, gas y teléfono que posean menos de un 5% de cuota de mercado, cuenten con menos de 250 trabajadores o facturen menos de 50 millones de euros anuales. En caso de incumplimiento tras la entrada en vigor, los ciudadanos podrán denunciar directamente ante la Oficina de Atención al Usuario de Telecomunicaciones (OAUT) o la CNMC.

La cadena de gimnasios Basic-Fit ha sufrido un robo de la información que afecta a aproximadamente un millón de sus socios en Europa. Entre los afectados hay clientes de sus gimnasios en España, Francia, Alemania y Países Bajos. Los datos sustraídos incluyen nombres y apellidos, direcciones, correos electrónicos, números de teléfono, fechas de nacimiento, números de cuenta bancaria e información sobre su membresía y consumo, según ha informado Basic-Fit a las víctimas a través de correo electrónico.

“Concretamente, incluye el tipo de membresía, el saldo de pagos, el número de pase de Basic-Fit, un identificador interno, los horarios y clubs de tus visitas recientes”, desglosa la empresa sobre este último punto. Los ciberdelincuentes también han accedido al tipo de dispositivo que los socios utilizaron para validar esas últimas visitas, como por ejemplo la marca del teléfono. Las contraseñas del servicio no se han visto afectadas, según la comunicación.

El acceso a los datos se produjo el pasado 8 de abril en el sistema encargado de registrar las visitas de los socios a los centros deportivos. El operador, que presta servicio a más de 4,5 millones de clientes en seis países europeos, ha detallado que sus herramientas de monitorización detectaron la intrusión y bloquearon el acceso. El sistema que gestiona su modelo de franquicias en otros países europeos opera de manera independiente y no se ha visto afectado por la filtración.

“Los hackers encontraron una vulnerabilidad en la seguridad de nuestro sistema”, ha explicado un portavoz de Basic-Fit a elDiario.es. “La solucionamos minutos después de detectar la brecha. Lamentablemente, la seguridad 100% no existe, tal y como confirma el NCSC (la agencia nacional de ciberseguridad del Reino Unido), que aconseja a las empresas que trabajen en su resiliencia”, añaden las mismas fuentes: “Los hackers no se han puesto en contacto con nosotros y, por lo que sabemos, los datos no se han publicado en ningún lugar”.

Ataques de suplantación de identidad

La empresa comunica a los afectados que no es “necesario” que tomen “ninguna medida inmediata”. No obstante, avisa que deben tener “cuidado con los posibles intentos de phishing”, una modalidad de ataque en la que los ciberdelincuentes suplantan la identidad de empresas e instituciones para ganarse la confianza de las víctimas y robar sus datos financieros o su dinero.

La acumulación de datos personales como las sustraídas en este tipo de incidentes, como cuentas bancarias, números de teléfono y fechas de nacimiento, facilita el diseño de los ganchos para engañar al objetivo. Los ciberdelincuentes utilizan detalles específicos como nombres completos o registros de actividad para generar un “sesgo de autoridad” y una sensación de urgencia que impida que sospeche de la interacción.

Además, el volumen de información filtrada permite la profesionalización de las estafas mediante centros de llamadas, donde los datos son vendidos a terceros o empleados para cometer fraudes financieros posteriores.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

Recibir llamadas desde números desconocidos forman parte de la rutina diaria de muchas personas, pero en algunos casos esconden intentos de fraude. En los últimos años, este tipo de estafas se ha extendido aprovechando la facilidad con la que se puede contactar con cualquier persona a través del teléfono móvil. Los delincuentes utilizan estrategias cada vez más elaboradas para generar confianza, desde aparentar ser una empresa conocida hasta simular situaciones urgentes que requieren una respuesta inmediata.

El problema no está solo en la llamada en sí, sino en cómo se gestiona ese primer contacto. En muchos casos, la persona que recibe la comunicación no dispone de tiempo para comprobar la información y actúa de forma rápida ante la presión. Ese margen reducido de reacción es precisamente lo que buscan quienes están detrás de este tipo de engaños, ya que facilita que se compartan datos personales o bancarios sin verificar previamente su uso.

Para intentar reducir este riesgo, la Policía Nacional ha reforzado sus mensajes de prevención con recomendaciones concretas que pueden aplicarse en el día a día. Entre ellas destaca el método LAP, una pauta sencilla que propone analizar cada llamada en tres pasos antes de decidir cómo actuar. Su objetivo es introducir un filtro básico que permita identificar señales de alerta y evitar decisiones impulsivas ante contactos inesperados.

Método LAP: cómo aplicarlo paso a paso

El método LAP se basa en tres acciones: localizar, autor y propósito. Estas fases permiten evaluar una llamada desde distintos ángulos antes de decidir cómo actuar.

Paso 1. Localización

El primer paso, localización, consiste en revisar el número que aparece en pantalla antes de responder. La recomendación es fijarse especialmente en el prefijo. En España, los números nacionales comienzan por +34, por lo que cualquier llamada con un prefijo distinto puede ser motivo de precaución si no se espera contacto desde el extranjero. Los intentos de fraude suelen utilizar numeraciones internacionales o combinaciones que imitan teléfonos locales para generar confianza. Por ello, si no existe relación con el país de origen o no se espera ninguna llamada, lo más prudente es no responder.

Paso 2: Autoría

El segundo paso, autor, se aplica en caso de haber contestado. En este punto, la clave es comprobar quién está al otro lado de la línea. Para hacerlo, se puede pedir algún dato que permita confirmar la identidad del interlocutor. Si la persona no puede acreditar quién es o afirma representar a una entidad con la que no existe relación, la recomendación es finalizar la llamada. Esta verificación resulta especialmente relevante en un contexto en el que la suplantación de identidad es una técnica frecuente.

Paso 3: Propósito

El tercer paso, propósito, se centra en entender el motivo de la llamada. Aquí se evalúa qué tipo de información solicita el interlocutor y con qué objetivo. Una señal clara de alerta es la petición de datos personales, bancarios o cualquier información sensible. También lo es la insistencia en obtener una respuesta inmediata. En estos casos, las indicaciones son claras: no facilitar datos, mantener la calma y colgar cuanto antes. Tras ello, se recomienda bloquear el número para evitar nuevos intentos de contacto.

Recomendaciones adicionales ante llamadas sospechosas

Una de las pautas más repetidas por las autoridades es evitar reaccionar con prisa. Muchas de estas llamadas están diseñadas para generar sensación de urgencia, lo que reduce la capacidad de análisis. Ante este tipo de situaciones, se recomienda detenerse unos segundos, escuchar con atención y no tomar decisiones inmediatas. Esa pausa puede ser suficiente para detectar incoherencias o elementos sospechosos en el mensaje.

También se insiste en no facilitar información personal en llamadas que no han sido iniciadas por el propio usuario. Datos como contraseñas, códigos de verificación o información bancaria no deben compartirse en este tipo de comunicaciones. Si durante la conversación se solicita alguno de estos elementos, la recomendación es interrumpirla. Este tipo de peticiones se considera un indicio claro de intento de fraude.

Otra medida importante es comprobar la información por vías independientes. Esto implica no dar por válida la llamada sin contrastar previamente el contenido. En caso de duda, lo más recomendable es colgar y contactar directamente con la entidad correspondiente utilizando sus canales oficiales. Este paso permite confirmar si la comunicación es legítima sin exponerse a posibles engaños.

Por último, se aconseja utilizar las herramientas disponibles en el teléfono para reforzar la protección. Bloquear números sospechosos puede evitar nuevas llamadas, y algunas funciones permiten identificar contactos potencialmente peligrosos. Aun así, estas opciones deben entenderse como un complemento, ya que la clave sigue siendo mantener una actitud prudente y aplicar criterios de verificación en cada caso.

Tanto el método LAP como estas recomendaciones buscan ofrecer una respuesta práctica ante un problema que forma parte del uso cotidiano del teléfono. La combinación de revisión del número, comprobación de la identidad y análisis del motivo de la llamada permite reducir de forma significativa el riesgo de caer en una estafa.

Booking ha notificado a sus usuarios una brecha de seguridad que ha permitido el robo de información personal vinculada a sus reservas. En un correo enviado a los afectados, la compañía ha confirmado que los datos expuestos incluyen nombres, correos electrónicos, números de teléfono y cualquier detalle que el cliente haya compartido directamente con el alojamiento.

