Asociación Valenciana de Informática Sanitaria
Agregador de canales de noticias
Operación Serengueti 2.0: Interpol realiza más de 1.200 detenciones relacionadas con redes de fraude digital
Una campaña a gran escala contra la ciberdelincuencia coordinada por Interpol ha dado lugar a la detención de 1.209 sospechosos en toda África y a la recuperación de casi 97,4 millones de dólares. La operación, denominada como “Operación Serengeti 2.0”, se llevó a cabo entre junio y agosto de 2025. El año pasado, en la primera Operación Serengeti, Interpol ya detuvo a más de 1.000 personas que afectaron a 35.000 víctimas.
En esta operación participaron investigadores de 18 países africanos y Reino Unido para luchar contra delitos informáticos como estafas de falsas herencias, ransomware y suplantación de identidad en correo electrónico empresarial. En total, se estima que las estafas afectaron a casi 88.000 víctimas, según informó la organización policial internacional en un comunicado.
Dentro del operativo, se destacan algunas acciones realizadas en los distintos países. En Angola se desmantelaron 25 centros de minería de criptomonedas en los que 60 ciudadanos chinos se dedicaban a la minería de criptomonedas. La operación dio lugar a la confiscación de equipos por valor de más de 37 millones de dólares, los cuales se tiene previsto utilizar para apoyar la distribución de energía en zonas vulnerables.
En Zambia, la operación desmanteló una estafa de inversión en línea que defraudó a más de 65.000 víctimas por un valor estimado de 300 millones de dólares mediante una estafa fraudulenta de criptomonedas de alto rendimiento. Según la organización, se detuvo a 15 personas y las autoridades incautaron pruebas, entre las que se encontraban dominios, números de teléfono móvil y cuentas bancarias.
Interpol también afirmó haber desmantelado una estafa transnacional relacionada con herencias en Costa de Marfil que se había originado en Alemania. Las víctimas de esa estafa fueron engañadas para que pagaran tasas para reclamar herencias falsas, lo que causó pérdidas por valor de 1,6 millones de dólares.
Referencias- 22/08/2025 interpol.int African authorities dismantle massive cybercrime and fraud networks, recover millions
- 22/08/2025 larazon.es "Operación Serengeti 2.0": 1.200 ciberdelincuentes detenidos en África e Inglaterra
- 22/08/2025 securityweek.com Large Interpol Cybercrime Crackdown in Africa Leads to the Arrest of Over 1,200 Suspects
- 25/08/2025 unaaldia.hispasec.com Serengeti 2.0: golpe al fraude digital procedente de África
Los hackers de ShinyHunters violan la base de datos de Salesforce de Google
En junio de 2025, el grupo de actores ShinyHunters vulneraron mediante vishing (phishing de voz) la base de datos Salesforce de Google. La filtración parece que ha afectado potencialmente a pequeñas y medianas empresas, permitiendo que los atacantes accedieran a los datos de contactos empresariales, como son, nombres de empresa, correos electrónicos y números de teléfono.
Google informó a sus usuarios públicamente este mes de agosto, asegurando que no se han visto comprometidas ningún tipo de información confidencial, como contraseñas o información financiera. También puntualizan que el ataque no se ha producido por un fallo técnico en Google ni en Salesforce, si no bajo ingeniería social aplicada sobre sus empleados.
El ataque pone de manifiesto que las vulnerabilidades técnicas no son el único factor en los ciberataques. Según el Grupo de Inteligencia de Amenazas de Google (GTIG), los hackers de ShinyHunters (también identificado como UNC6040), emplearon técnicas de suplantación de identidad haciendo llamadas telefónicas al personal de TI y a otros empleados, haciéndose pasar por compañeros de confianza. Mediante técnicas de ingeniería social muy convincentes, los atacantes persuadieron a las víctimas para que restablecieran sus credenciales e instalaran aplicaciones maliciosas en sus dispositivos corporativos, abriendo así una puerta de acceso temporal a sistemas sensibles.
Google actuó con rapidez, identificando y bloqueando la intrusión en cuestión de horas y notificando de inmediato a todas las empresas afectadas. Los directivos aclararon que los datos comprometidos se limitaban a los datos de contacto empresariales disponibles públicamente y que las medidas de respuesta a incidentes de Google mitigaron cualquier posible impacto. Salesforce, socio de servicios en la nube de Google, reiteró que la filtración se debió a un error humano y no a una falla en su tecnología o software.
El grupo ShinyHunters estaría utilizando la información exfiltrada para extorsionar a las empresas afectadas exigiendo pagos en criptomonedas a cambio de no filtrar los datos. Además, el grupo habría advertido que, una vez finalizadas estas extorsiones privadas, planearían vender o liberar los datos en foros clandestinos de internet.
Por el momento, Google no ha tenido que hacer frente a ninguna petición de rescate, ni extorsiones por parte de los ciberdelincuentes, pero si han surgido advertencias sobre posibles extorsiones futuras utilizando la información filtrada.
