Asociación Valenciana de Informática Sanitaria
incibeb
Refuerzo de la ciberseguridad tras la brecha en Sistemas Oracle del Washington Post
Entre el 10 de julio y el 22 de agosto, el Washington Post sufrió una brecha de seguridad relacionada con una vulnerabilidad de día cero en Oracle E-Business Suite. La intrusión no fue detectada hasta finales de octubre, cuando el medio recibió comunicaciones de un individuo que afirmaba haber accedido a sus sistemas y haber robado datos sensibles. Posteriormente, el Washington Post notificó oficialmente a las autoridades pertinentes sobre el incidente.
El ataque se fundamentó en la explotación de una vulnerabilidad, que permite ejecutar código de forma remota sin requerir de una autenticación previa en el componente de integración BI Publisher de Oracle EBS. El grupo responsable del incidente fue Cl0p, vinculado a campañas de extorsión en otros sectores. Tras la intrusión, se vieron afectados 9720 empleados y contratistas del Washington Post cuyos datos personales y financieros (nombres, números de la Seguridad Social, cuentas bancarias e identificadores fiscales) fueron expuestos, como consecuencia del ciberataque.
A día de hoy, el fallo está siendo investigado, la empresa ha implementado los parches ofrecidos por Oracle y ha notificado formalmente a las personas afectadas. Oracle, por su parte, lanzó actualizaciones urgentes y emitió una alerta de seguridad crítica para mitigar la vulnerabilidad.
- 04/10/2025 oracle.com Oracle Security Alert Advisory - CVE-2025-61882
- 04/10/2025 cloud.google.com Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign
- 04/10/2025 oracle.com Oracle Critical Patch Update Advisory - October 2025
- 06/11/2025 cybernews.com Washington Post is latest victim of Oracle-hacking Cl0p gang
- 07/11/2025 techcrunch.com Washington Post confirms data breach linked to Oracle hacks
- 13/11/2025 cyberscoop.com Washington Post confirms data on nearly 10,000 people stolen from its Oracle environment
- 13/11/2025 theregister.com Extra, extra, read all about it: Washington Post clobbered in Clop caper
- 14/11/2025 securityweek.com Washington Post Says Nearly 10,000 Employees Impacted by Oracle Hack
Rápida detección frente a una intrusión en la Federación Francesa de Tiro
El 20 de octubre de 2025, la Federación Francesa de Tiro (Fédération Française de Tir, FFTir) detectó un incidente de ciberseguridad que afectó a su sistema de información ITAC. La intrusión habría ocurrido entre los días 18 y 20 de octubre, pero la organización no publicó su comunicado oficial hasta algunos días después, cuando confirmó la naturaleza del ataque. Esta situación despertó rápidamente preocupación, dado el tamaño de la federación y la sensibilidad de los datos involucrados.
El ataque consistió en un acceso no autorizado que permitió a los atacantes extraer información personal de tiradores deportivos, cazadores y personas con licencia de armas registradas en la FFTir. Entre los datos potencialmente comprometidos figuran nombres, apellidos, fecha y ciudad de nacimiento, y direcciones de correo electrónico. La federación afirmó que no se almacenan datos bancarios ni información directa sobre la posesión de armas, por lo que estos no se habrían visto afectados. Como medida de seguridad, se desconectaron los servidores implicados, se inició una investigación interna con la ayuda de expertos en ciberseguridad y se notificó el incidente a las autoridades competentes, entre las que se encuentran la ANSSI y la CNIL. Además, se recomendó a los usuarios que extremen la precaución ante posibles intentos de fraude o phishing.
Mientras la FFTir se esfuerza por restablecer y garantizar por completo su infraestructura digital, organismos oficiales y expertos continúan investigando el incidente. Cybermalveillance.gouv.fr y otros organismos han dado sugerencias para los individuos involucrados, resaltando la relevancia de estar alerta ante las comunicaciones sospechosas y el potencial uso irregular de su información. La federación ha señalado que, en el futuro, intensificará sus acciones de ciberseguridad y colaborará con las autoridades para esclarecer por completo el ataque, determinar su impacto final y prevenir la ocurrencia de un incidente análogo.
- 23/10/2025 fftir.org Communication relative à un incident de sécurité
- 24/10/2025 ladepeche.fr Piratage de données : la Fédération française de tir touchée, "aucune coordonnée bancaire" ni information relative à la "détention d’armes" menacées
- 24/10/2025 armes-ufa.com Communiqué de l’UFA : fuite de données tir sportif
- 24/10/2025 lequipe.fr La Fédération française de tir victime d'un piratage de données personnelles de ses licenciés
- 07/11/2025 cybermalveillance.gouv.fr Violation de données personnelles de la Fédération Française de Tir : situation, risques et recommandations
Hyundai AutoEver refuerza su seguridad tras un ciberataque que expondría datos personales
Entre el 22 de febrero y el 2 de marzo de 2025, Hyundai AutoEver América (HAEA), una filial de Hyundai que desarrolla software para la industria automotriz, sufrió un ciberataque que comprometió los datos personales de sus empleados y contratistas. La intrusión se detectó el 1 de marzo de 2025, cuando se identificó un acceso no autorizado a la red de la empresa. Tras esto, la compañía activó sus protocolos de seguridad, bloqueó el acceso a sus sistemas externos e inició una investigación forense con especialistas en ciberseguridad para determinar el alcance total de la brecha.
