Resulta complicado seleccionar cuáles han sido los mayores ciberataques y brechas de seguridad de todo el año 2021. Uno de los datos más llamativos los ha provocado una antigua brecha de seguridad de Facebook, por la cual más de 500 millones de datos personales de usuarios de Facebook fueran filtrados online. Aunque esto se conoció en abril de 2021, la vulnerabilidad se produjo en 2019. La cifra es astronómica, pero aún lejos de la que se considera la mayor de la historia, por ahora, la denominada Collection. Tan solo en la “primera” de sus cinco entregas se filtraron más de 700 millones.
Números que hacen que otro tipo de brechas nos parezcan “menores”, en distintos sentidos. Han sido muchos los ataques, fallos y brechas de seguridad que han salido a la luz durante los últimos meses, indicando una preocupante tendencia al alza en el número de incidentes, que avalan además los principales informes. Durante alguno de los periodos de este año, prácticamente se conocía un gran incidente de seguridad por semana. “Ahí va uno más” se llegaba a escuchar.
Estos hechos tienen una doble lectura. Por un lado, muchos de ellos han acabado llenando minutos o páginas de medios generalistas, lo que ciertamente tiene un impacto en la visibilidad de la necesidad e importancia de la ciberseguridad. Por otro lado, como lo poco agrada y lo mucho cansa, también se corre el riesgo de acostumbrarnos, y restarle importancia. Al igual que una brecha de datos de unos pocos cientos de usuarios no parece tan relevante, en comparación con los millones de datos filtrados en otras de ellas.
Lejos de esto, cada nuevo incidente tiene que ser un revulsivo que nos impulse a ponerle solución. Y es que el mayor ciberataque o brecha de seguridad aún está por conocer.
En cuanto a la tipología de los ataques, al igual que en 2019 y 2020, este año el rey sigue siendo el ransomware y sus distintas variantes, como es el caso de la doble extorsión.
Entre los casos de ransomware más sonados, en nuestro país destaca por encima de todos el del SEPE por las repercusiones que ha tenido en todos los sentidos.
Según los datos proporcionados por la Agencia Española de Protección de Datos, este año se han notificado 1.647 brechas de seguridad en España.
Comparativamente, hasta diciembre de 2020 se notificaron 1.113 brechas de seguridad, 534 menos que 2021. Es decir, en lo que llevamos de 2021 se han notificado un 48% más de brechas de información que el año anterior.
Según los informes de la AEPD, en 2019 se recibieron un total de 1.460 notificaciones. En 2020, las notificaciones ascendieron a 1.370.
Este año además se han visto algunas de las consecuencias de no gestionar correctamente los datos personales, como es la multa impuesta a Vodafone
Mes | Notificaciones brechas de seguridad | Notificaciones debidas a malware / ransomware |
Enero 2021 | 88 | 30 |
Febrero 2021 | 146 | 82 |
Marzo 2021 | 177 | 83 |
Abril 2021 | 158 | 68 |
Mayo 2021 | 185 | 94 |
Junio 2021 | 143 | 55 |
Julio 2021 | 126 | 50* |
Agosto 2021 | 70 | 22 |
Septiembre 2021 | 150 | 27 |
Octubre 2021 | 117 | 36 |
Noviembre 2021 | 135 | 54 |
Diciembre 2021 | 142 | 42 |
Los distintos informes que se han ido publicando a lo largo del año no dejan de avalar la tendencia que se observa a simple vista. No solamente certificando el incremento en el número de los ciberataques, sino también en el aumento de los costes que estos tienen para quien los sufre, comenzando por los rescates económicos solicitados por el cibercrimen.
Por ejemplo, Check Point, alerta de que se está produciendo a nivel mundial un 40 % más de ciberataques semanales a empresas durante 2021, en comparación con los datos de 2020.
Los estudios apuntan al ransomware como el principal quebradero de cabeza de empresas y usuarios. Según el informe del estado del ransomware de Sophos, el 37 % de las empresas se han visto afectadas por este tipo de malware en 2021.