En una primera comunicación, la plataforma ha informado a las víctimas de que sus direcciones físicas también se habían filtrado. No obstante, Booking ha explicado posteriormente a elDiario.es que se trataba de un error en la redacción del aviso que esos datos no se han visto afectados. Este medio ha preguntado a la empresa por el número de afectados y la vía en que los ciberdelincuentes se han hecho con la información, pero esta no ha contestado a las preguntas.

En su respuesta a elDiario.es, Booking reitera lo comunicado a las víctimas: tras detectar “actividad sospechosa”, Booking ha actualizado los números de PIN de las reservas afectadas e instado a sus clientes a mantener la alerta ante posibles correos, llamadas o mensajes de WhatsApp sospechosos.

En este sentido, la empresa recuerda que nunca solicita datos de tarjetas de crédito o transferencias bancarias fuera de los canales oficiales de pago de su plataforma. “Si has recibido algún correo electrónico o alguna llamada telefónica sospechosa, podría provenir de personas con malas intenciones que se hacen pasar por el alojamiento o por Booking”, avisa a los afectados.

Este robo se produce en un contexto de aumento de los ataques de suplantación de identidad que utilizan a los hoteles como gancho. Los ciberdelincuentes se hacen pasar por los establecimientos para contactar con clientes que van a hospedarse en ellos de manera inminente para anunciarles problemas en su reserva o cambios de última hora. Su objetivo es que, movidos por la urgencia, realicen pagos o revelen sus datos financieros a los estafadores.

La Agencia Española de Protección de Datos (AEPD) ya ha sancionado a diversos hoteles por este motivo. Otra de sus tácticas es atacar a los propios empleados del alojamiento, enviando enlaces maliciosos a los empleados del establecimiento para infectar sus equipos y obtener las claves de acceso a Booking. Una vez dentro del sistema, envían mensajes a los futuros huéspedes alegando problemas con el pago o la tarjeta para redirigirlos a páginas fraudulentas donde capturan sus datos bancarios.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

Bankinter ha tenido que asumir la responsabilidad de una de las mayores brechas de seguridad de la banca digital reciente tras la absorción de EVO Banco. La Agencia Española de Protección de Datos (AEPD) ha impuesto a la entidad una multa de 400.000 euros como responsable última del agujero originado en EVO, aunque ha aceptado como atenuante el hecho que este se produjo con anterioridad a la fusión. Tras asumir la responsabilidad y acogerse al pago voluntario, la cuantía final ha sido de 240.000 euros.

La causa de la brecha fue un “error manual” de configuración durante un proceso de migración de software, según ha reconocido Bankinter. El fallo permitía realizar consultas masivas a la base de datos sin necesidad de credenciales válidas, algo que los sistemas de validación de la entidad no detectaron porque solo comprobaban que los datos se entregaran correctamente, pero no quién los solicitaba.

El agujero estuvo abierto desde febrero a abril de 2024. En marzo del mismo año, un ciberdelincuente descubrió la vulnerabilidad y durante cuatro días realizó hasta cinco millones de peticiones de datos. Más de 1,2 millones de esas consultas resultaron exitosas. No obstante, el informe pericial independiente citado en la resolución de la AEPD recoge que no existen pruebas de que el atacante pudiera exportar toda la información proporcionada por el sistema.

Esas fichas personales incluían números de cuenta IBAN, declaraciones de IVA del último ejercicio, ingresos mensuales, situación laboral y años trabajados de los afectados. La AEPD alerta en su resolución que esta combinación de datos permite construir un perfil “completo y detallado” de un individuo, lo que dispara las posibilidades de que sean víctimas de intentos de fraude o suplantaciones de identidad.

Sin embargo, los ciberdelincuentes no se detuvieron ahí. En una maniobra típica de estos grupos cuando tienen acceso a una brecha de alta gravedad, lanzaron una campaña de extorsión contra varios empleados del banco. Primero, publicaron los datos de 10 víctimas en un portal de la dark net como prueba de su ataque. Después, exigieron un pago a los responsables para retirar la información, entre ellos el jefe de ciberseguridad de EVO.

Al no obtener el dinero, los ciberdelincuentes cumplieron su amenaza y publicaron más paquetes de información de afectados, que incluían perfiles personales detallados de 958 clientes y cuatro trabajadores del banco.

En su resolución, la AEPD critica que la entidad careciera de medidas de cifrado o anonimizado adecuadas para este tipo de datos, lo que permitió que la información fuera visible para cualquiera que lograra acceso. “Los afectados confían en la entidad para el manejo seguro de su información personal, habiéndose erosionado la confianza y expectativas razonables de los afectados respecto al tratamiento de sus datos personales”, señala la Agencia.

Bankinter adquirió EVO Banco en 2019, pero ambas entidades continuaron operando como filiales separadas. El anuncio de la fusión definitiva llegó en abril de 2024, unas semanas después de que se produjera la brecha de seguridad ahora sancionada. La integración definitiva de los dos bancos concluyó el 14 de julio de 2025, fecha en la que EVO desapareció como entidad independiente y Bankinter asumió tanto la cartera de clientes como las responsabilidades legales derivadas de la gestión anterior.

Que lleve inteligencia artificial, ande o no ande. Lo que, traducido al lenguaje técnico, equivale a incorporar este tipo de herramientas aun sin entender del todo su impacto y si son totalmente seguras. Esta sensación, que recorre desde hace meses los departamentos de IT de las empresas, es la que ha aflorado en la primera encuesta a gran escala a los responsables de esas unidades: hasta un 58% de ellos siente una fuerte presión interna por parte de sus organizaciones para acelerar la implementación de IA, viéndose empujados a ello incluso contra su propio criterio y con incógnitas sobre sus riesgos.

Es una de las conclusiones de un estudio global de Trend Micro, una multinacional japonesa de servicios de ciberseguridad, realizado entre más de 3.000 directivos y responsables de departamentos de IT. “Parece haber un miedo inconsciente a quedarse atrás si no implementas IA rápidamente. Está en las noticias todos los días, sobre distintos temas. Los ejecutivos son muy conscientes de ello y piensan que deben adoptarla, pero se está haciendo a una velocidad que impide la visibilidad y supervisión necesarias”, ha explicado Jonathan Lee, director de Estrategia de la firma, durante un encuentro con medios europeos al que ha asistido elDiario.es.

El informe ha denominado a este punto ciego “la IA en las sombras”. Actualmente, casi un tercio de las organizaciones (el 32%) admite tener “poca o ninguna visibilidad” sobre qué sistemas de inteligencia artificial se están ejecutando en sus redes o a qué datos tienen acceso. Es una situación que repercute directamente en la ciberseguridad, ya que las empresas estiman que solo logran identificar entre el 21% y el 40% de las brechas de seguridad asociadas a la IA, por lo que la mayor parte de estas vulnerabilidades podrían estar siendo explotadas sin el conocimiento de los equipos de defensa.

“La IA se usa sin comprender que está en la organización”, expone Vladímir Kropotov, investigador principal de la firma japonesa. El experto detalla que su integración en productos de uso diario, como la mensajería o el correo electrónico “no solo está mejorando la productividad, sino también expandiendo la superficie de ataque de las organizaciones”. “Me recuerda a las primeras etapas de la nube, cuando todo se subía sin control, pero esta vez es aún peor, porque la IA es capaz de entender nuestro lenguaje nativo y está integrada en muchos productos”.

Agujeros de IA en Amazon...

Las consecuencias prácticas de la situación que dibuja el estudio de Trend Micro ya están aflorando en algunas organizaciones. Principalmente, en las grandes tecnológicas, que son las que más fuerte han apostado por la automatización de una tecnología que ellas mismas están desarrollando.

Así ha sido el caso de Amazon. Según varias fuentes revelaron al Financial Times, la multinacional ha tenido al menos dos incidentes relacionados con el código generado por la IA en los últimos meses. Uno de ellos habría afectado a AWS, su división de computación en la nube y alojamiento web, produciendo problemas en el servicio durante varias horas. El otro, a su plataforma de comercio electrónico.

Según ha reportado el medio británico, en el primer caso la IA de la multinacional, denominada Kiro, habría decidido reconstruir por completo un sistema entero para solventar un fallo que podría haberse corregido con una intervención humana más quirúrgica. Fue como “derribar una pared entera para arreglar un grifo que gotea”, han explicado fuentes técnicas.