Referencias- 21/08/2025 thelogicalindian.com ShinyHunters Hackers Breach Google’s Salesforce Database Using Vishing, Exposing Small and Medium Business Clients
- 20/08/2025 larazon.es Google admite un hackeo histórico: 2.500 millones de cuentas de Gmail están comprometidas
- 10/08/2025 unaaldia.hispasec.com Google confirma filtración de datos tras ataque global a instancias de Salesforce
- 05/08/2025 cloud.google.com The Cost of a Call: From Voice Phishing to Data Extortion
Hackean un hogar inteligente a través de la IA Gemini
Un equipo de investigadores de la Universidad de Tel Aviv, Technion y SafeBreach descubrió una vulnerabilidad en Gemini, el asistente de inteligencia artificial de Google, que permitía tomar el control de dispositivos de un hogar inteligente. El ataque, denominado indirect prompt injection, se basaba en insertar comandos maliciosos en la descripción de un evento de Google Calendar. Al pedir el usuario a Gemini que resumiera su agenda, la IA ejecutaba sin advertirlo estas instrucciones ocultas.
En una demostración práctica realizada en un entorno de prueba, los investigadores lograron encender y apagar luces, subir persianas y activar la caldera, todo sin intervención directa del usuario. El ataque, bautizado como Invitation is all you need, es la primera prueba documentada de cómo una manipulación de IA puede provocar acciones físicas reales a partir de datos aparentemente inofensivos.
Tras conocerse el hallazgo, Google reforzó la seguridad de Gemini mediante filtros para detectar prompts sospechosos, un mayor control sobre eventos de calendario y la exigencia de confirmaciones explícitas antes de ejecutar órdenes sensibles.
Referencias EtiquetasFallo de seguridad en la IA de selección de McDonald’s expone datos de millones de solicitantes
En junio de 2025, investigadores de seguridad descubrieron una grave vulnerabilidad en McHire, la plataforma de selección de personal de McDonald’s gestionada por el chatbot de IA Olivia, desarrollado por Paradox.ai. El acceso al panel administrativo de un entorno de prueba estaba protegido únicamente con las credenciales por defecto “123456”, un error de seguridad básico que consiste en mantener activa una cuenta de prueba con una contraseña trivial y sin medidas como autenticación multifactor.
Este fallo, combinado con otra vulnerabilidad técnica (IDOR), permitió visualizar registros de hasta 64 millones de solicitudes de empleo, incluyendo datos personales como nombres, correos electrónicos, teléfonos y transcripciones de entrevistas virtuales. La filtración afectó a solicitantes de diferentes países, multiplicando el alcance del incidente.
Paradox.ai desactivó la cuenta vulnerable el mismo día que fue alertado y anunció un programa de recompensas por detección de fallos. McDonald’s calificó el incidente de “inaceptable” y reforzará sus exigencias de seguridad a proveedores. El caso evidencia cómo un descuido elemental en la configuración puede desencadenar una brecha masiva, incluso en entornos con tecnologías avanzadas como la inteligencia artificial.
Referencias- 30/06/2025 ian.sh Would you like an IDOR with that? Leaking 64 million McDonald’s job applications
- 09/07/2025 wired.com McDonald’s AI Hiring Bot Exposed Millions of Applicants’ Data to Hackers Who Tried the Password ‘123456’
- 10/07/2025 bitlifemedia.com McDonald’s sufre una filtración masiva de datos por un error de seguridad básico
- 10/07/2025 techspot.com McDonald's AI hiring chatbot exposed data of 64 million applicants with "123456" password
El grupo Scattered Spider pone el foco en entornos VMware vSphere
El grupo de ciberamenazas conocido como Scattered Spider ha vuelto a ser noticia en 2025 tras intensificar sus campañas dirigidas a entornos corporativos que utilizan VMware vSphere, una tecnología ampliamente adoptada para la virtualización de servidores.
Este colectivo, también identificado como UNC3944 o Muddled Libra por distintas firmas de ciberseguridad, ha mostrado una evolución notable en sus tácticas. Su actividad más reciente apunta específicamente a comprometer hipervisores VMware ESXi, una pieza crítica en muchas infraestructuras empresariales, con el objetivo de lanzar ataques de ransomware a través de máquinas virtuales alojadas en estos sistemas.
A diferencia de campañas anteriores, Scattered Spider evita cifrar sistemas físicos y se centra en el entorno virtual, lo que les permite maximizar el impacto operativo de sus acciones maliciosas. Para lograr el acceso inicial, utilizan una combinación de ingeniería social avanzada, phishing dirigido y, en muchos casos, suplantación de empleados para obtener credenciales legítimas. Una vez dentro, aprovechan herramientas de administración remota y scripts personalizados para moverse lateralmente por la red y comprometer los sistemas virtualizados.
Según los análisis recientes, esta campaña representa una amenaza significativa para organizaciones que dependen de entornos virtuales, ya que comprometer los hipervisores puede afectar múltiples sistemas y servicios de forma simultánea. Además, el uso de credenciales legítimas y herramientas estándar dificulta la detección por parte de los sistemas tradicionales de defensa.