Por su parte, Palo Alto Networks afirma que la cifra media de rescate ronda los 4,7 millones de euros, lo que implica un aumento del 518 % con respecto a lo que solicitaban los cibercriminales en 2020, que se aproximaba a los 430 mil euros. Y es que según datos de IBM, los rescates han tenido en 2021 el promedio de coste más alto de los últimos 17 años.
Y no solo de ransomware vive el cibercrimen. Aunque no sean tan sonados, otro tipo de ciberataques están aumentando de forma vertiginosa. Sin ir más lejos, Kaspersky advierte de que el número de ataques a dispositivos IoT (Internet de las Cosas) se ha duplicado en un año, y España se ha convertido en el principal receptor de spam.
Realizamos a continuación una recopilación de los principales ciberataques y brechas de datos que se han producido a lo largo de 2021, los más reseñables en función del número de afectados en una brecha de datos o gravedad e impacto del ciberataque.
Microsoft Exchange (Global).En enero de 2021 comenzó una oleada mundial de ciberataques y brechas de datos después de que se descubrieran cuatro exploits de día cero en los servidores Microsoft Exchange, que daban a los atacantes acceso completo a los correos electrónicos y las contraseñas de los usuarios en los servidores afectados, privilegios de administrador en el servidor y acceso a los dispositivos conectados en la misma red.
TikTok (Global). Una vulnerabilidad de TikTok dejó expuesta la información privada de los usuarios.
Oficina del Auditor del Estado de Washington (EE.UU). Un incidente de seguridad comprometió la información personal de más de 1,6 millones de personas que rellenaron solicitudes de desempleo en 2020.
Universidad de Oxford (GB). Uno de sus laboratorios dedicados a la investigación de Covid-19 ha sufrido un ciberataque. Los sistemas afectados incluían máquinas utilizadas para preparar muestras bioquímicas.
Despachos profesionales (España). Cientos de despachos españoles y asesores afectados por un ciberataque de ransomware
Palacio de Congresos de Valencia (España). El ayuntamiento valenciano vuelve a ser víctima de una estafa, que se añade a la de cuatro millones perpetrada a la EMT en 2019. En esta ocasión, se han sustraído 21.020,11 euros en el Palacio de Congresos debido a una suplantación de identidad.
Suministro de agua de Florida (EE.UU.) Afortunadamente no obtuvo éxito el atacante que trató deenvenenar el suministro de agua de una ciudad de Florida alterando de forma remota los niveles de hidróxido de sodio del agua.
SEPE (España). El Servicio Público de Empleo Estatal fue víctima el 9 de marzo de 2021 de un ciberataque de ransomware que provocó la paralización de la entidad y retrasos durante un largo periodo de tiempo. Ryuk ha sido el ransomware detrás del ataque.
Acer (Global). La empresa tecnológica es atacada con ransomware; se exige uno de los mayores rescates hasta la fecha (50 millones de euros).
Ayuntamiento de Castellón (España). Un ciberataque de ransomware dejó paralizada la sede electrónica, el portal tributario y el sistema informático.
Facebook (Global). Una antigua brecha de seguridad Facebook ha dejado 533 millones de números de teléfono y otros datos personales al descubierto.
Linkedin (Global). Toma el relevo de Facebook, con una brecha de datos que supuestamente afectaba a 500 millones de usuarios, aunque la propia red social lo desmentía.
Universidad Castilla-La Mancha (España). La Universidad de Castilla-La Mancha (UCLM) sufre un ciberataque ransomware.
Phone House (Global). Ha sufrido un ataque de ransomware con más de 3 millones de datos afectados. Aquí se puede leer el comunicado publicado por la empresa.
Apple (Global). La compañía de la manzana ha sido afectada por un ciberataque de ransomware a uno de sus proveedores, cuyo rescate asciende a los 50 millones de euros.
Deloitte (Global). Datos de la consultora han sido puestos a la venta un foro en la red.