Amazon ha publicado dos comunicados para rectificar las publicaciones del Financial Times. “Solo uno de los incidentes recientes tuvo que ver de alguna manera con herramientas de IA”, asegura la compañía. Sin embargo, no habría sido a consecuencia del código informático producido automáticamente con esta tecnología, sino que “se debió a que un ingeniero siguió un consejo erróneo que una herramienta de IA extrajo de una wiki interna desactualizada”.

El incidente se debió a que un ingeniero siguió un consejo erróneo que una herramienta de IA extrajo de una wiki interna desactualizada

Amazon

“Hemos abordado el problema y actualizado las directrices internas para ayudar a prevenir problemas similares en el futuro”, insiste Amazon, que recalca que el fallo producido a consecuencia de ese error fue muy localizado y no produjo grandes interrupciones del servicio. También niega que se haya retirado el permiso para implementar código con IA a los desarrolladores junior a raíz de estos incidentes: “Es falso”.

Sin embargo, el Financial Times no ha sido el único en sacar a la luz está situación. Según ha revelado The Guardian, los directivos de Amazon tienen encima de la mesa una carta firmada por más de 1.000 empleados en la que expresan su preocupación por el “despliegue agresivo” de herramientas de IA de la multinacional. Varios de ellos denunciaron en declaraciones directas al citado medio que la imposición de usar IA estaba ralentizando su trabajo, generando código defectuoso que son ellos quienes deben corregir.

“Ni yo ni muchos de mis compañeros creemos que esto nos haga mucho más rápidos. Pero desde la dirección sí estamos recibiendo el mensaje de que tenemos que ir más rápido, de que esto nos hará ir más rápido, y de que la velocidad es la prioridad número uno”, explicó una ingeniera que fue despedida una semana después de hablar con el medio británico.

... y otro en Meta

Un error como el que Amazon reconoce, con un asistente de IA para empleados que se equivocó al dar instrucciones a un trabajador, es el que provocó una grave brecha de seguridad en Meta. En este incidente, un empleado solicitó orientación para resolver un problema en un foro interno e implementó directamente la solución que le proporcionó el agente de IA. El resultado fue que una gran cantidad de datos confidenciales de usuarios y de la propia empresa quedara expuesta a otros ingenieros durante dos horas, lo que desató una importante alerta de seguridad interna.

El evento, ocurrido en febrero, salió a la luz por una filtración a The Information, un medio especializado en la cobertura de Silicon Valley. Un portavoz de Meta expresó que el hecho de que el fallo activara la alarma interna y se corrigiera en poco tiempo es una señal de sus altos estándares de seguridad. “En ningún momento se hizo un mal uso de los datos de los usuarios”, enfatizan las mismas fuentes.

Sin embargo, los especialistas en ciberseguridad apuntan que se trata de un fallo previsible por parte de la IA, que carece del contexto implícito sobre qué tipo de acciones podrían exponer datos en etapas posteriores del proceso de desarrollo.

Un “botón de apagado” que no es la solución

Este tipo de brechas no son exclusivas de las grandes tecnológicas. Un informe de GitGuardian, una firma de ciberseguridad francesa especializada en la investigación de filtraciones de contraseñas y credenciales, ha revelado que en 2025 se filtraron un 34% más de ellas que en 2024. Algo que relaciona directamente con “el rápido auge de la programación asistida por IA” y el hecho de que ahora sea una actividad que pueden realizar trabajadores no especializados.

“Hemos entrado en una era en la que la programación ya no es un ámbito exclusivo de los ingenieros”, recalcan los investigadores de esta firma. Al igual que los de Trend Micro, expresan que esto ha aumentado notablemente la superficie de ataque de las organizaciones. “La velocidad de creación está superando la madurez de la identidad. La IA acelera este problema. Facilita la estructuración de proyectos y la conexión de servicios, pero también hace más fácil reproducir patrones inseguros a gran escala”.

Ante esta situación, el instinto de muchas empresas es buscar una salida de emergencia. El estudio de Trend Micro revela que el 68% de las organizaciones considera indispensable que la IA incluya un “botón de apagado” para detener su actividad en caso de detectar riesgos o comportamientos anómalos. Sin embargo, apenas un 29% cuenta con ese tipo de opción.

Con todo, los expertos de Trend Micro avisan de que tal mecanismo solo crea una falsa sensación de seguridad. “No sería un botón de apagado para la IA, sería un botón de apagado para tu negocio”, avanza Vladímir Kropotov. La integración ya es tan profunda que desconectar esta tecnología ya solo podría producir un fallo en cadena en muchas organizaciones. Al contrario, el investigador recomienda que nunca se le concedan más permisos que el de ser “un piloto automático avanzado”, siempre bajo la estricta supervisión humana.

Suena el teléfono de la oficina. El departamento de soporte técnico se pone en contacto para hacer una actualización del software, por lo que pide al trabajador que descargue un parche de seguridad del correo que le acaba de enviar. La persona tiene un correo electrónico corporativo, conoce todos los detalles de la operativa interna y es capaz de guiar al empleado por la actualización. Una vez completada, se despide y cuelga. La empresa acaba de sufrir un ataque y ahora un grupo de ciberdelincuentes tiene pleno acceso a sus sistemas.

La era de los correos electrónicos genéricos como vector de infección está dando paso a una amenaza más sofisticada y difícil de detectar. Los ciberdelincuentes están descolgando el teléfono y llamando directamente a empleados de las compañías que quieren atacar. Un método especialmente exitoso porque utiliza “ingeniería social hiperpersonalizada”, con datos muy específicos de la organización, así como estrategias “orientadas a generar empatía” con la víctima, avisa la firma de ciberseguridad Mandiant, propiedad de Google.

Así lo advierte su informe M-Trends 2026, publicado este lunes tras analizar más de 500.000 horas de investigaciones de ciberincidentes a nivel global. Las suplantaciones de voz de empleados ya son el segundo método de ataque más común en todo el mundo, siendo el origen del 11% de las infecciones analizadas. Casi el doble que los emails, que han caído del 20% que ostentaban 2022 a solo un 6% en 2025.

En el caso de las empresas con infraestructuras en la nube, la cifra de suplantaciones de voz se dispara. En este ámbito, las llamadas engañosas son ya la amenaza número uno, responsables del 23% de las infecciones iniciales, según Mandiant. A nivel general, la principal vía de ataque siguen siendo los exploits, que se basan en explotar brechas de seguridad que los ciberdelincuentes detectan en el software de las empresas.

Los guiones perfeccionados con inteligencias artificiales como ChatGPT o Gemini son claves en la trampa, documenta el informe. No obstante, el éxito de estas llamadas radica precisamente en que, al otro lado de la línea, hay “una persona en vivo dirigiendo la conversación en tiempo real”, afirman los investigadores. Es este factor humano el que permite al atacante interactuar, adaptarse a las dudas de la víctima y convencerla de desvelar sus contraseñas o instalar programas maliciosos.

Empleado en apuros

El informe detalla cómo operan los grupos criminales más activos en este frente. A diferencia de las estafas dirigidas al resto de usuarios, los ataques contra organizaciones están diseñados para vulnerar su seguridad a partir de los datos sobre sus procesos de trabajo y roles de los empleados que se conocen públicamente.

El ejemplo recogido al comienzo de esta información fue, de hecho, el modus operandi de una banda cibercriminal nombrada con el código UNC6040. A principios de 2025, este grupo llevó a cabo una campaña telefónica a gran escala para persuadir a los empleados de que entregaran sus credenciales y autorizaran el acceso a versiones fraudulentas de aplicaciones informáticas corporativas. Una vez dentro, utilizaron herramientas automatizadas para la extracción masiva de datos, que más tarde utilizaban para extorsionar a las compañías afectadas.

Mientras que el phishing por correo electrónico a menudo se basa en el volumen y el envío oportunista, los métodos interactivos involucran a una persona en vivo dirigiendo la conversación en tiempo real

Otra célula, con código UNC3944, utilizó el método inverso. Sus miembros se hacían pasar por empleados con problemas que se ponían en contacto con el personal de soporte técnico de las empresas. Los atacantes llamaban haciéndose pasar por compañeros con dudas o problemas reales para convencer al equipo de soporte para que les abra la puerta de los sistemas de la organización; ya sea a través de restablecer sus contraseñas o aceptando un nuevo dispositivo controlado por los ciberdelincuentes como válido para realizar autentificaciones de seguridad.