Referencias- 28/07/25 securityweek.com Scattered Spider Targeting VMware vSphere Environments
- 28/07/25 redhotcyber.com Objetivo: ¡Tu voz! Scattered Spider ataca VMware ESXi clonando las voces de los empleados
- 28/07/25 cybersecuritynews.com Scattered Spider Hackers Actively Attacking Aviation and Transportation Firms
Recompensas récord para vulnerabilidades en WhatsApp
Meta, la compañía matriz de WhatsApp, se ha unido como patrocinadora de la prestigiosa competición de hacking Pwn2Own Ireland 2025, organizado por el Zero Day Initiative (ZDI) en Cork, entre el 21 y el 24 de octubre. En esta edición, se ofrecen recompensas sin precedentes por la detección de vulnerabilidades críticas en su plataforma de mensajería.
El premio más notable es de 1 millón de dólares para quienes logren demostrar un exploit de ejecución remota de código sin clic alguno (zero‑click RCE) en WhatsApp. Esta cifra supera ampliamente los 300 000 dólares que se ofrecían el año anterior por una vulnerabilidad similar.
Además de la categoría de mensajería, el concurso abarca un variado conjunto de categorías, reforzando su enfoque global de seguridad: dispositivos móviles, que este año incluyen un nuevo vector de ataque mediante USB, wearables, como gafas inteligentes Ray‑Ban y auriculares Quest, con recompensas de hasta 150.000 USD por exploits sin clic y 30.000 USD por jailbreaks y SOHO Smashup, una categoría que recompensa con 100.000 USD y un reconocimiento en puntos “Master of Pwn” a quien comprometa con éxito dispositivos de red doméstica en un plazo de 30 minutos. También se incluyen dispositivos de hogar conectado inteligentes, sistemas NAS (de QNAP y Synology), impresoras, y sistemas de vigilancia, con premios menores según el tipo de vulnerabilidad detectada.
Cabe destacar que, en la edición de 2024, Pwn2Own Ireland premió a investigadores con más de 1,06 millones de dólares por el hallazgo de más de 70 vulnerabilidades de día cero.
Referencias- 01/08/25 securityaffairs.com Meta backs Pwn2Own Ireland 2025 in Cork, offering up to $1M for WhatsApp exploits; targets include phones and wearables, Oct 21–24 via Zero Day Initiative
- 01/08/25 redhotcyber.com ¡WhatsApp en la mira! En Pwn2Own Irlanda 2025, se otorgará un premio de 1 millón de dólares por un exploit RCE sin clics
- 02/08/25 escudodigital.com Ofrecen 1 millón de dólares por encontrar brechas de seguridad en WhatsApp
- 04/08/25 scworld.com ZDI to offer $1M for WhatsApp zero-click exploit
Campaña de información sobre la Red Española de Agencias de Evaluación de Tecnologías Sanitarias y Prestaciones del SNS
Hawaiian Airlines sufre ciberataque en una campaña sobre el sector de la aviación
El 26 de junio de 2025 Hawaiian Airlines informó de haber sufrido un incidente de ciberseguridad, coincidiendo con varias advertencias emitidas por el FBI, y las empresas de ciberseguridad Mandiant y Palo Alto Networks, sobre ataques del grupo cibercriminal estadounidense Scattered Spider contra el sector de la aviación.
El FBI alertó que este grupo ha ampliado sus ataques a varias aerolíneas, utilizando técnicas de ingeniería social para acceder a sistemas, ya sea atacando las propias aerolíneas o a través de proveedores y contratistas de confianza de éstas. En el comunicado, el FBI indicó que las empresas deben reportar cualquier actividad sospechosa de inmediato para prevenir mayores daños.
Por otra parte, Mandiant indicó que en sus investigaciones han detectado múltiples incidentes similares en el sector y recomendó implementar medidas de protección como verificación robusta de identidad y autenticación multifactor resistente al phishing.
Hawaiian Airlines, filial de Alaska Air Group, declaró a la Comisión de Valores y Bolsa de Estados Unidos (SEC) que está trabajando con autoridades y expertos para investigar y mitigar el incidente, asegurando que sus vuelos continúan operando con normalidad. Hasta el momento, la aerolínea no ha publicado más información que determine el alcance del incidente.
Referencias- 27/06/2025 therecord.media Update: Hawaiian Airlines cyberattack has marks of Scattered Spider, sources say
- 01/07/2025 bitlifemedia.com Aflac, Gigante de Seguros, Víctima de Ciberataque Masivo: Datos Personales de Clientes en Riesgo Extremo
- 25/06/2025 paloaltonetworks.com Muddled Libra Threat Assessment: Further-Reaching, Faster, More Impactful
- 30/06/2025 securityweek.com Hawaiian Airlines Hacked as Aviation Sector Warned of Scattered Spider Attacks
Ciberataque sobre la compañía de seguros Aflac
La compañía Aflac, una de las mayores proveedoras de seguros complementarios de Estados Unidos, publicó el 20 de junio de 2025 que había sido víctima de un ciberataque que podría haber comprometido los datos personales de sus clientes. Este incidente fue detectado por sus servicios de seguridad el 12 de junio. La empresa ha declarado que se encuentra en las primeras fases de la investigación del incidente y que, por el momento, no puede determinar el impacto ni el número total de personas afectadas.
