AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Desarticulada célula cibercriminal en Las Palmas tras robo de datos a la administración pública**

admin

### 1. Introducción

Las Fuerzas y Cuerpos de Seguridad del Estado han dado un golpe significativo contra la ciberdelincuencia en España tras la detención de dos individuos en la provincia de Las Palmas, acusados de participar en actividades delictivas relacionadas con el robo de información sensible de organismos gubernamentales. Este arresto supone un paso importante en la lucha contra las amenazas persistentes avanzadas (APT) que afectan a la administración pública y pone de relieve la necesidad de reforzar las capacidades defensivas de las infraestructuras críticas españolas.

### 2. Contexto del Incidente

El operativo policial se inició tras detectarse accesos no autorizados a sistemas informáticos de distintas entidades gubernamentales, incluyendo organismos locales y autonómicos. Según fuentes policiales, los detenidos habrían logrado infiltrarse en redes públicas mediante técnicas avanzadas de ingeniería social y explotación de vulnerabilidades conocidas, obteniendo acceso a bases de datos que contenían información personal de miles de ciudadanos y empleados públicos.

El caso pone de manifiesto la creciente profesionalización de las bandas cibercriminales en España, que han dejado atrás el mero vandalismo digital para perseguir objetivos económicos y de espionaje. La colaboración entre la Policía Nacional, la Brigada de Investigación Tecnológica y los equipos de respuesta a incidentes (CSIRT) ha sido clave para identificar y neutralizar la amenaza.

### 3. Detalles Técnicos

Los primeros análisis forenses apuntan a la explotación de vulnerabilidades en servicios expuestos a Internet, principalmente a través de CVE-2023-23397 (vulnerabilidad crítica en Microsoft Outlook) y CVE-2021-26855 (Exchange Server ProxyLogon), ambas documentadas en el framework MITRE ATT&CK bajo la técnica T1190 (Exploit Public-Facing Application). Los atacantes emplearon campañas de spear phishing dirigidas a empleados clave, logrando obtener credenciales mediante técnicas de credential harvesting y escalada de privilegios (T1078).

Las herramientas identificadas en el entorno comprometido incluyen el uso de Cobalt Strike para el establecimiento de C2 (Command and Control) y la ejecución de payloads personalizados que facilitaban el movimiento lateral (T1021) y la exfiltración de datos (T1041). Los indicadores de compromiso (IoC) obtenidos ya han sido compartidos a través de las plataformas de intercambio nacionales e internacionales.

### 4. Impacto y Riesgos

El incidente ha afectado a varios organismos públicos, comprometiendo la confidencialidad e integridad de datos personales, registros administrativos y documentos internos. Se estima que más de 15.000 registros han sido exfiltrados, incluyendo información protegida bajo la normativa GDPR y datos considerados sensibles según el Esquema Nacional de Seguridad (ENS).

El riesgo para las entidades afectadas no solo reside en la posible publicación o venta de la información sustraída en foros clandestinos, sino también en la utilización de estos datos para futuros ataques dirigidos (phishing personalizado, fraudes, ataques de ransomware dirigidos). Además, el incidente podría acarrear sanciones económicas significativas conforme al Reglamento General de Protección de Datos (GDPR) y poner en entredicho el cumplimiento de la futura directiva NIS2 sobre ciberseguridad.

### 5. Medidas de Mitigación y Recomendaciones

Las autoridades recomiendan la actualización inmediata de todos los sistemas afectados a las versiones más recientes, parcheando especialmente las vulnerabilidades identificadas (CVE-2023-23397 y CVE-2021-26855). Se sugiere la revisión exhaustiva de logs, la monitorización de actividad sospechosa y la utilización de EDR (Endpoint Detection and Response) para la detección temprana de movimientos laterales y actividad anómala.

Asimismo, se recomienda fortalecer las políticas de autenticación multifactor (MFA), limitar los privilegios de los usuarios y reforzar las campañas de concienciación en ciberseguridad entre el personal de la administración. La colaboración con CERT y organismos sectoriales resulta esencial para compartir información sobre IoC y tácticas emergentes.

### 6. Opinión de Expertos

Especialistas en ciberseguridad consultados subrayan que “la sofisticación de los ataques dirigidos contra la administración pública española está en aumento, especialmente en lo relativo al uso de herramientas de post-explotación como Cobalt Strike”. Añaden que “la prevención pasa por una gestión proactiva de vulnerabilidades y una cultura de ciberseguridad transversal en la organización”. Desde firmas de análisis como KPMG y Deloitte advierten de la importancia de realizar ejercicios regulares de Red Team y simulacros de respuesta ante incidentes.

### 7. Implicaciones para Empresas y Usuarios

Este incidente pone en alerta tanto a administraciones como a empresas privadas, especialmente aquellas que gestionan datos personales o infraestructuras críticas. La exposición de información sensible puede derivar en ataques de ingeniería social a empleados, fraudes financieros y daños reputacionales graves. Para los usuarios, el compromiso de datos puede traducirse en suplantaciones de identidad y un mayor riesgo de ser objetivo de campañas de phishing.

La adopción de marcos normativos como GDPR y NIS2 no solo es imprescindible para evitar sanciones, sino que constituye la base para una gestión eficaz de riesgos y una respuesta coordinada ante incidentes de este calibre.

### 8. Conclusiones

La operación policial en Las Palmas evidencia que la amenaza cibercriminal contra la administración pública española es real y creciente. La cooperación entre organismos, la inversión en tecnología de detección y respuesta, y la sensibilización de los usuarios serán clave para mitigar riesgos futuros. Es imprescindible adoptar un enfoque integral de ciberseguridad que combine medidas técnicas, organizativas y legales para proteger la información crítica y mantener la confianza en los servicios públicos.

(Fuente: www.bleepingcomputer.com)