INE y Ministerios (España). Una serie de ciberataques han hecho caer los sitios web del Ministerio de Justicia, Educación y Economía, y del Instituto Nacional de Estadística.
Real Madrid (España). Un ciberdelincuente ha accedido al sistema informático, robando datos de jugadores, contratos y presupuestos
Glovo (Global). La empresa de delivery ha sufrido un ciberataque a la base de datos de sus clientes y repartidores.
Empresas gallegas (España). Varias empresas gallegas han sido extorsionadas por un ataque de ransomware.
Colonial Pipeline (EE.UU). El ataque de ransomware que afectó a Colonial Pipeline, el operador del principal oleoducto de Estados Unidos, provocó un auténtico caos. Se considera el mayor ataque informático a una infraestructura crítica, y la puerta de entrada podía estar en una contraseña comprometida.
Ayuntamiento de Oviedo (España). Un ciberataque de ransomware inhabilita los servicios del ayuntamiento.
Ministerio de Trabajo (España). El Ministerio sufre otro ataque informático, tres meses después del que afectó al SEPE, de nuevo por el mismo ransomware Ryuk.
Hospital de Florida (EE.UU.) El UF Health Central Florida es víctima de un ataque de ransomware que les obliga a volver al lápiz y papel.
Volkswagen (EE.UU y Canadá). Se filtran datos de 3,3 millones de usuarios de Volkswagen y Audi en Norteamérica
Kaseya (Global). Más de 1.500 empresas de todo el mundo han sido afectadas por el ciberataque de ransomware a Kaseya, compañía estadounidense de gestión de software TI ha sido víctima de un ataque a la cadena de suministro.
Zurich Seguros (España). La aseguradora ha sufrido el robo de las bases de datos de parte de sus clientes en España. Los cibercriminales pusieron a la venta los datos en la dark web.Más de 26.000 clientes fueron afectados. Este es el comunicado oficial emitido por la compañía.
T-Mobile (Global). Un ciberataque a T-Mobile afecta a los datos más de 50 millones de usuarios.Se publica unos días después este comunicado firmado por el CEO de la compañía.
ANZ (Nueva Zelanda). Un ciberataque hace caer los sitios web de instituciones financieras y otras entidades de Nueva Zelanda.
GSS / Canal de Isabel II (España). La entidad sufre un ciberataque de ransomware que deja bloqueado su servicio de atención telefónica a través de raíz de su proveedor GSS, Grupo Covisian.
ONU. La entidad confirma un ciberataque a partes de su infraestructura.
Twitch (Global). La plataforma de streaming fue víctima de una filtración de información confidencial de la empresa y los ingresos de los streamers. Más de 100 GB de datos fueron publicados.
Meliá (Global). El grupo hotelero sufrió un ciberataque de ransomware que afectó a varios hoteles.
Gasolineras en Irán (Irán). Quedaron paralizadas tras un ataque informático que inhabilitó las tarjetas de los usuarios para tener acceso a combustible
Universidad Autónoma de Barcelona (España). Un ciberataque deja sin servicio a la UAB obligando a cancelar clases y comprometiendo 650.000 archivos.
MediaMark y Saturn (Global) . La cadena de retail ha sufrido un ciberataque de ransomware que ha afectado a sus tiendas.
IKEA (Global). La compañía se ve afectada por un ciberataque debido a un ataque de phishing en el que cayeron sus empleados.
Vulnerabilidad Log4j. La vulnerabilidad zero-day en el paquete de registro de Apache Log4j se ha convertido en la mayor ciberamenaza de los últimos años, afectando a millones de potenciales víctimas, y se espera que las consecuencias se mantengan durante mucho tiempo.
Servicio de Salud del Principado de Asturias (España). Un ciberataque de ransomware a la red informática del Principado de Asturias ha afectado directamente al sistema informático del Hospital Universitario Central de Asturias.
(Primera publicación: 29 de diciembre de 2021. Actualización: 28 enero 2022)