“Mientras que el phishing por correo electrónico a menudo se basa en el volumen y el envío oportunista, los métodos interactivos involucran a una persona en vivo dirigiendo la conversación en tiempo real”, recoge el informe de Mandiant. “Esta distinción es crítica para los defensores: los ataques interactivos son significativamente más resistentes a los controles técnicos automatizados y requieren diferentes estrategias de detección”.

Por ello, la firma recomienda “pivotar” la formación de los empleados “más allá de la bandeja de entrada del correo electrónico”, para tener en cuenta este tipo de ataques “hiperpersonalizados” en los que los ciberdelincuentes intentan engañarles “en directo”.

El informe también destaca un cambio de tendencia en el perfil de las empresas atacadas. Durante 2025, el sector de la alta tecnología se convirtió en la industria más atacada a nivel mundial superando al sector financiero, que había liderado este fatídico ranking en los dos años anteriores. Los servicios empresariales (proveedores que a su vez son vectores de ataque contra otras compañías) y el sector sanitario completan los primeros puestos.

Otro de los hallazgos de la investigación es la nueva jugada de los ciberdelincuentes para evitar las medidas de seguridad de las empresas: conscientes de que la concienciación sobre la seguridad informática está aumentando, ahora las copias de seguridad se han convertido en uno de sus objetivos prioritarios durante los ataques. Su meta es que sus víctimas no puedan restaurar sus sistemas por sí mismas y se vean obligadas a pagar rescates.

Por último, Mandiant documenta una nueva evolución en la profesionalización de la industria del cibercrimen. La firma señala que el grado de especialización está creciendo tanto que cada vez son más los grupos que se dedican exclusivamente a conseguir acceso a las empresas y comprometer su seguridad, para luego venderle ese acceso a otra banda.

“En 2022, el tiempo medio entre el acceso inicial y el traspaso posterior era superior a 8 horas. Sin embargo, en 2025, el tiempo medio entre el acceso inicial y el momento en que un segundo grupo tenía acceso al entorno era de 22 segundos”, detalla la firma, que explica que esto indica un proceso cada vez más automatizado y bajo encargo de terceros “en lugar de anunciar el acceso en un foro clandestino”.

La Policía Nacional ha detenido al principal responsable de un entramado especializado en la comisión de robos y estafas por el método conocido como phishing.

El varón arrestado pertenecía a una trama que lanzó un ataque contra un Instituto de Educación Secundaria de Ciudad Real utilizando falsas ventanas emergentes, logrando de este modo acceder a su cuenta bancaria para efectuar sin autorización varias transferencias por un importe final de 9.995 euros.

Los investigadores siguieron el rastro de estos presuntos estafadores hasta Madrid, lugar desde el que operaban y lanzaban ataques maliciosos a ordenadores y terminales móviles por toda la geografía española, para finalmente proceder a la sustracción y transferencia del dinero robado a diferentes cuentas bancarias en España y Portugal, según ha informado la Policía.

La Policía Nacional identificaba finalmente en Madrid al máximo responsable de la trama, quien llegó a realizar un reintegro en efectivo de cerca de 5.000 euros procedentes del dinero sustraído previamente en la cuenta bancaria del Instituto de Educación Secundaria en Ciudad Real.

Fueron 11 días de ataques machistas y agresión digital contra menores de edad con inteligencia artificial que Elon Musk permitió en una de las mayores redes sociales del planeta. Se generaron aproximadamente tres millones de imágenes sexualizadas fotorrealistas, la mayoría de mujeres que no dieron su consentimiento para su creación, y unas 23.000 que mostraban a niños y adolescentes.

Es la estimación que ha realizado el Center for Countering Digital Hate (CCDH) sobre el alcance del escándalo protagoizado por el magnate y Grok, su inteligencia artificial, en su red social X.

El detonante fue la introducción de una nueva función el pasado 29 de diciembre, anunciada por el propio Musk, que permitía a los usuarios de X editar imágenes con un solo clic utilizando la potencia de Grok. La herramienta se convirtió casi automáticamente en una vía para ejercer violencia digital contra las mujeres, con usuarios pidiendo a Grok que tomara fotografías de las afectadas y las mostrara en bikini o lencería. Sus creaciones se mostraban en abierto y eran visibles para todos los usuarios de X, como el resto de intervenciones de esta IA en la plataforma.

La viralización de este uso de la nueva función, que fue utilizada también para hacer bromas o captar la atención (creadoras de contenido en OnlyFans pedían a Grok que quitara la ropa de sus propias fotos) fue tolerada por Musk y X. Ante el escándalo generado, el magnate llegó a pedir a la IA que creara una foto de sí mismo en bikini como respuesta a las protestas.

Material sexualizado a escala industrial

El análisis del CCDH, basado en una muestra aleatoria de 20.000 imágenes generadas por la herramienta, expone hasta qué punto la sexualización de imágenes llegó a ser habitual. Del total de 4,6 millones de imágenes producidas por la función de edición en el periodo estudiado, el 65% de la muestra analizada contenía material sexualizado.

El informe recoge algunos ejemplos, como un “selfie antes de ir al colegio” subido por una niña que fue modificado para mostrarla en bikini. También documenta el uso de esta función como ataque contra políticas y mujeres conocidas como Kamala Harris o la viceprimera ministra sueca Ebba Busch, a las que mostró en situaciones denigrantes o con “fluidos blancos” sobre sus cuerpos sin que sus filtros de seguridad entraran en acción.

Según los datos del CCDH, una organización sin ánimo de lucro que investiga cómo las plataformas digitales amplifican la desinformación, el discurso de odio y abusos, la creación de desnudos no consensuados llegó a tener una escala industrial, con un ritmo estimado de 190 imágenes sexualizadas por minuto.

La cifra de las 23.000 imágenes sexualizadas de apariencia fotorrealista de menores, arroja un ritmo de creación de una cada 41 segundos. Además, los autores de la investigación identificaron otras 9.900 imágenes sexualizadas de menores en estilos no fotorrealistas (como anime o dibujos animados).

Muchas siguen siendo accesibles

La respuesta de la plataforma ante la presencia de este material, que legalmente constituye material de abuso sexual infantil (el Código Penal español abarca la creación de imágenes sexualizadas de menores con IA) tardó días en llegar y no ha solucionado el problema. Según el CCDH, el 15 de enero, días después de que estallara la polémica, el 29% de las imágenes de menores identificadas en la muestra seguían siendo accesibles públicamente en X. Incluso en los casos donde las publicaciones habían sido borradas, las imágenes permanecían accesibles a través de sus URL directas.

“Tomamos medidas contra el contenido ilegal en X, incluido el material de abuso sexual infantil, eliminándolo, suspendiendo cuentas de forma permanente y trabajando con los gobiernos locales y las fuerzas del orden según sea necesario. Cualquiera que utilice o incite a Grok a crear contenido ilegal sufrirá las mismas consecuencias que si subiera contenido ilegal”, afirmó una portavoz de X tras ser contactada por elDiairo.es.

La función de edición se restringió a usuarios de pago el 9 de enero, pero no fue hasta el 14 de enero cuando se implementaron restricciones técnicas adicionales para impedir que la IA “desnudara” a personas.

“El contenido sexual degradante y el material de abuso sexual infantil no son consecuencias inevitables de la tecnología. Son el resultado de una estrategia de producto deliberada por parte de X y de Elon Musk”, denunció Hilary Manson, cofundadora de Hidden Doors, una desarrolladora de IA especializada en videojuegos.

En España, la Agencia Española de Protección de Datos cuenta con un Canal Prioritario desde el que las víctimas de este tipo de ataques pueden solicitar la retirada urgente del material.

La nueva oleada de ciberataques de revelación de identidad que está afectando a responsables políticos en toda España ha alcanzado también a Aragón. Datos personales del presidente del Gobierno autonómico, Jorge Azcón, de cuatro de sus consejeros y del exconsejero de Agricultura de Vox han sido difundidos en un portal especializado en la publicación de bases de datos obtenidas ilegalmente.