Entre los datos comprometidos se encuentran información crítica de identificación, como los números de la Seguridad Social, las fechas de nacimiento y las direcciones residenciales. Como respuesta, la empresa ha puesto en marcha servicios de supervisión, durante dos años, para las personas perjudicadas y ha aconsejado que revisen sus movimientos bancarios y consideren la activación de alertas de fraude para mitigar posibles daños.
Hyundai AutoEver América está llevando a cabo investigaciones sobre la brecha de datos, trabajando con las autoridades pertinentes para entender el alcance del ataque cibernético. La empresa ha confirmado que no se ha visto comprometida ninguna información relacionada con las operaciones de vehículos conectados ni con la infraestructura crítica.
- 05/11/2025 enigmasecurity.cl Fuga de datos en Hyundai AutoEver America expone números de Seguro Social y licencias de conducir
- 06/11/2025 cybernews.com Hyundai AutoEver clarifies number of individuals affected in breach of automakers IT services arm
- 07/11/2025 escudodigital.com Una división de Hyundai confirma el robo de licencias de conducir tras un ciberataque
- 07/11/2025 techradar.com Hyundai IT services breach could put 2.7 million Hyundai, Kia owners in the US at risk
- 07/11/2025 tomsguide.com Up to 2.7 million Hyundai and Kia owners at risk after massive data breach — drivers licenses, SSNs and more exposed
Respuesta rápida y coordinada de Svenska Kraftnät ante un ciberataque a la red eléctrica Sueca
El 26 de octubre de 2025, Svenska kraftnät, la entidad que se encarga de operar el sistema de transmisión eléctrica de Suecia, confirmó haber sufrido un ataque cibernético mediante un ransomware. A pesar de la gravedad del incidente, la empresa declaró que no había indicios de que el sistema eléctrico hubiera sufrido daños, y que el suministro de electricidad permanecía intacto. El grupo de ciberdelincuentes llegó a robar unos 280 GB de información interna, aunque aún se investiga qué datos específicos fueron comprometidos.
El grupo Everest se atribuyó la autoría del ataque, lo que incrementó la inquietud acerca de la naturaleza del incidente. En respuesta, Svenska kraftnät ha comenzado una exhaustiva investigación para establecer el alcance de la filtración de datos y evaluar las implicaciones y las consecuencias del ataque. Así mismo, la compañía lo ha notificado a las autoridades suecas y está colaborando con otras entidades de ciberseguridad.
A medida que la investigación sigue su curso, el operador de la red eléctrica ha reiterado que no se ha producido ninguna alteración en la distribución de electricidad. A pesar de que Svenska kraftnät ha sabido gestionar la crisis de forma transparente, el acontecimiento ha expuesto la vulnerabilidad de las infraestructuras tecnológicas de alto valor. En el futuro, se espera que las autoridades suecas y las operadoras de infraestructura energética fortalezcan sus defensas cibernéticas y mejoren la cooperación internacional en ciberseguridad para prevenir incidentes similares.
- 28/10/2025 techradar.com Sweden power grid confirms cyberattack, ransomware suspected
- 28/10/2025 cybernews.com Swedish power grid operator confirms it was hit by hacker attack
- 28/10/2025 cyberpress.org Swedish Power Grid Operator Confirms Breach After Everest Ransomware Claim AnuPriya By AnuPriya October 28, 2025
- 28/10/2025 cybersecuritynews.com Swedish Power Grid data breach
Refuerzo de la seguridad en la Oficina de Presupuesto del Congreso de EEUU tras un incidente cibernético
El 24 de octubre de 2023, la Oficina de Presupuesto del Congreso (CBO) de Estados Unidos fue víctima de un ciberataque. En concreto, el informe oficial señala que el día 6 de noviembre la agencia reconoció públicamente que sus sistemas habían sido vulnerados por un actor no identificado, lo que potencialmente permitió el acceso a datos gubernamentales sensibles.
La infraestructura de la CBO se vio comprometida por el ataque cibernético, lo cual tuvo un impacto en su capacidad operativa durante un breve periodo. A pesar de que no se dieron a conocer aspectos precisos acerca del alcance del ataque ni si se produjo una filtración de datos sensibles, la Oficina de Presupuesto del Congreso sostuvo que los atacantes no lograron acceder a información crítica sobre el presupuesto federal. Ante este incidente, la CBO ha implementado nuevas medidas de seguridad, incluyendo el refuerzo de la protección contra intrusiones y la adopción de mejores prácticas en la gestión de datos. Asimismo, la CBO colaboró con entidades de seguridad cibernética para investigar el ataque y mitigar cualquier riesgo de futuros incidentes.