La compañía reveló que un actor de amenazadas consiguió acceder a su red utilizando tácticas de ingeniería social que formaban parte de una campaña coordinada contra el sector de seguros. Sin embargo, la compañía asegura que la intrusión fue contenida en pocas horas y que sus operaciones comerciales no se vieron afectadas.
La investigación inicial por parte de Aflac, estima que los archivos potencialmente comprometidos contienen información de las reclamaciones de seguros, datos de salud, números de seguridad social y otra información personal de clientes, beneficiarios, empleados, agentes y otras personas involucradas con su negocio en Estados Unidos.
Mientras continúa el proceso de investigación, Aflac está ofreciendo a los clientes potencialmente afectados supervisión crediticia, protección contra el robo de identidad, protección contra el fraude médico y atención al cliente durante 24 meses de forma gratuita. La compañía también ha habilitado una línea de atención telefónica dedicada para cualquier consulta.
- 20/06/2025 aflac.com Aflac Incorporated Discloses Cybersecurity Incident
- 23/06/2025 infosertecla.com Aflac, Gigante de Seguros, Víctima de Ciberataque Masivo: Datos Personales de Clientes en Riesgo Extremo
- 20/06/2025 bleepingcomputer.com Aflac discloses breach amidst Scattered Spider insurance attacks
- 21/06/2025 securityweek.com Aflac Finds Suspicious Activity on US Network That May Impact Social Security Numbers, Other Data
Campaña de ataque utiliza instaladores falsos para distribuir variante Sainbox RAT
El 26 de junio de 2025, la empresa de ciberseguridad Netskope publicó una investigación en la que da a conocer una nueva campaña de phishing que utiliza instaladores falsos de herramientas de software populares como WPS Office, Sogou y DeepSeek. Basándose en las tácticas, técnicas y procedimientos empleados, la campaña parece haber sido orquestada por el grupo de amenazas Silver Fox, con sede en China. Además, la investigación indica que la selección de objetivos apuntaba a usuarios de habla china.
Según Netskope, los sitios web falsos observados en esta campaña imitan los sitios oficiales de software legítimo. Sin embargo, cuando el usuario descarga los instaladores falsos, el archivo se obtiene desde una URL diferente.
Haciéndose pasar por software legítimo, los instaladores contienen la ejecución de un troyano de acceso remoto (RAT) y un rootkit. En esta campaña, concretamente despliegan una variante de Gh0stRAT llamada Sainbox RAT y el denominado como rootkit Hidden, basado en código fuente abierto. Sainbox RAT permite a los atacantes ejecutar payloads en los sistemas de las víctimas para robar información y realizar otras acciones maliciosas. El rootkit Hidden oculta estos payloads, impidiendo la terminación de procesos y evitando la detección de los mismos por parte de las víctimas.
Referencias- 26/06/2025 netskope.com DeepSeek Deception: Sainbox RAT & Hidden Rootkit Delivery
- 27/06/2025 securityweek.com Chinese Hackers Target Chinese Users With RAT, Rootkit
- 27/06/2025 thehackernews.com Chinese Group Silver Fox Uses Fake Websites to Deliver Sainbox RAT and Hidden Rootkit
- 01/07/2025 redhotcyber.com Nueva campaña de malware Silver Fox: propaga RAT y rootkits a través de sitios web falsos
Filtración de datos de Chain IQ afecta a grandes bancos y compañías de Suiza
Chain IQ, gran empresa dedicada a servicios de adquisición y compra indirecta, fue objeto de un ciberataque que afecta a los datos de otras 19 empresas. Entre las empresas afectadas, medios de comunicación destacan nombres como UBS, Pictet, Manor, Implenia, KPMG o Mizuho.
El ataque fue reivindicado el 11 de junio de 2025 por el grupo de ransomware Worldleaks, que publicó la vulneración de los sistemas de Chain IQ en su sitio web de filtraciones basado en Tor. Se anunció el robo de unos 910 GB de datos y más de 1,9 millones de archivos. La información robada está relacionada con las compras de algunos clientes que contratan los servicios de Chain IQ. La propia empresa afirmó que los atacantes consiguieron extraer datos que contenían detalles de contacto empresarial de empleados de clientes seleccionados, incluidos los números de teléfono de los empleados.
Después de la publicación de los datos, Chain IQ notificó a las autoridades policiales y comenzó a revisar todos sus sistemas, reforzando las medidas de protección y cortando el acceso de los atacantes al entorno afectado. De hecho, también se consiguió restaurar software introducido por los atacantes durante el ataque para su posterior análisis. Para el mantenimiento de la seguridad de sus sistemas, Chain IQ está colaborando con las empresas InfoGuard y Kyndryl.