En el caso de Azcón, la filtración incluye su DNI, un teléfono fijo, su dirección, su fecha de nacimiento y la entidad bancaria que supuestamente utiliza. También aparecen datos del consejero de Hacienda, Roberto Bermúdez de Castro, de quien se han publicado el DNI, dos números de teléfono, la fecha de nacimiento y su banco. De la consejera de Bienestar Social y Familia, Carmen Susín, figura únicamente su dirección postal.

El consejero de Agricultura, Manuel Blasco Marqués, es otro de los afectados: en su ficha constan su DNI, dos teléfonos —incorrectos según ha podido saber este diario—, su fecha de nacimiento y su domicilio. En el caso del consejero de Sanidad, José Luis Bancalero, se han difundido su dirección, un teléfono fijo también incorrecto, dos correos electrónicos —personal y profesional— y un dato adicional sobre su proveedor de internet. El listado incluye además al exconsejero de Agricultura durante el pacto PP-Vox, Ángel Samper, aunque con un error en su filiación política, ya que figura como miembro del PP. De él se publica su dirección y su año de nacimiento.

Una ofensiva coordinada a nivel estatal

Estos casos se enmarcan en una nueva campaña de doxxeo —término con el que se conoce a la publicación de datos personales con fines de hostigamiento— que está afectando esta semana a presidentes y consejeros de al menos 15 comunidades autónomas. La filtración, difundida por un usuario que se identifica como “Eurogosth”, incluye datos de responsables como Isabel Díaz Ayuso (Madrid), Juan Manuel Moreno Bonilla (Andalucía), Alfonso Fernández Mañueco (Castilla y León), Carlos Mazón (Comunitat Valenciana), María Guardiola (Extremadura), María Chivite (Navarra) o el lehendakari Imanol Pradales, entre otros.

En total, el listado recoge información de 47 personas, aunque el grado de detalle varía: en algunos casos solo consta un correo electrónico, mientras que en otros aparecen direcciones, matrículas de vehículos, cuentas bancarias o incluso códigos de contadores de gas. Según expertos en ciberseguridad, estos extremos apuntan a que los datos no proceden de ataques individuales, sino de bases de datos previamente robadas y cruzadas. El autor no ha explicitado sus motivaciones, aunque ha anunciado nuevas publicaciones.

Durante 2025, este tipo de ataques se han intensificado contra representantes políticos, periodistas y otras figuras públicas. En verano, una filtración masiva expuso datos personales del presidente del Gobierno, Pedro Sánchez, de miembros del Ejecutivo y de ciudadanos anónimos afiliados a Podemos. Sus autores aseguraron entonces que se trataba de un “escarmiento” contra la corrupción, aunque la Policía los detuvo pocos días después.

Una nueva campaña de ciberataques de revelación de identidad está afectando a políticos españoles. Después de que este verano múltiples incidentes de este tipo expusieran los datos personales del presidente del Gobierno, Pedro Sánchez, de los miembros del Gobierno, de representantes de varios partidos, de periodistas e incluso de ciudadanos anónimos afiliados a Podemos, se han vuelto a dar esta semana.

Primero fueron altos cargos de Transportes en una ofensiva que el autor enmarcó en una protesta por el accidente de Adamuz. Ahora, han sido presidentes y consejeros de 15 comunidades autónomas.

La filtración se ha llevado a cabo en un portal especializado en publicar este tipo de bases de datos. Incluye información personal de Isabel Díaz Ayuso, presidenta de la Comunidad de Madrid; Juan Manuel Moreno Bonilla, presidente de Andalucía, Jorge Azcón; presidente de Aragón; Alfonso Fernández Mañueco, presidente de Castilla y León; Juan Francisco Pérez Llorca, presidente de la Comunitat Valenciana; María Guardiola, presidenta en funciones de Extremadura; María Chivite, presidenta de Navarra; o Imanol Pradales, lehendakari vasco.

La información publicada sobre cada víctima varía. En algunos casos, como el de Ayuso, la filtración solo llega al correo electrónico personal. En otros, como el de Pradales, incluye incluso datos de una persona que el atacante ha identificado como su pareja.

La filtración abarca un total de 47 personas. Las fichas de algunos de los presidentes y consejeros autonómicos afectados añaden direcciones de sus viviendas, el modelo, color y matrícula del coche, o el número de la cuenta bancaria. En uno de los casos se incluye incluso el código del contador del gas. El DNI y el teléfono móvil están entre los datos filtrados que más se repiten.

Extremos como el del contador del gas apuntan a que el autor no ha llevado a cabo ciberataques individuales para hacerse con los datos, sino que los ha ido extrayendo de diferentes bases de datos robadas a las que ha tenido acceso.

El autor de la publicación, que se identifica como “Eurogosth”, no ha dejado pistas de sus motivaciones. “Sé que faltan CCAA, no se van a salvar, dentro de poco hare la V2 [versión 2] de esta db [base de datos], probablemente con familiares, o sin familiares, no lo sé, no afirmo nada. Viva España”, es su único mensaje. Por el momento no ha realizado más publicaciones. Entre los consejeros autonómicos afectados están varios del PSOE (Castilla-La Mancha), PSC (Catalunya) o Coalición Canaria, pero ninguno de Vox. Al País Vasco el autor lo denomina “Vascongadas”.

Cada vez más habitual contra políticos

Los ataques de revelación de identidad son uno de los golpes más comunes entre ciberdelincuentes, conocidos en la jerga como doxxeo. Ajustes de cuentas o rencillas entre ellos acaban con sus pseudónimos rotos y sus datos personales publicados en abierto, lo que facilita su localización por parte de la policía o el hostigamiento de sus rivales.

Durante 2025, no obstante, los doxxeos se extendieron como ataque justiciero contra representantes políticos. “Simplemente, somos dos chavales que un día dijimos: ¿qué hacemos hoy? Y como se está destapando últimamente mucho el tema de la corrupción, pensamos: ¿por qué no sacamos la información a esos políticos y la publicamos? Es un escarmiento”, afirmaron en verano los presuntos autores de la publicación que afectó a Sánchez y miembros del Gobierno.

Después atacaron también a periodistas y otras figuras progresistas. “Un poco de info de estos políticos de mierda, ultraizquierdas y corruptos”, decían en la publicación. Se trataba de dos jóvenes de 19 años que la Policía detuvo días después y que actualmente se encuentran a la espera de juicio, según ha podido saber elDiario.es. La publicación de este tipo de datos de representantes públicos puede ser considerado delitos contra la intimidad, amenazas, coacciones o incluso escalar hasta ser considerados de terrorismo y contra altas autoridades del Estado.

En la filtración de datos que ha afectado esta semana a altos cargos del Ministerio de Transportes, el autor se ha hecho eco de un bulo difundido por la extrema derecha para justificar su acción. “En lugar de arreglar las instalaciones, dan millones de dólares a países extranjeros para que arreglen las instalaciones de otros países”, afirma. Todos estos ciberataques se han publicado en la misma web, una de las más conocidas para llevar a cabo doxxeos y que no suele atender las solicitudes de retirada de datos a no ser que sean requerimientos judiciales.

Cuando se lanza contra figuras públicas, los doxxeos pretenden servir de apoyo para campañas de acoso, intentos de estafa o contratación de servicios digitales a nombre de los afectados.

Policía, CNI y otros políticos afectados

El autor de las filtraciones ha reaccionado durante este viernes al verse señalado por los medios. En una nueva publicación en la que se queja por ser identificado como “de extrema derecha”, ha decidido continuar la campaña de ataques contra miembros del Gobierno, entre ellos el presidente Pedro Sánchez, y políticos de todos los partidos. Para demostrar que no tiene relación con Vox, en el arhivo ha incluido a Santiago Abascal, así como datos de su madre y de su hermana.

En otra publicación, el mismo atacante ha revelado datos de contacto de dirigentes del CNI, de la Policía Nacional y del Ministerio del Interior.

La Policía está investigando la publicación de los datos personales del secretario de Estado de Transportes, José Antonio Santano; del presidente de Renfe, Álvaro Fernández Heredia; y del presidente de Adif, Luis Pedro Marco; en un foro utilizado habitualmente por los ciberdelincuentes en este tipo de ataques. El autor, que se identifica como “Vindex”, ha justificado su acción como una protesta por el accidente ferroviario de Adamuz, en el que han perdido la vida 45 personas.