Actualmente, la CBO ha declarado que sus sistemas han sido restaurados y que no se ha producido una pérdida significativa de información. A pesar de que se siguen llevando a cabo las investigaciones, no se ha identificado quienes fueron los responsables del ataque ni se ha detallado el tipo específico de ciberataque que tuvo lugar. Este incidente pone de manifiesto la vulnerabilidad de las agencias gubernamentales frente a amenazas cibernéticas, y podría generar más esfuerzos a nivel federal para mejorar la seguridad digital en todos los sectores gubernamentales.
- 06/11/2025 abcnews.go.com Congressional Budget Office implements new security measures after getting hacked
- 06/11/2025 washingtonpost.com The Congressional Budget Office was hacked. It says it has implemented new security measures
- 06/11/2025 apnews.com The Congressional Budget Office was hacked. It says it has implemented new security measures
- 07/11/2025 reuters.com US Congressional Budget Office hit by cybersecurity incident
Amazon Web Services supera un incidente global y refuerza su infraestructura
Entre la noche del 19 y la madrugada del 20 de octubre de 2025, Amazon Web Services (AWS) sufrió una caída global que afectó a millones de usuarios y empresas en todo el mundo. El incidente se originó en la región US-EAST-1, una de las más significativas dentro de la infraestructura de AWS, provocando interrupciones en múltiples servicios en línea. Plataformas populares como Snapchat, Roblox, Fortnite y Amazon.com sufrieron fallos de conexión, al igual que numerosas aplicaciones y sitios web corporativos que dependen de los servidores de AWS. El incidente tuvo una duración aproximada de tres horas y media, durante las cuales se registraron fallos intermitentes y pérdida de conectividad en diversas zonas geográficas.
El origen del problema fue identificado como un error en la resolución de DNS (Domain Name System) que afectó a los ‘endpoints’ del servicio DynamoDB, una base de datos fundamental en la nube de Amazon. Este fallo impidió que muchas aplicaciones y servicios pudieran conectarse correctamente a sus servidores, provocando el colapso temporal de servicios críticos. AWS anunció de manera oficial que la razón del problema fue identificada por sus ingenieros unas horas después del inicio del incidente y que se implementaron medidas de mitigación progresivas para recuperar la conectividad. Durante el proceso, la compañía mantuvo informados a sus clientes a través de su panel de estado y del portal de noticias corporativo a lo largo del proceso, confirmando la recuperación completa del sistema a las 2:24 AM PDT el día 20 de octubre.
Actualmente, los servicios de AWS operan con normalidad, y la compañía ha asegurado que se encuentra realizando un análisis exhaustivo post-mortem del incidente con el objetivo de evitar su repetición. En su comunicado oficial, Amazon indicó que se implementarán mejoras en la gestión de DNS y redundancia de las rutas de resolución con el fin de fortalecer la estabilidad del sistema ante futuras contingencias. Asimismo, se comprometió a compartir un informe técnico detallado con los clientes afectados. A pesar de que el suceso tuvo un impacto a nivel global y puso de manifiesto la dependencia masiva del ecosistema digital de AWS, la rápida respuesta técnica permitió restablecer los servicios sin pérdidas de datos ni daños mayores a la infraestructura.
- 23/10/2025 aboutamazon.com Update - AWS services operating normally
- 21/10/2025 reuters.com Amazon says AWS cloud service back to normal after outage disrupts businesses worldwide
- 21/10/2025 aljazeera.com What caused Amazon’s AWS outage, and why did so many major apps go offline?
- 21/10/2025 theweek.com How the online world relies on AWS cloud servers
- 20/10/2025 networkworld.com AWS DNS error hits DynamoDB, causing problems for multiple services and customers
Conduent Incorporated confirma una filtración de datos de al menos 10,5 millones de usuarios tras ciberataque
A finales de octubre de 2025, Conduent Incorporated informó a las autoridades que una brecha de seguridad detectada el 13 de enero de 2025 ha afectado a más de 10,5 millones de pacientes. Este incidente de ciberseguridad afectó a parte de su entorno tecnológico. La compañía, proveedor global de soluciones digitales para el sector público y privado, comunicó el suceso de forma transparente a sus clientes y a los organismos reguladores. Entre la información comprometida, se encuentran datos sobre nombres, números de la Seguridad Social (SSN), fechas de nacimiento, datos médicos, etc.
Según la información presentada ante la SEC en abril y las notificaciones enviadas a autoridades estatales, un actor no autorizado y, perteneciente al grupo de ciberdelincuentes SafePay, accedió a un conjunto limitado de sistemas y filtró archivos vinculados a ciertos clientes, lo que implicó datos personales de sus usuarios finales. Las estimaciones recogidas por diferentes informes sitúan el alcance en más de 10,5 millones de personas en EE. UU.
La compañía respondió aplicando de inmediato sus protocolos de seguridad, trabajando con especialistas externos y reforzando sus controles para evitar incidentes similares en el futuro. Conduent continúa colaborando con clientes y autoridades, mostrando un enfoque proactivo y orientado a la protección de los datos y a la recuperación operativa tras el ataque.
Referencias- 27/10/2025 databreachtoday.com Back-Office Servicer Reports Data Theft Affects 10.5M
- 30/11/2025 crn.com Conduent Breach Affected At Least 10.5M Victims: Disclosure
- 01/11/2025 hispasec.com Brecha de datos en Conduent expone información de más de 10 millones de usuarios en EE.UU.