Referencias- 17/06/2025 letemps.ch Plus de 100 000 employés d’UBS touchés par un vol massif de données sensibles, affectant aussi Pictet
- 19/06/2025 securityweek.com Chain IQ, UBS Data Stolen in Ransomware Attack
- 19/06/2025 chainiq.com Cyber-Attack Chain IQ Group AG
- 18/06/2025 reuters.com UBS and Pictet report data leak after cyber attack on provider, client data unaffected
- 18/06/2025 marketscreener.com UBS y Pictet informan de filtración de datos tras ciberataque a proveedor; datos de clientes no afectados
El fabricante sueco de camiones Scania investiga un ciberataque
El 12 de junio de 2025, el actor de amenazas, bajo el seudónimo “hensi”, publicó haber vulnerado el dominio insurance.scania.com de Scania, fabricante sueco de camiones pesados y autobuses, así como otros motores industriales. El actor habría robado supuestamente 34.000 archivos, que ha estado ofreciendo para su venta en un foro de ciberdelincuencia.
Scania confirmó a los medios que el subdominio insurance de su sitio web está asociado a los servicios de seguro de vehículos de Scania y que este servicio fue comprometido en el incidente. Además, la compañía señaló que este sitio es operado por un socio externo de TI. El sitio web afectado ha sido desconectado como resultado del incidente.
Scania detectó una intrusión al sitio web el 28 y 29 de mayo, utilizando credenciales previamente robadas a su socio externo mediante un malware del tipo infostealer. Las credenciales comprometidas dieron al atacante acceso al sistema de reclamaciones de seguros desde el cual consiguió descargar documentos sobre las propias reclamaciones. Al poco tiempo, el actor intentó extorsionar a la empresa antes de ofrecer la venta de la información robada. Se enviaron correos electrónicos a varios empleados de Scania, amenazando con filtrar los datos en línea a menos que se cumplieran sus demandas.
Actualmente se sigue investigando qué tipo de información se ha visto comprometida exactamente y cuántas personas se han visto afectadas por el incidente.
Referencias- 18/06/2025 escudodigital.com Scania se 'sube al carro' de los ciberataques a fabricantes de vehículos
- 19/06/2025 securityweek.com Swedish Truck Giant Scania Investigating Hack
- 17/06/2025 bleepingcomputer.com Scania confirms insurance claim data breach in extortion attempt
- 17/06/2025 scworld.com Cyberattack purportedly compromises Scania’s corporate insurance subsidiary
- 20/06/2025 diariodetransporte.com Piratas informáticos afirman haber atacado a Scania, con el robo de 34.000 documentos
Ciberataque paraliza la distribución de productos de alimentación de United Natural Foods
United Natural Foods (UNFI), el mayor distribuidor de productos de alimentación de Estados Unidos y Canadá, especializado en productos naturales, orgánicos y especializados, así como en alimentos convencionales, se ha visto obligado a cerrar algunos de sus sistemas tras detectar un reciente ciberataque ocurrido el 5 de junio de 2025.
El día 9, UNFI publicó una notificación diciendo que el ciberataque afectó a pedidos de sus clientes y causó interrupciones temporales en las operaciones comerciales. Esta publicación se produjo después de que, en foros y redes sociales, los usuarios alertaran que los sistemas de la empresa no funcionaban y que a los empleados les estaban cancelando turnos de trabajo.
Desde que el descubrimiento de la brecha de seguridad, UNFI ha notificado a las autoridades policiales pertinentes y ha contratado a expertos externos en ciberseguridad para la investigación del incidente. UNFI también ha tomado medidas para tratar de mantener la continuidad del servicio al cliente, aplicando medidas provisionales hasta que se restablezcan los sistemas afectados.
Unas semanas después, el 26 de junio, UNFI ha notificado que ya ha restablecido sus sistemas esenciales y ha puesto en línea los sistemas de pedidos y facturación en línea afectados por un ciberataque.
Hasta el momento, UNFI aún no ha revelado la naturaleza del ataque ni si algún grupo de ciberdelincuencia ha reivindicado la autoría de la brecha. Aun así, la empresa no prevé enviar ningún comunicado a los consumidores, ya que la empresa ha declarado que no se ha visto afectada la seguridad de la información personal de clientes o empleados.
Referencias- 26/06/2025 unfi.com UNFI Systems Update
- 09/06/2025 bleepingcomputer.com Grocery wholesale giant United Natural Foods hit by cyberattack
- 27/06/2025 bleepingcomputer.com Whole Foods supplier UNFI restores core systems after cyberattack
- 10/06/2025 cnn.com Empty shelves plague some Whole Foods after distributor knocked offline
- 11/06/2025 infobae.com Un ciberataque masivo ha provocado que Whole Foods se esté quedando con los anaqueles vacíos
DHL no está avisando por correo de que un paquete ha sido devuelto y que se cobrará una tarifa de envío
Cualquier usuario que haya recibido un correo electrónico con las características que se mencionan en este aviso, haya accedido a la URL que contiene e ingresado los datos que se solicitan.