“Tras recibir la noticia del terrible accidente ferroviario ocurrido en el sur de España, he decidido revelar la identidad de los presidentes del sistema ferroviario español, ya que son los responsables de las desastrosas instalaciones tercermundistas que provocan averías y accidentes mortales”, afirma el autor en la publicación, a la que ha podido acceder elDiario.es.

La filtración incluye números de teléfono móvil y las direcciones de viviendas. En uno de los casos, también el DNI. El autor amenaza en la publicación que “pronto habrá noticias sobre Puente”, pero por el momento no se han publicado los datos del ministro de Transportes.

Se trata de un tipo de ciberataque que busca generar una campaña de acoso contra los afectados, al facilitar que cualquiera pueda contactar con ellos o utilizar sus datos para perpetrar estafas o registrarse en servicios digitales.

Lo sucedido replica los ataques lanzados por varios ciberdelincuentes el pasado verano contra miembros del Gobierno y el PP, así como de periodistas y de ciudadanos anónimos. En una serie de filtraciones sin precedentes, se publicaron los datos personales de Pedro Sánchez, Ada Colau, María Guardiola, Juan Manuel Moreno Bonilla o las contraseñas de afiliados de Podemos.

La Policía detuvo a dos jóvenes de 19 años relacionados con lo sucedido, que actualmente se encuentran a la espera de juicio.

Bulos de la extrema derecha

Además de sus críticas a los altos cargos por el accidente, el ciberdelincuente de la filtración de Transportes reproduce un bulo que la extrema derecha ha espoleado esta semana para denunciar un supuesto desvío de fondos del mantenimiento ferroviario hacia Marruecos o Uzbekistán. “Además, en lugar de arreglar las instalaciones, dan millones de dólares a países extranjeros para que arreglen las instalaciones de otros países”, repite.

Lo que ha aprobado el Ejecutivo en los últimos años son créditos “reembolsables y condicionados” para que esos países compren material ferroviario a empresas españolas. Es decir, solo reciben esos créditos si se cierran esos contratos. Y son créditos que no están ligados al Ministerio de Transportes, que es el que invierte en la red ferroviaria española y en la compra de trenes para el operador público Renfe.

La compañía eléctrica Endesa ha comunicado a sus clientes que ha sufrido un ciberaataque en el que se ha producido la sustracción de sus datos personales y financieros. Los afectados pertenecen tanto a Endesa Energía, la comercializadora de mercado libre, como a Energía XXI, que opera en el mercado regulado. Fuentes de la compañía han explicado a este medio que aún no pueden informar del número exacto de afectados.

Según detalla el comunicado enviado a los usuarios, la investigación interna indica que los ciberdelincuentes han tenido acceso a una base de datos que incluye nombres, apellidos, datos de contacto y números de Documento Nacional de Identidad (DNI). Asimismo, la brecha de seguridad ha expuesto información relativa a los contratos de energía y, en determinados casos, los códigos IBAN de las cuentas bancarias asociadas a los pagos. La compañía especifica que las contraseñas de acceso de los usuarios no se han visto comprometidas en este incidente.

Entre ambas comercializadoras suman unos diez millones de usuarios en total. Sin embargo, antiguos clientes de Endesa también están recibiendo la notificación del robo de datos, según han informado algunos de ellos a elDiario.es.

La empresa ha notificado los hechos a la Agencia Española de Protección de Datos (AEPD) y a las Fuerzas y Cuerpos de Seguridad del Estado, tal como establece la normativa. En respuesta al ataque, la compañía ha bloqueado a los usuarios cuyo acceso había sido comprometidos y ha lanzado un análisis de los registros de actividad. Endesa asegura que sus servicios operan con normalidad tras la contención del incidente.

La comunicación advierte sobre el riesgo de que los datos sustraídos sean utilizados para intentos de suplantación de identidad o para la ejecución de campañas de phishing (envío de correos fraudulentos) y spam. La eléctrica recomienda a los usuarios desconfiar de comunicaciones sospechosas y evitar facilitar información personal a fuentes no verificadas. También ha habilitado un canal de contacto (800 760 366 para los clientes de Endesa Energía, y 800 760 250 para los de Energía XXI) para resolver las dudas de los afectados.

Como alerta la compañía, este tipo de ataques suelen ser la antesala de las estafas de suplantación de identidad. En ellas, los ciberdelincuentes se hacen pasar por empresas o instituciones confiables para la víctima, ganándose su confianza gracias a los datos robados. En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía.

El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

El colectivo Anna's Archive, un grupo activista para “preservar el conocimiento y la cultura de la humanidad”, ha asegurado que ha extraído unos 300 TB de datos de la plataforma Spotify, formando un archivo que comprende 86 millones de archivos de audio y 256 millones de metadatos, entre los que se incluyen nombres de artistas y títulos de álbumes. Según este colectivo, la cifra representa el 99,6% de la música consumida de forma habitual por los usuarios del servicio.

Spotify ha confirmado que ha detectado un acceso irregular a sus sistemas. La plataforma se encuentra investigando el suceso y ha comunicado la desactivación de una serie de cuentas de usuario que cree que están implicadas en la extracción de información. “Una investigación sobre acceso no autorizado identificó que un tercero extrajo metadatos públicos y utilizó tácticas ilícitas para eludir la DRM [gestión de derechos digitales] para acceder a algunos de los archivos de audio de la plataforma”, ha declarado la plataforma.

Desde Anna's Archive afirman que ya han publicado a través de torrents (un archivo o enlace que permite descargar contenidos entre usuarios) los metadatos extraídos de Spotify, así como las imágenes de las portadas y los análisis de audio de las canciones.

Aunque el inventario de Spotify supera los 100 millones de canciones, la empresa ha indicado que la filtración no constituye la totalidad de su catálogo. Como respuesta al incidente, la plataforma ha reforzado sus protocolos de seguridad y mantiene la vigilancia sobre comportamientos en su infraestructura para detectar nuevas incursiones.

“El patrimonio musical estará a salvo de la destrucción”

Anna's Archive justifica la publicación de los datos como un proyecto de preservación destinado a proteger el patrimonio cultural ante posibles desastres o conflictos que limiten el acceso a la música. El grupo funciona como un motor de búsqueda que facilita el acceso y descarga de materiales protegidos con derechos de autor. El acceso desde España a su página web se encuentra bloqueado por las operadoras, debido a reclamaciones de copyright.

“Por ahora, se trata de un archivo exclusivo para torrents destinado a la conservación, pero si hay suficiente interés, podríamos añadir la descarga de archivos individuales desde Anna's Archive. Por favor, hágannos saber si les gustaría que lo hiciéramos”, afirma el colectivo en su comunicado, que pide compartir los torrents para “ayudar a conservar los archivos”.

“Con su ayuda, el patrimonio musical de la humanidad estará protegido para siempre de la destrucción causada por desastres naturales, guerras, recortes presupuestarios y otras catástrofes”, inciden. Otros usuarios y especialistas, no obstante, recalcan como este material protegido ahora puede ser accesible no solo para usuarios, sino también para empresas y organizaciones, que pueden utilizarlo para el entrenamiento de la inteligencia artificial.

La filtración coincide con un periodo de tensiones entre la plataforma y los creadores. Recientemente, grupos como Massive Attack retiraron su catálogo del servicio debido a las inversiones de su fundador en tecnología de uso militar. La recolección de volúmenes elevados de datos para su procesamiento posterior es un patrón identificado por especialistas en el análisis de las estructuras de captura de información de las redes sociales actuales.

La Audiencia Provincial de Cáceres ha confirmado la condena a una entidad bancaria a la que obliga a reembolsar 14.940 euros a un cliente que fue víctima de un ciberataque. El tribunal ha desestimado el recurso del banco, sentenciando que el usuario no cometió una “negligencia grave” al caer en un engaño sofisticado que suplantaba a la perfección los canales de comunicación de la empresa.

Los hechos ocurrieron en septiembre de 2023. Según se recoge en la sentencia, la víctima recibió un SMS de alerta en el mismo hilo de mensajes que utilizaba habitualmente su banco donde se le informaba de una posible transferencia sospechosa de fraude, facilitándole un enlace para que moviera sus fondos “a una cuenta segura”.