- 04/11/2025 bankinfosecurity.com Lawsuits, Investigations Piling Up in Conduent Hack
- 09/04/2025 sec.gov UNITED STATES. SECURITIES AND EXCHANGE COMMISSION. Washington, D.C. 20549
Investigadores descubren vulnerabilidad en la web de la FIA que expone datos de sus pilotos
El 3 de junio de 2025, los investigadores Gal Nagli, Sam Curry e Ian Carroll informaron de una vulnerabilidad crítica en el portal de categorización de pilotos de la Federación Internacional del Automóvil (FIA). La vulnerabilidad permitía que un usuario con permisos limitados cambiara su propio rol dentro del sistema (por ejemplo, pasando de usuario normal a administrador). Gracias a ese cambio de rol, podía obtener acceso al panel de administración del portal de la FIA, que normalmente está restringido solo al personal autorizado.
Desde este portal, los investigadores señalaron que era posible ver y descargar información confidencial de los pilotos, incluyendo pasaportes, currículums, hash de contraseñas y otra información personal, además de comunicaciones internas de los usuarios y empleados.
La FIA respondió al aviso de los investigadores desactivando el portal para mitigar el riesgo y poder corregir el error. La vulnerabilidad fue causada por un fallo en los controles de acceso a la API del portal.
El 10 de junio la vulnerabilidad fue parcheada y el portal de categorización de pilotos fue restaurado. La FIA también realizó una investigación que confirmó que no hubo explotación de la vulnerabilidad por un atacante malicioso.
Finalmente, la FIA, en colaboración con los investigadores, ha asegurado que tomará medidas adicionales para fortalecer la seguridad de sus plataformas y evitar futuros incidentes. Además, ha indicado que seguirá los procedimientos adecuados para notificar a los usuarios afectados de acuerdo con las normativas de privacidad y protección de datos.
Referencias- 22/10/2025 ian.sh Hacking Formula 1: Accessing Max Verstappen's passport and PII through FIA
- 23/10/2025 racefans.net FIA responds to hack of website containing Verstappen’s passport and other drivers’ data
- 23/10/2025 crash.net FIA respond to hack of website containing Verstappen's private data
- 25/10/2025 escudodigital.com Los datos de pilotos de Fórmula 1, expuestos por una brecha de seguridad
- 23/10/2025 infobae.com La FIA sufre un hackeo y se filtran datos confidenciales de los pilotos de Fórmula 1
Filtración de datos de Verisure afecta a clientes en Suecia
El 17 de octubre de 2025, el proveedor de servicios de seguridad Verisure, anunció un acceso no autorizado por parte de un tercero a los datos de clientes en Suecia. Este incidente se produjo una semana después de que Verisure debutara en la bolsa sueca.
En su comunicado, la empresa indicó que están investigando el incidente y que no han encontrado evidencias de que sus sistemas hayan sido comprometidos. En su lugar, la investigación destaca que la intrusión se produjo en el sistema informático de Alert Alarm, una empresa de Suecia adquirida por Verisure. Esta intrusión afectó específicamente al sistema de facturación de terceros que presta servicio a los clientes de Alert Alarm.
La revisión de los registros del sistema de Verisure, concluye que los datos afectados incluyen nombres, direcciones postales, direcciones de correo electrónico y números de la Seguridad Social de aproximadamente 35.000 clientes actuales y antiguos de Alert Alarm en Suecia. Actualmente, el número de clientes de Alert Alarm es inferior a 6.000.
Por su parte, Verisure ha notificado el incidente a las autoridades pertinentes y continúa con la investigación. Además, la empresa se ha comprometido a mantener informados a sus clientes de Alert Alarm a medida que surjan nuevos detalles del incidente.
Referencias- 17/10/2025 eleconomista.es Securitas Direct (Verisure) sufre un ciberataque una semana después de debutar en la bolsa sueca
- 20/10/2025 bitlifemedia.com Securitas Direct sufre un ciberataque con una filtración grave de datos
- 17/10/2025 swedenherald.com Verisure Data Breach Affects 35000 Alert Alarm Customers
- 17/10/2025 verisure.com Statement on unauthorised third-party access to Alert Alarm’s external billing partner’s system in Sweden
Ciberataque interrumpe la producción de cerveza Asahi en Japón
El 29 de septiembre, el grupo japonés Asahi, dedicado a la producción y exportación de cerveza a nivel global, anunció un fallo en sus sistemas causado por un ciberataque que ha afectado a sus operaciones en Japón durante varias semanas. Debido a este ataque, Asahi suspendió todos los pedidos y envíos a empresas, y los servicios de atención telefónica en Japón.
Tras la detección el incidente, Asahi realizó una investigación de lo sucedido. A través de esta investigación, el 3 de octubre, se descubrió que los servidores habían sido objeto de un ataque de ransomware.