DescripciónSe ha detectado una campaña que suplanta a la compañía de paquetería DHL. Consiste en el envío masivo de correos electrónicos informando, que un paquete ha sido devuelto a una oficina de DHL y para recuperarlo, tienen 48 horas además de pagar una tarifa a través de una URL que se proporciona.
4 - Alta SoluciónSi has recibido un mensaje como el descrito anteriormente, pero no has pulsado en el enlace fraudulento, lo más recomendable es que no interactúes con él. Puedes reportarlo a través de nuestro buzón de incidentes, tu colaboración puede ayudarnos a identificar nuevas campañas y proteger a otros usuarios. Posteriormente, márcalo como spam o correo no deseado y elimínalo de tu bandeja de entrada.
En caso de haber accedido al enlace y proporcionado información personal o bancaria, es importante que tomes medidas de inmediato:
- Contacta con tu banco lo antes posible para informar del fraude. Muchas entidades disponen de teléfonos de atención para estos casos y pueden ayudarte a proteger tu cuenta dándote pautas de cómo actuar.
- Revisa los movimientos bancarios con frecuencia para detectar y bloquear cualquier transacción no autorizada.
- Conserva todas las pruebas disponibles: correos, capturas de pantalla, URL del fraude, etc. Puedes emplear servicios de testigos online para dar validez a estas evidencias.
- Practica egosurfing de forma recurrente para comprobar si tus datos han sido publicados sin permiso en una filtración o reutilizados en otros fraudes.
- Contacta con la Línea de Ayuda en Ciberseguridad de INCIBE (017), donde recibirás orientación gratuita y confidencial sobre cómo actuar.
- Denuncia lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado, incluyendo toda la información que hayas recopilado. Esto es fundamental para facilitar la investigación.
- Si crees que una comunicación es sospechosa, verifica la autenticidad de cualquier mensaje contactando con el buzón de correos dedicado a combatir estos fraudes.
Para más información sobre este tipo de fraudes y cómo protegerte, visita nuestra página especializada.
DetalleSe ha detectado una campaña de suplantación a DHL a través de la técnica de phishing. Se trata del envío masivo de correos donde se comunica a las víctimas, que tienen un paquete que ha sido devuelto a una oficina de DHL y para recuperarlo se le cobrará una tarifa de envío de 2,86€. En dicho correo se comunica también que el usuario dispone de 48 horas para recogerlo y que si no lo hace se devolverá el paquete al remitente.
En el cuerpo de dicho correo se incluye una URL que permite al usuario acceder a un sitio web fraudulento el cual imita la apariencia con los colores, el diseño y el logotipo propio de la empresa DHL. Esto da sensación de legitimidad, pero si se observa la URL, no es la oficial. En este sitio se solicitan al usuario una serie de datos personales a través de un formulario y posteriormente se solicitará el pago de la cantidad mencionada anteriormente, introduciendo los datos bancarios de su tarjeta de crédito.
Hay varios indicios en el correo que te pueden hacer sospechar de su legitimidad:
- Dirección de correo del remitente que no es oficial de DHL.
- URL que pertenece a un dominio que no tiene nada que ver con DHL.
- Sensación de urgencia para actuar al poner un límite de 48 horas.
Antes de decidir y actuar, siempre es recomendable usar el sentido común y corroborar que la notificación proviene del sitio oficial.
Este correo se identifica con el asunto del correo el siguiente, ‘Notificación de envío de DHL 6540674221’ pero no se descarta que haya otros similares.
Tras pulsar en el enlace que contiene el correo, este redirecciona a un sitio web que imita al oficial de DHL y en el que aparece un formulario solicitando los siguientes datos personales: ‘Nombre completo’, ‘Correo electrónico’, ‘Dirección de envío’, ‘Ciudad’, ‘Código postal’, ‘Número de teléfono’, ‘Crear contraseña’ y ‘Confirmar contraseña’.
Tras haber ingresado los datos personales y pulsado en ‘Confirmar’ aparece una nueva pantalla con otro formulario de datos bancarios en el que se solicitan los siguientes datos: ‘Nombre del titular de la tarjeta’, ´Número de la tarjeta’, ‘Fecha de expiración’ y ‘Código de seguridad’.
Después de haber ingresado los datos y pulsado en ‘Confirmar’ se muestra una pantalla de ‘Pago seguro’ para dar sensación al usuario de ser un sitio de confianza.
Tras el proceso de ‘Pago seguro’ se puede observar que se solicita que se ingrese un código que has recibido supuestamente a través de un SMS, pero ese código no se llega a recibir.
Si se intenta introducir un código aleatorio se puede visualizar una nueva pantalla de ‘Pago seguro’ en esta ocasión en inglés.
Y tras esperar unos segundos, se informa al usuario que ha habido un error al conectarse al servidor y que el código ha caducado y que lo intente de nuevo.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).