Inmediatamente después, el cliente recibió una llamada telefónica desde un número, que corresponde a la entidad demandada. Una supuesta gestora lo guio durante más de media hora para realizar cuatro transferencias bajo la creencia de que estaba protegiendo su dinero. En total, se sustrajeron 14.940 euros mediante transferencias fraudulentas.

Esta técnica, conocida como 'Caller ID Spoofing', permite a los delincuentes enmascarar su número para que en la pantalla del móvil de la víctima aparezca el teléfono del banco, generando una apariencia de veracidad casi indetectable.

Recurso de la sentencia

El banco recurrió la sentencia de primera instancia alegando que el cliente había actuado con negligencia grave, argumento necesario para exonerarse de su responsabilidad según la Ley de Servicios de Pago. La entidad sostenía que el fraude ocurrió fuera de su aplicación oficial de la entidad bancaria y que el usuario facilitó voluntariamente las claves.

Sin embargo, la Sección Primera de la Audiencia Provincial de Cáceres ha rechazado estos argumentos. El tribunal entiende que la entidad bancaria es responsable de la seguridad del sistema y debe probar la negligencia grave del usuario si quiere evitar el reembolso. Además, la Audiencia considera que no se puede calificar de negligente la conducta de la víctima, ya que el mensaje llegó al hilo oficial de SMS y la llamada provenía del número oficial del banco. Según la sentencia, “cualquier persona con formación media y con un uso ordinario de la banca digital hubiera reaccionado de igual manera” ante tal nivel de manipulación.

El fallo señala también que el banco no implementó medidas suficientes, como tecnología antiphishing, para detectar que sus números y canales estaban siendo clonados.

La decisión de la Audiencia Provincial confirma el fallo del juzgado de primera instancia de Cáceres y condena a la entidad al pago de los 14.940 euros sustraídos, los intereses legales y las costas procesales del recurso.

Iberia ha denunciado ante la UCO, la Agencia de Protección de Datos e INCIBE “el acceso externo no autorizado en un repositorio de comunicación alojado y administrado por un tercero”, que ha comprometido la confidencialidad de determinados datos personales de los clientes. La compañía afirma que la información contenida en ese sistema de intercambio de información es limitada y no es operacional, por lo que no se ha puesto en riesgo la seguridad de los vuelos.

Según ha comunicado la aerolínea, la investigación preliminar indica que los datos afectados podrían incluir nombre y apellidos, correo electrónico, teléfono y número de identificación de la tarjeta de fidelización Iberia Club. No obstante, la aerolínea indica que “no se ha obtenido ningún dato completo ni usable de medios de pago ni tampoco claves de acceso a las cuentas de Iberia”.

Sin embargo, reconoce que se han extraído algunos códigos de reserva para vuelos futuros, aunque subraya que “de momento, no hay constancia de que se haya realizado alguna actividad fraudulenta con estos datos”.

Iberia está comunicando lo sucedido a los clientes afectados y ha establecido medidas de seguridad adicionales. En concreto, detalla que se ha implantado un doble factor de autenticación para todos los afectados de manera que nadie (aparte de ellos) pueda modificar su reserva o hacer cualquier gestión a través de la APP, la web iberia.com o el call center.

La aerolínea recomienda a los afectados que presten especial atención ante cualquier comunicación en nombre de Iberia que le solicite realizar alguna acción y ha puesto a disposición de los clientes el número de teléfono +34 900 111 500 para comunicar cualquier sospecha o anomalía.

Iberia ha pedido disculpas a los clientes afectados por los problemas que este ataque externo les pueda ocasionar y asegura estar “poniendo todos los medios a su alcance para mitigar los efectos de incidente y evitar que pueda repetirse en el futuro”.

El Ministerio de Trabajo denuncia que la herramienta gratuita lanzada para prevenir los riesgos laborales de las empleadas del hogar, Prevención 10, está sufriendo un “ataque malicioso”, responden en el departamento de Yolanda Díaz a elDiario.es. La obligación de evaluar y prevenir los riesgos laborales de estas trabajadoras comienza a partir de mañana, 14 de noviembre.

Prevención 10 se lanzó el pasado mayo por parte del Ministerio de Trabajo para facilitar a los hogares la obligación de evaluar y prevenir estos riesgos laborales de las empleadas domésticas, un mandato que no existía hasta el momento.

La herramienta estaba sufriendo fallos en las últimas horas, desde este miércoles, sin posibilidad de acceder a la web, algo que en el Ministerio de Trabajo habían adjudicado inicialmente a la “alta demanda” del servicio.

“Debido a la alta demanda en Prevencion10.es estamos experimentando problemas en el acceso a la página. Por favor, intenta conectarte más tarde”, indicaba hasta el momento la página.

Un “ataque de bots”

Sin embargo, fuentes del Ministerio de Yolanda Díaz indican a elDiario.es que finalmente han detectado “un ataque malicioso” contra la página web. En concreto, “un ataque de bots” para saturar y tumbar la herramienta. En Trabajo indican que están “trabajando para restablecerla lo antes posible”.

Los ataques con bots son capaces de rellenar formularios con datos falsos para hacer un envío masivo de documentación fraudulenta. Esto satura el buzón de entrada con peticiones basura y, en casos extremos, provocar interrupciones en el servicio de la web.

En Trabajo indican que los primeros problemas se detectaron este miércoles y que, hasta la fecha, “la plataforma llevaba seis meses funcionando sin problema alguno”. Una usuaria de la página web asegura no obstante que el lunes por la noche intentó acceder y “ya estaba caída”.

Ahora, la página web de Prevención 10 muestra el siguiente mensaje: “La aplicación Prevención10 está sufriendo una caída del servicio que inicialmente se identificó como una sobrecarga por el elevado flujo de personas usuarias y que, finalmente, hemos confirmado que se trata un ataque malicioso”.

“Estamos trabajando para restablecerla lo antes posible. Gracias por la comprensión. Por favor, intenta conectarte más tarde. Recuerda que, al terminar el procedimiento, no será necesario registrar el documento en ningún otro organismo oficial. Resolvemos tus dudas en el correo:prevencion10@insst.mites.gob.es”.

Inteligencia artificial que comanda ciberataques y envía órdenes a los virus que lo llevan a cabo, haciéndolos mutar en tiempo real para sortear las barreras de ciberseguridad. Es la alerta que el Grupo de Inteligencia de Amenazas de Google (GTIG) ha enviado este miércoles, tras detectar que los ciberdelincuentes ya no solo utilizan esta tecnología como un asistente, sino como un cerebro autónomo que las potencia para hacerlas más dañinas e indetectables mientras el ataque se lleva a cabo.

Por primera vez, Google describe una nueva generación de virus (o malware, como se los denomina en el sector) que reescribe su propio código para adaptarse a las defensas, atacar sus puntos débiles y esconder los patrones que podrían disparar los sistemas de alerta, volviéndose más difíciles de detectar. Lo hace a través de una conexión directa con modelos de lenguaje como Gemini, la IA de la multinacional.

“Agentes que actúan respaldados por gobiernos y otros ciberdelincuentes están integrando IA y experimentando con ella en distintos sectores y a lo largo de todo el ciclo de vida de los ataques”, advierte.

El informe avisa que aunque todavía está en una etapa inicial, esto supone “un cambio de fase operacional” en el uso ofensivo de la IA. Los ciberdelincuentes y los grupos respaldados por estados —entre los que Google cita a China, Rusia, Irán y Corea del Norte— han dejado de recurrir a esta tecnología como un simple apoyo técnico. Algo que fue documentado poco después de la aparición de ChatGPT y permitió a los ciberdelincuentes desterrar errores que antes los delataban, como las faltas de ortografía o las malas traducciones, pero que ha escalado a un nuevo nivel.

Ahora, la IA ha pasado a ser una parte integral del ataque y multiplica su peligrosidad. “Estas herramientas son capaces de generar scripts maliciosos de forma dinámica, ofuscar su propio código para eludir la detección y hacer uso de modelos de IA para crear funciones maliciosas a demanda, en lugar de incluirlas en el código del malware”, destacan los investigadores.

Estos cambios dinámicos suponen un punto de inflexión también para el sector de la ciberseguridad. De manera similar a lo que ocurre con los virus biológicos, hasta ahora los investigadores analizaban el código del malware utilizado en los ataques para crear defensas específicas para bloquearlo. Pero si esas modificaciones se dan en tiempo real, los antivirus no pueden adaptarse a ellas previamente.