El grupo de ransomware Qilin se atribuyó el ataque a Asahi el 7 de octubre publicando en su sitio web 29 imágenes que el grupo afirmaba que pertenecían a documentos internos de Asahi. Este equipo cibercriminal opera una plataforma de ransomware como servicio que permite a usuarios llevar a cabo ataques a cambio de un porcentaje de las ganancias obtenidas mediante extorsión. En su publicación, Qilin afirmó haber robado más de 9.300 archivos y 27 gigabytes de datos.
Días más tarde, el 14 de octubre, durante la investigación del incidente, Asahi ha anunciado que es posible que cierta información personal se haya visto comprometida como consecuencia de una transferencia de datos no autorizada. La corporación ha anunciado que, si se confirma esta filtración, notificará a las personas afectadas y tomará las medidas necesarias de conformidad con la legislación aplicable en materia de protección de datos personales.
Referencias- 29/09/2025 asahigroup-holdings.com Notice of System Failure Due to Cyberattack
- 02/10/2025 eleconomista.es Japón se quedará sin Asahi en unos días tras un ciberataque a la mayor cervecera del país
- 08/10/2025 reuters.com Japan's Asahi hack that halted beer production claimed by Qilin ransomware group
- 03/10/2025 apnews.com Cyberattack hits major Japanese beverage producer, affecting its operations
- 03/10/2025 theguardian.com Japan days away from running out of Asahi Super Dry due to cyber attack – reports
Brecha de datos a BMW provocada por un ataque hacia un proveedor externo
El 14 de septiembre de 2025, el grupo cibercriminal de ransomware Everest hizo pública su autoría de la filtración de datos del fabricante alemán automovilístico BMW a través de su portal de filtraciones. Según el grupo, habían conseguido robar documentos confidenciales de la empresa, y anunciaron que publicarían más información sensible en las siguientes 48 horas si no se iniciaban negociaciones.
Tres días después, el 17 de septiembre, al no recibir respuesta por parte de BMW, Everest actualizó su publicación. En ella, indicaron que se había extraído aproximadamente 600.000 líneas de documentos internos de BMW, que incluían informes de auditoría internos, diseños y especificaciones de ingeniería, y comunicaciones de ejecutivos de la empresa.
BMW confirmó oficialmente que el incidente había ocurrido debido a una filtración de datos en un proveedor externo ubicado en Estados Unidos. La compañía aseguró que sus propios sistemas internos no se vieron comprometidos, pero reconoció que había sido afectada por la filtración y que está tomando medidas para proteger la información y minimizar el impacto.
Referencias- 28/09/2025 escudodigital.com BMW sufre una brecha de datos a través de un proveedor externo
- 17/09/2025 cybernews.com BMW claimed by Everest gang: Have luxury brands become the latest ransomware trend?
- 18/09/2025 gbhackers.com BMW Reportedly Hit by Everest Ransomware, Internal Files Stolen
- 18/09/2025 scworld.com BMW purportedly infiltrated by Everest ransomware gang
Brecha de datos a Clarins afecta a más de 600.000 clientes
El 18 de septiembre, el grupo francés de productos de lujo para el cuidado de la piel Clarins notificó a sus clientes sobre una filtración de datos publicada por el grupo de ransomware Everest. Los datos de Clarins se publicaron en el blog de la dark web del grupo, donde revelaron haber obtenido datos de más de 600.000 clientes de la empresa en Estados Unidos, Francia y Canadá.
Everest también afirmó haber obtenido otras dos bases de datos con documentos e información personal de los usuarios procedentes de las tiendas online de Clarins de diferentes regiones. Los detalles revelados incluyen historiales de compras de diferentes categorías, como cuidado de la piel y maquillaje.
Después de la publicación del incidente, Clarins confirmó por su parte que los datos de contacto de algunos clientes habían sido descargados ilícitamente por un tercero, pero la empresa indicó que había actuado de inmediato para resolver el problema y que el incidente había quedado totalmente controlado. Según Clarins, no se había comprometido ninguna información financiera como números de cuentas bancarias, tarjetas de crédito o contraseñas.
La empresa informó a las autoridades pertinentes de lo sucedido y aconsejó a los clientes que permanecieran alerta ante correos electrónicos, llamadas o mensajes de texto sospechosos, para evitar posibles intentos de phishing o fraude.
Referencias- 16/09/2025 escudodigital.com La firma de cosmética de lujo Clarins, afectada por un ataque de ransomware
- 19/09/2025 mediaweek.com.au Skincare giant Clarins delays notifying customers of alleged data breach
- 16/09/2025 scworld.com Over 600K Clarins clients impacted by Everest ransomware-claimed intrusion
- 15/09/2025 cybernews.com Data breach exposes 600K luxury skincare firm users, hackers claim
Brecha de datos sobre la plataforma BIG-IP de la compañía tecnológica F5
El 15 de octubre de 2025, la empresa de seguridad en redes y aplicaciones F5, emitió un comunicado en el que informó sobre un acceso no autorizado en sus sistemas que provocó una filtración de datos. Según se indica, el 9 de agosto de 2025 un actor malicioso, consiguió acceso persistente a ciertos sistemas de F5 y descargó archivos de ellos.