Etiquetas CVE Explotación NoDescubiertas instalaciones nucleares rusas expuestas en Internet
Una investigación reciente publicada el 28 de mayo de 2025, revela que Rusia ha estado llevando a cabo una modernización a gran escala de su infraestructura de misiles nucleares durante varios años. El medio alemán Der Spiegel y el grupo danés Danwatch, descubrieron documentos clasificados filtrados que mostraban planes arquitectónicos, diseños internos y registros de adquisiciones para nuevas instalaciones militares. Los documentos también incluyen imágenes satelitales de silos nucleares que respaldan sus afirmaciones.
Aunque la investigación no especifica hasta qué punto los trabajos de construcción siguen fielmente los planos, los expertos vinculados a la investigación calificaron la filtración como una “gran violación de la seguridad” para Rusia y podría hacer que las nuevas grandes bases de armas nucleares sean vulnerables a un ataque. Según la publicación de Danwatch, se obtuvieron más de dos millones de documentos relacionados con contratos militares rusos, que se analizaron en colaboración con Der Spiegel.
En diciembre de 2020, el Parlamento ruso aprobó una nueva ley que debía endurecer las normas de contratación pública para el ejército, después de que las autoridades descubrieran que los secretos militares se compartían con demasiada frecuencia en las licitaciones. Por esas fechas, el Ministerio de Defensa ruso también creó una nueva base de datos de licitaciones para compras militares que estaría cerrada al público y sólo disponible para empresas rusas autorizadas. Sin embargo, los funcionarios de las empresas rusas de construcción militar han seguido compartiendo documentos sensibles en la base de datos pública. Danwatch y Der Spiegel recopilaron esa información sensible de las bases estratégicas de armas nucleares hasta verano de 2024. Para ello utilizaron diversas técnicas digitales, incluyendo una red de servidores situados en Rusia, Kazajstán y Bielorrusia.
Referencias- 28/05/2025 danwatch.dk Massive security breach: Russian nuclear facilities exposed online
- 29/05/2025 newsweek.com Russia's Secret Nuclear Changes Revealed In 'Huge' Security Breach
- 30/05/2025 huffingtonpost.es Un país clave de la OTAN pone en jaque a Rusia al revelar sus planes nucleares secretos
- 28/05/2025 cybernews.com Massive security blunder: Russian nuclear site blueprints exposed in public procurement database
El sistema de correo electrónico del Washington Post ha sido comprometido
El 12 de junio de 2025, el periódico Washington Post, uno de los periódicos más influyentes de Estados Unidos, detectó que las cuentas de correo de varios de sus periodistas habían sido comprometidas en un ciberataque dirigido. Estas cuentas utilizaban el servicio de mensajería de Microsoft Exchange.
El incidente se descubrió el jueves 12 de junio por la noche y, en ese momento, el periódico inició una investigación del incidente. Como primera medida de precaución, todos los empleados restablecieron sus contraseñas al día siguiente, aunque se estima que la intrusión no ha tenido ningún impacto en otros sistemas o en sus clientes.
Según The Wall Street Journal, el domingo 15 de junio, el editor ejecutivo Matt Murray, envió un memorándum interno a los empleados, informándoles de que había ocurrido una posible intrusión no autorizada en su sistema de correo electrónico. El memorándum también informaba que las cuentas de Microsoft de un número limitado de periodistas estaban afectadas. Fuentes internas dijeron que el ataque iba dirigido a periodistas que escriben sobre temas de seguridad nacional y política económica, así como a algunos que escriben sobre China.
Hasta el momento, Washington Post no ha compartido públicamente ningún detalle sobre el ataque.
Referencias- 15/06/2025 wsj.com Cyberattack on Washington Post Strikes Journalists’ Email Accounts
- 16/06/2025 bleepingcomputer.com Washington Post's email system hacked, journalists' accounts compromised
- 16/06/2025 reuters.com Washington Post investigating cyberattack on journalists' email accounts, source says
- 16/06/2025 bitlifemedia.com El Washington Post investiga un ciberataque a correos electrónicos de periodistas
INTERPOL desarticula red de malware infostealer en Asia
Durante la llamada operación Secure realizada entre enero a abril de 2025, más de 20.000 direcciones IP o dominios maliciosos vinculados a 69 variantes de infostealers han sido desmantelados en una operación coordinada por INTERPOL contra infraestructuras de ciberdelincuentes. Agencias de orden público de 26 países de Asia (principalmente sudeste asiático), trabajaron en conjunto para encontrar servidores, geolocalizar redes físicas y llevar a cabo desmantelamientos selectivos.
Los países participantes informaron de la incautación de 41 servidores y más de 100 GB de datos, así como de la detención de 32 sospechosos relacionados con actividades cibernéticas ilegales.
La policía vietnamita detuvo a 18 sospechosos, incautando dispositivos en sus domicilios y lugares de trabajo, más de 10.000 euros en efectivo, tarjetas SIM y documentos de registro de empresas. Las autoridades de Sri Lanka llevaron a cabo redadas domiciliarias que condujeron a la detención de 12 personas y a la identificación de 31 víctimas. La Policía de Hong Kong analizó más de 1.700 datos facilitados por INTERPOL e identificó 117 servidores de mando y control alojados en 89 proveedores de servicios de Internet. Estos servidores eran utilizados por los ciberdelincuentes como centros neurálgicos para lanzar y gestionar campañas maliciosas de phishing, fraudes en línea y estafas a través de las redes sociales.