La IA, ¿engañada?

Técnicamente, modelos como Gemini deberían negarse a satisfacer este tipo de requerimientos. Su programación les impide participar en actividades delictivas o dañinas para las personas. No obstante, Google ha detectado que los ciberdelincuentes han encontrado una manera de saltarse ese veto. “Están utilizando argumentos que recuerdan a la ingeniería social”, explica, haciendo referencia a las técnicas de manipulación psicológica que buscan engañar a personas para que revelen información o realicen acciones que comprometan su seguridad.

La clave es que esos engaños funcionan también con la inteligencia artificial. “Se han podido observar agentes que se hacen pasar por estudiantes que hacen ejercicios tipo 'captura la bandera' o por investigadores en ciberseguridad. En ambos casos, tratan de persuadir a Gemini para que les facilite una información que, en otras circunstancias, estaría bloqueada, y que necesitan para desarrollar determinadas herramientas”, reconoce el informe de Google.

La multinacional afirma que ya ha cancelado las cuentas y proyectos asociados a este tipo de actividades y que está tomando medidas para intentar evitar este tipo de usos indebidos. “Google ha asumido el compromiso de desarrollar la IA de forma responsable y toma medidas preventivas para impedir la actividad maliciosa”, destaca. Como parte de ese compromiso, también ha divulgado estos hallazgos “para dar herramientas a los equipos de seguridad y para promover protecciones más sólidas en todo el ecosistema”.

Esto se considera una buena práctica clave en el sector de la ciberseguridad, ya que permite a los especialistas prepararse ante las nuevas técnicas de los atacantes.

Un mercado de la IA criminal

Al igual que la IA está avanzando por el resto de sectores económicos y sociales, también lo hace su uso para actividades delictivas. “A lo largo de este año, el mercado negro de herramientas de IA ilícitas ha madurado”, recoge el informe de Google. Su equipo ha identificado “ofertas de herramientas multifuncionales diseñadas para facilitar actividades de phishing, desarrollo de malware e investigación de vulnerabilidades” durante la investigación.

Un ejemplo reciente de este “mercado negro” de herramientas de IA ilícitas es el caso de Xanthorox, una inteligencia artificial sin restricciones diseñada explícitamente para ayudar a ciberdelincuentes novatos. Esta “IA para hackers”, que se vendía por 200 dólares, presumía de poder generar ransomware capaz de eludir antivirus y facilitar ataques complejos. Sin embargo, la vanidad de su creador, un estudiante de ingeniería bangladesí de 23 años, le llevó a cometer errores fatales de seguridad, como alojar los servidores en su propio domicilio. Investigadores de la firma de ciberseguridad española Zynap siguieron estas pistas hasta identificarlo, obligándole a retirar su creación de la circulación.

Se trata de “herramientas que reducen las barreras de entrada para los agentes menos sofisticados”, destaca la multinacional. Una tendencia que se está percibiendo a nivel general, con cada vez más actores que se dedican específicamente a hacer que los ciberataques sean accesibles para bandas que hasta ahora no contaban con los conocimientos adecuados para llevarlos a cabo de manera exitosa. Recientemente, la Guardia Civil ha detenido a un hacker acusado de lucrarse con estas actividades, alquilando herramientas ofensivas que empaquetaba como “kits de estafa”.

Cuidado: si estudias en la Universidad Complutense de Madrid y este fin de semana has recibido un correo electrónico que pedía un pago urgente para regularizar la matrícula, es falso. La dirección de la UCM ha advertido de un ciberataque efectuado el domingo que pedía a varios de sus alumnos una transferencia de hasta 1.500 euros por un supuesto “retraso” en el abono de las tasas universitarias, a través de un e-mail con el dominio de la Complutense para confundir al receptor. Poco después, a las 13.19 horas, el Vicerrectorado de Tecnología y Sostenibilidad informó en otro correo masivo de una “oleada” de mensajes “maliciosos” que imitaban su estilo oficial.

“Hola. A pesar de nuestro recordatorio anterior, todavía observamos un retraso en el pago de las tasas de matrícula por importe de 1.500 euros. Además, si su deuda no se liquida antes del 26/10/2025, tendremos que enviar su expediente a nuestro departamento de litigios”, indicaba la primera comunicación recibida por los estudiantes, que realmente no fue enviada por la UCM. En ella se les apremió a ingresar el dinero ese mismo día, fuera del horario lectivo.

El mensaje insistía en que debían mandar un comprobante de la transferencia a esa misma dirección, cuenta@ucm-es.live, que imitaba las siglas oficiales del centro. La Complutense reaccionó rápido al ciberataque: pronto llegó otro e-mail masivo, esta vez auténtico, en el que se anunciaba la supuesta estafa. Aún no se sabe cuánta gente se ha visto afectada ni si hay estudiantes que abonaran la cantidad solicitada.

Una petición urgente que “no deja pensar ni contrastar”

“Ese correo es falso por muchos motivos: se pide el pago urgente para no dejarnos pensar ni contrastar, enviar el recibo de pago a una cuenta que no es nuestra y cantidades de la matrícula que no cuadran”, destacó el vicerrector del departamento, Jorge Jesús Gómez Sanz, en ese otro difundido donde advertía que algunos mensajes falsos redirigían a cuentas bancarias de origen francés.

No es la primera vez que ocurre algo parecido: en mayo del año pasado, la UCM informó de otro caso de phishing que filtró información de sus alumnos. La universidad anunció que se reforzarían sus sistemas de seguridad cibernética. De momento se desconoce quién anda detrás de este último ciberataque o cómo se han filtrado datos que custodiaba la universidad.

Tal y como ha podido comprobar este periódico, también hay antiguos alumnos que ya acabaron sus estudios o no están matriculados pero aún así han recibido el mensaje con la estafa. La dirección del centro se ha reunido este lunes por la mañana para abordar, entre otros asuntos, las posibles causas del ciberataque.

En su mensaje del domingo, el Vicerrectorado ya dijo que se estaban “poniendo los medios técnicos” para llegar al fondo del asunto. Ignacio, estudiante en la Facultad de Ciencias de la Información de la UCM que en estos meses apura su TFG, asegura a Somos Madrid que el correo falso que recibió a su e-mail universitario “desapareció de la bandeja de entrada pocos minutos después” del desmentido de la Complutense, que puede eliminar mensajes dentro de su propio sistema.

La Agencia Tributaria ha negado este jueves que se haya producido ningún robo o filtración de información tras la aparición de un mensaje del grupo cibercriminal Qilin en el que aseguraban haber accedido a sus sistemas. Fuentes del organismo han explicado a elDiario.es que, tras la revisión de los documentos que la banda ha publicado como prueba, este puede “descartar por completo” que provengan de sus sistemas internos.

Las mismas fuentes indican que esos archivos pueden provenir de una “entidad privada” que maneje documentación fiscal de sus clientes, como una gestoría, lo que habría inducido a error a Qilin. En su publicación en la dark web, el grupo cibercriminal afirma haber sustraído a 60 gigas de información confidencial de la Agencia Tributaria, con un total de 238.799 documentos.

Como prueba del robo, la banda cuelga algunas capturas de los documentos. Entre ellas, se puede apreciar que algunos de esos archivos corresponden a correos electrónicos privados entre clientes de una gestoría castellanoleonesa y sus trabajadores, según ha podido comprobar elDiario.es.

Un caso de este estilo sucedió a principios de este año e involucró también a la Agencia Tributaria. Entonces, otro grupo cibercriminal aseguró haber ciberatacado el organismo, una reivindicación que fue dada por buena por algunos medios de comunicación. Días después, la Agencia pudo confirmar también que los datos provenían de otra gestoría y no de sus sistemas internos.

Qilin, un grupo especializado en el secuestro y robo de información confidencial surgido en 2022, se ha atribuido en los últimos meses varios ataques contra entidades públicas y privadas, entre ellas la administración de Melilla y la japonesa Asahi Group Holdings.

Está especializado en la extorsión doble —el cifrado de sistemas y la amenaza de divulgar la información robada— y destaca por su agresividad y por el uso de tácticas mediáticas para reforzar su imagen criminal. Expertos en ciberseguridad advierten de que este tipo de anuncios falsos se han convertido en una práctica frecuente para sembrar alarma y atraer nuevos afiliados al negocio del ransomware.