Según la investigación del incidente, F5 ha confirmado que el autor de la amenaza extrajo archivos de su entorno de desarrollo de productos BIG-IP y de plataformas de gestión de conocimiento de ingeniería. BIG-IP es la plataforma de F5 para la gestión de la seguridad y el tráfico de aplicaciones. Los archivos extraídos contenían código fuente de BIG-IP e información sobre vulnerabilidades sin publicar en las que la empresa estaba trabajando para su mitigación. Algunos de los archivos filtrados de la plataforma de gestión del conocimiento también contenían información sobre configuraciones de aplicaciones de clientes.
El acceso a estos sistemas podría permitir a un actor malicioso explotar el software y dispositivos de F5 o, buscar fallos y vulnerabilidades, para así desarrollar exploits específicos. Con ello, se podrían realizar acciones como obtener credenciales y claves de acceso, moverse lateralmente dentro de la red, filtrar datos o implementar un acceso persistente al sistema.
En respuesta a este incidente, F5 ha indicado que están tomando medidas de ciberseguridad para la protección de sus sistemas, contratando a empresas como CrowdStrike, Mandiant y otros expertos en ciberseguridad.
Referencias- 16/10/2025 redhotcyber.com F5 sufre una vulneración de seguridad: robo de código fuente y datos confidenciales
- 15/10/2025 thehackernews.com F5 Breach Exposes BIG-IP Source Code — Nation-State Hackers Behind Massive Intrusion
- 16/10/2025 cyber.gov.au Multiple high-severity vulnerabilities in F5 products and incident impacting F5
- 15/10/2025 f5.com K000154696: F5 Security Incident
Reino Unido multa a Capita con 14 millones de libras debido al ciberincidente ocurrido en 2023
El 15 de octubre de 2025, la Oficina del Comisionado de la Información (ICO), como agente regulador de la protección de datos en el Reino Unido, ha multado a la empresa de subcontratación Capita con un total de 14 millones de libras por una filtración de datos ocurrida en marzo de 2023.
El ataque afectó a los datos de 6,6 millones de personas. Estos datos contenían registros personales, registros de pensiones y detalles de clientes de las organizaciones asociadas a Capita. En algunos casos, también se filtraron datos financieros, antecedentes penales y de categorías especiales.
El ataque comenzó el 22 de marzo de 2023 cuando un empleado descargó involuntariamente un archivo malicioso. A los 10 minutos, el sistema de seguridad de la compañía activó una alerta de seguridad de alta prioridad y realizó algunas medidas automáticas de protección. Sin embargo, Capita no puso en cuarentena el dispositivo afectado por este archivo malicioso hasta que pasaron 58 horas, tiempo durante el cual el atacante pudo explotar el sistema.
El archivo malicioso permitió la instalación de malware en la red de Capita, con el cual el atacante podía permanecer en el sistema, obtener permisos de administrador y acceder a otras áreas de la red. Una vez obtenido el acceso, entre el 29 y el 30 de marzo, se extrajo casi un terabyte de datos. Al día siguiente, el 31 de marzo, se instaló un ransomware en los sistemas de Capita y se restablecieron todas las contraseñas para que el personal de Capita no accediera al sistema.
La investigación de la ICO reveló que Capita no había garantizado la seguridad del tratamiento de los datos personales. En concreto, la ICO detalla que no se impidió la escalada de privilegios y los movimientos laterales, no se respondió adecuadamente a las alertas de seguridad y, no se implementaron adecuadamente pruebas de penetración y evaluación de riesgos.
Referencias- 16/10/2025 itmastersmag.com Reino Unido multa a empresa de servicios digitales con $18.7 mdd por filtración de datos
- 15/10/2025 bbc.com Outsourcing firm Capita fined £14m after millions had data stolen
- 15/10/2025 theguardian.com Capita fined £14m for data protection failings in 2023 cyber-attack
- 15/10/2025 ico.org.uk Capita fined £14m for data breach affecting over 6m people
Juego de Steam infecta a usuarios a través de un malware camuflado
El 30 de julio de 2025, el juego BlockBlasters fue publicado en Steam, la popular plataforma de distribución digital de videojuegos. Semanas más tarde, el 30 de agosto, una actualización del juego introdujo un código malicioso en el ejecutable del mismo para distribuir malware de tipo crypto-drainer, diseñado para el robo de criptomonedas, credenciales y otros datos sensibles del dispositivo de los usuarios. El malware se activaba al iniciar el juego y operaba en segundo plano, enviando la información robada a servidores externos controlados por los atacantes.
Se estima que el ataque afectó a más de 260 usuarios, con pérdidas estimadas en alrededor de 150.000 dólares. Uno de los casos más notorios fue el del streamer RastalandTV, quien perdió unos 32.000 dólares que estaban destinados a su tratamiento médico de cáncer. Investigadores de ciberseguridad estiman que el desarrollador del juego o su cuenta de Steam fueron comprometidos por los atacantes, permitiendo posteriormente añadir el código malicioso en una actualización supuestamente legítima.
Tras hacerse público el incidente, Steam eliminó el juego BlockBlasters de su plataforma y se recomendó a todos los afectados formatear sus equipos, revocar permisos de sus wallets y cambiar contraseñas.