Antes de la operación, INTERPOL cooperó con entidades de ciberseguridad como Group-IB, Kaspersky y Trend Micro para elaborar informes sobre actividades cibernéticas maliciosas, compartiendo información de equipos informáticos de toda Asia. Este trabajo coordinado dio lugar al cierre del 79% de las direcciones IP sospechosas identificadas.
Referencias- 11/06/2025 interpol.int 20,000 malicious IPs and domains taken down in INTERPOL infostealer crackdown
- 14/06/2025 escudodigital.com Interpol desmantela red global de malware infostealer con 32 detenidos
- 13/06/2025 itdigitalsecurity.es La Operation Secure de la Interpol golpea el cibercrimen en Asia
- 11/06/2025 thehackernews.com INTERPOL Dismantles 20,000+ Malicious IPs Linked to 69 Malware Variants in Operation Secure
Memoria de actividades 2024
Ya está disponible la Memoria 2024 de actividades de la ASD, con toda la información sobre el funcionamiento de la Asociación, eventos y actividades realizadas, grupos de trabajo, web y redes sociales.
Acerca de la Memoria 2024En el 2024 ha tenido un protagonismo muy destacado, tanto en la actualidad sanitaria como en el mundo en general, el ascenso de la IA generativa. La IA en salud, de hecho, es algo más que una nueva tecnología. Es un nuevo paradigma. La revolución de la IA en Salud, según pudimos ver en nuestra jornada de febrero, tiene más de revolución que de evolución.
Ante una tecnología tan rupturista, es no menos importante su regulación legal y su marco ético. En este
sentido, hemos hablado de la regulación de la IA en salud. Debe hacerse en el momento adecuado, ni
demasiado pronto, ni demasiado tarde. También deben tenerse en cuenta los múltiples riesgos: en este
sentido, me gustaría mencionar la lista ECRI de principales riesgos para la tecnología sanitaria.
Es necesario definir los perfiles profesionales para aplicar estas nuevas tecnologías. La IA, y el entorno en el
que se aplica, están en constante evolución. De ahí la urgencia y la importancia de definir un marco
ético donde el baremo de referencia sea el beneficio social. Esto requiere, que el proceso sea liderado por
los profesionales de la medicina y los gestores, gobiernos e instituciones.
Estamos en la última milla de la salud digital. Necesita un último esfuerzo para que pierda el adjetivo
«digital» pues ya no sea posible concebirla de otro modo. El futuro de la salud es digital. Lo digital, y en
especial la IA, nos permiten afrontar los muchos retos del futuro inmediato.
La memoria puede consultarse en el siguiente enlace.
La entrada Memoria de actividades 2024 se publicó primero en Asociación Salud Digital.
Descubierta página web para fans de Star Wars utilizada como plataforma de espionaje de la CIA
La Agencia Central de Inteligencia de Estados Unidos (CIA) creó una red secreta de sitios web, incluyendo uno dedicado a la saga de películas Star Wars, para comunicarse con sus informantes en el extranjero. Esta infraestructura clandestina fue descubierta entre 2010 y 2013 por servicios de contrainteligencia de países como Irán y China, lo que llevó a la detención y ejecución de varios de sus colaboradores en esos países.
En un reporte reciente, el investigador en ciberseguridad Ciro Santilli, muestra cómo, utilizando herramientas gratuitas como Wayback Machine y viewdns.info, logró mapear gran parte de dominios y direcciones IP de esta red. Santilli comenzó su investigación a partir de un reportaje de 2022 de la agencia de noticias Reuters, que revelaba errores técnicos en los sitios ocultos, como direcciones IP secuenciales que facilitaban su rastreo. También se basó en información de la organización Citizen Lab, que había identificado 885 páginas vinculadas a la CIA, aunque esa lista nunca fue publicada. Su análisis permitió detectar portales temáticos que iban desde deportes extremos hasta música, muchos dirigidos a países enemigos de Estados Unidos, pero también a aliados como Alemania, Francia, España, Perú y Brasil.
Santilli señala que su trabajo tiene como objetivo documentar estos hechos desde una perspectiva crítica, con énfasis en la transparencia pública y el debate ético sobre las operaciones secretas de inteligencia. Los hallazgos ofrecen una visión del alcance global de las actividades de espionaje digital de la CIA, y los riesgos humanos y estratégicos asociados.
Referencias- 26/05/2025 wired.com Un sitio para fans de Star Wars era en realidad una plataforma de espionaje de la CIA
- 28/05/2025 xataka.com La CIA usó una web falsa de Star Wars para reclutar espías. El plan acabó con varios agentes muertos
- 26/05/2025 404media.co The CIA Secretly Ran a Star Wars Fan Site
- 31/05/2025 cybernews.com How the CIA used a Star Wars fan site to run a spy network