Este incidente demuestra que Steam no realiza una verificación de seguridad sobre el código de los juegos que se publican en su plataforma. Se revisa el contenido, metadatos, precios y derechos de autor, pero no se realiza un escaneo de seguridad profundo de los binarios.
Referencias- 22/09/2025 gdatasoftware.com BlockBlasters: Infected Steam game downloads malware disguised as patch
- 27/09/2025 periodicotribuna.com.ar Block Blasters: el “juego gratis” en Steam que escondía un robo millonario, dejó a un streamer sin dinero para tratar su cáncer e involucra a un cibercriminal argentino
- 26/09/2025 infobae.com Streamer sufre robo en vivo de más de 30.000 dólares mientras recaudaba fondos para tratar su cáncer
- 25/09/2025 clarin.com Un streamer con cáncer perdió sus ahorros por un virus en un videojuego y acusan a un argentino que vive en Miami
Ataque de phishing masivo sobre la Universidad Western Sydney
El 6 de octubre de 2025, estudiantes y exalumnos de la Universidad de Western Sydney (WSU) recibieron un ataque de phishing masivo a través de correos electrónicos fraudulentos. Los mensajes alegaban que sus títulos académicos habían sido revocados y que quedaban excluidos permanentemente de la universidad. Al día siguiente, la universidad confirmó que estos correos no eran legítimos y que efectivamente se trataba de un intento de fraude.
Previamente a este ataque, la Universidad Western Sydney había detectado dos instancias de actividad inusual el 6 y el 11 de agosto de 2025. Esta actividad ocurrió en el Sistema de Gestión del Estudiante de la universidad, alojado en una plataforma en la nube de un proveedor externo. La universidad ordenó al proveedor externo que cerrara el acceso a su plataforma e inició una investigación que confirmó que se obtuvo acceso no autorizado a este sistema a través de otro vinculado a dicha plataforma entre el 19 de junio y el 3 de septiembre de 2025.
La información personal comprometida incluye gran variedad de datos como nombre, fecha de nacimiento, números de identificación personal, dirección, correo electrónico, número de teléfono, lugar de nacimiento, nacionalidad, detalles de empleo y nómina, cuenta bancaria, licencia de conducir, pasaporte y otra información personal.
La investigación de la universidad confirmó que los correos electrónicos fraudulentos que fueron enviados a algunos estudiantes y exalumnos el 6 de octubre, utilizaron datos robados por estas intrusiones previas.
Referencias- 08/10/2025 bitlifemedia.com Una ciberestafa en una Universidad de Sidney hizo creer a estudiantes que habían perdido su título
- 07/10/2025 vietnam.vn Australia: La Universidad de Western Sydney sufre un ciberataque masivo
- 07/10/2025 theguardian.com Western Sydney University graduates sent ‘fraudulent’ emails claiming degrees were ‘revoked’
- 23/10/2025 westernsydney.edu.au Cyber Incidents
Brecha de datos a la aerolínea canadiense WestJet afecta a 1,2 millones de clientes
El 13 de junio de 2025, la aerolínea canadiense WestJet notificó a sus clientes una brecha de seguridad que habría sufrido ese mismo día debido a una intrusión en sus sistemas. En la notificación se indicaba que el incidente afectó a los sistemas internos y a la aplicación de WestJet, pero que no interrumpió las operaciones generales de la aerolínea ni puso en peligro la seguridad operativa.
Posteriormente, el 18 de julio, la empresa confirmó que un tercero no identificado había obtenido acceso no autorizado a los datos de los clientes como consecuencia del incidente.
Tras la investigación del incidente, el 15 de septiembre, WestJet confirmó que la brecha de datos afectó a la información personal de 1,2 millones de personas. Aún hoy se desconoce la identidad del autor del ataque.
Los datos filtrados, incluían nombres, fechas de nacimiento, direcciones, documentos de viaje como pasaportes y otros documentos de identidad oficiales, así como otra información relacionada con los viajes, como solicitudes de alojamiento o reclamaciones presentadas. Los miembros titulares de tarjetas de puntos de viaje de WestJet también habrían sufrido la filtración sobre sus cuentas, incluyendo los números de identificación de las cuentas y los saldos de puntos.
Referencias- 01/10/2025 mundotech.news Ciberataque en aerolínea canadiense expone datos de millones de pasajeros
- 15/09/2025 westjet.com WestJet Guest Update – Cybersecurity incident
- 29/09/2025 reuters.com Canada's WestJet says some passenger data exposed in cybersecurity breach
- 15/09/2025 maine.gov Data Breach Notifications
- 01/10/2025 scworld.com WestJet breach hits 1.2 million people, affects passports, IDs
Ataque ransomware provoca el robo de datos de empleados de Volvo North America y numerosas entidades en Suecia
El fabricante de camiones, autobuses y equipos industriales Volvo Group North America notificó el 24 de septiembre de 2025 a sus empleados actuales y antiguos sobre una filtración de datos que afecta a su proveedor externo Miljödata, una empresa sueca proveedora de software orientado a RR.HH.
Miljödata fue víctima de un ataque de ransomware ocurrido el 20 de agosto de 2025. Durante el ataque, los piratas informáticos robaron información personal de Adato, un sistema de gestión de ausencias laborales, y Novi, un sistema de gestión de notas. El incidente fue reivindicado por el grupo cibercriminal de ransomware DataCarry, que añadió a Miljödata a su sitio web de publicación de filtraciones el 13 de septiembre y publicó al día siguiente los datos supuestamente robados a la empresa.
Se estima que el incidente afectó a aproximadamente 25 empresas privadas, además de Volvo, entre las que se encuentran entidades como la aerolínea escandinava SAS y la metalúrgica Boliden. También se han visto afectados organismos públicos, entre los que se incluyen varias instituciones educativas y universidades del país, y 200 municipios suecos, destacando la capital del país, Estocolmo.
Volvo Group North America ha comunicado que el incidente afectó a los nombres y números de la Seguridad Social de sus empleados. En otros casos, algunas de las entidades afectadas revelaron también que se vio comprometida la información laboral, la identificación de los empleados, la información sobre bajas por enfermedad y otros datos.
Referencias- 24/09/2025 mass.gov 2025-1648- Volvo Group North America LLC
- 25/09/2025 securityaffairs.com Volvo North America disclosed a data breach following a ransomware attack on IT provider Miljödata
- 25/09/2025 securityweek.com Volvo Group Employee Data Stolen in Ransomware Attack
- 27/09/2025 notebookcheck.org Volvo North America confirma el robo de datos del personal tras el ataque de ransomware de Miljödata
Ciberataque a Harrods expone 430.000 registros de sus usuarios
El 26 de septiembre de 2025, el centro comercial de lujo Harrods, ubicado en Londres, Reino Unido, informó sobre un ciberataque a uno de sus proveedores externos que afectó a datos de sus clientes.
Harrods describió la brecha de seguridad en un correo electrónico enviado a sus compradores. Se estima que aproximadamente 430.000 registros de clientes resultaron afectados por el ataque. Los datos comprometidos contienen información identificativa básica de los clientes, como nombres, direcciones de correo electrónico, información de contacto y referencias asociadas a programas de fidelización y marketing.
Según noticias de medios de comunicación, los atacantes intentaron comunicarse con Harrods, pero la compañía ha declarado que no mantendrá contacto con ellos. De hecho, la empresa ha calificado el ataque como aislado y contenido, detallando además que este ataque no tiene relación con el reciente intento de intrusión detectado en abril del mismo año.
Harrods comunicó que está colaborando con las autoridades británicas y con los organismos reguladores, y que reforzará sus sistemas y la supervisión de proveedores externos.
Referencias- 28/09/2025 bbc.com Hackers contact Harrods after 430,000 customer records hit by IT breach
- 27/09/2025 theguardian.com Harrods warns customers their data may have been stolen in IT breach
- 30/09/2025 blog.nivel4.com Harrods sufre segundo ciberataque en cuatro meses y expone datos de 430 mil clientes
- 30/09/2025 escudodigital.com Los cibermalos se ceban con Harrods
Investigación descubre el autor de la brecha de datos en casinos de Las Vegas
En septiembre de 2023, MGM Resorts, uno de los mayores operadores de casinos y hostelería del mundo, sufrió un ciberataque que paralizó sus operaciones durante casi una semana. El incidente afectó a algunos de los casinos más emblemáticos de Las Vegas, como el Bellagio, el Cosmopolitan y el Mandalay Bay, así como a otros complejos turísticos propiedad de MGM en Estados Unidos.
Durante la brecha de seguridad, los clientes se vieron afectados por una serie de problemas, como el mal funcionamiento de las máquinas tragaperras, los cajeros automáticos, las tarjetas digitales, los sistemas de pago electrónico y las reservas en línea. En algunos casos, MGM tuvo que utilizar métodos tradicionales, como lápiz y papel, para procesar las transacciones. En 2024, MGM Resorts confirmó públicamente que se había accedido a los datos de los clientes, como el nombre, información de contacto, fecha de nacimiento o el identificador del permiso de conducir.
En las primeras fases de la investigación del incidente, tanto las autoridades como investigadores de ciberseguridad, atribuyeron el ataque al grupo cibercriminal Scattered Spider, ya que durante las mismas fechas había reivindicado un ataque de ransomware a Caesars, otro famoso casino de Las Vegas.
Sin embargo, recientemente los detectives pudieron identificar a un adolescente como sospechoso del caso. El 17 de septiembre de 2025, el sospechoso menor de edad se entregó al Centro de Detención Juvenil del Condado de Clark, donde fue acusado de varios delitos como extorsión, conspiración o la obtención y uso de información personal de terceros con objeto de daño o suplantación.
Referencias- 12/09/2023 mgmresorts.com MGM RESORTS INTERNATIONAL STATEMENT ON CYBERSECURITY ISSUE
- 19/09/2025 lvmpd.com One Arrested in Sophisticated Cyber Crime
- 24/09/2025 infobae.com Un adolescente fue arrestado por el ciberataque a casinos en Las Vegas que causó pérdidas por USD 100 millones
- 22/09/2025 independent.co.uk Teen arrested over massive cyber attack on Las Vegas strip that cost casinos $100M
