Imagina que tu nombre, tu número de teléfono, tu dirección, tu nivel de ingresos aproximado y hasta tus hábitos de consumo están circulando por Internet en marketplaces clandestinos. No es una distopía futurista, sino la realidad de millones de usuarios de a pie... una realidad tan cercana que, como ha reconocido en declaraciones a El País un agente de policía especializado en ciberdelincuencia, él mismo se ha encontrado ya en seis bases de datos robadas distintas.

Ocurre que, durante años, hemos asociado el robo de datos a sofisticados hackers extranjeros, muchas veces trabajando para potencias extranjeras... y, sin embargo, las investigaciones policiales más recientes desmontan ese mito: buena parte de los datos robados en España los roban jóvenes españoles y los compran, en muchos casos, otros españoles.

El crimen cotidiano: cuando el atacante se parece a tu vecino

Uno de los aspectos más inquietantes del fenómeno es su normalización social: según las investigaciones, muchos de los responsables de estos robos y ventas de datos son adolescentes o jóvenes que empezaron "por curiosidad", compartiendo scripts y vulnerabilidades en foros, compitiendo entre ellos como quien colecciona logros en un videojuego.

Este perfil rompe con la imagen clásica del delincuente profesional. No siempre hay una gran organización criminal detrás, sino individuos que operan los fines de semana, cuando las empresas bajan la guardia, aprovechando sistemas obsoletos o malas prácticas de seguridad.

En Genbeta

El ‘nuevo Alcasec’: este joven hacker de 19 años filtró datos de Pedro Sánchez y otros políticos. Ya ha sido detenido

El 'nuevo petróleo' no es el dato sino el perfil

Se suele decir que "los datos son el nuevo petróleo", pero esta metáfora se queda corta: el verdadero valor no está en un número de teléfono aislado o en una dirección postal suelta, sino en la capacidad de unir piezas dispersas hasta construir un perfil completo de una persona. Un perfil que permita saber no solo quién eres, sino cómo piensas, qué temes y qué decisiones podrías tomar bajo presión.

De modo que las bases de datos robadas ya no se limitan a listas caóticas de correos electrónicos. Cada vez más, se venden paquetes 'enriquecidos': información cruzada procedente de distintas filtraciones que permite inferir si tienes coche, seguro médico, hipoteca, hijos o una determinada capacidad económica.

Esta agregación convierte la vida de cada usuario en un producto procesado y listo para estafas personalizadas, campañas de manipulación o incluso vigilancia selectiva.

¿Quién compra nuestros datos?

El uso más evidente de estas bases de datos es el fraude: con información personal precisa, los estafadores pueden enviar mensajes o realizar llamadas que parecen legítimas. Así, al conocer el nombre de la víctima, su banco o su compañía de teléfono, el engaño resulta mucho más creíble. 

Pero no todo se reduce a estafas directas. Los datos robados también son utilizados por compañías que operan en una zona 'gris' en la que caben las campañas de marketing agresivo, las ofertas comerciales dirigidas o las prácticas de competencia desleal.

Y finalmente, existen incluso empresas legítimas que compran estas bases de datos con fines defensivos, como comprobar si la información de sus propios clientes se ha visto comprometida: el problema es que este ecosistema es opaco y difícil de controlar, lo que facilita abusos y usos ilegítimos.

En Genbeta

Cada vez es más fácil encontrar a las mejores víctimas para cada timo: 'van a tiro hecho' gracias a la venta de datos personales

Un delito rentable, un castigo limitado

El robo masivo de datos es extremadamente rentable: aunque una sola base de datos no siempre se vende por cifras astronómicas, las investigaciones policiales han encontrado billeteras de criptomonedas con millones de euros acumulados a partir de múltiples ventas pequeñas. Además, los costes para el atacante son relativamente bajos: una vez identificada una vulnerabilidad, el acceso puede repetirse con poco esfuerzo adicional.

Pese a ello, las penas asociadas a estos delitos siguen siendo relativamente bajas, en comparación con el impacto social generado. Esta desproporción plantea un dilema legal y moral: ¿estamos tratando el robo de identidad digital con la gravedad que merece?

Sin embargo, para muchas víctimas, las consecuencias se prolongan durante años, con intentos constantes de estafa, suplantación o acoso, sin que exista una forma real de 'restaurar' su privacidad.

¿Dónde está la solución?

Es tentador pensar que la solución pasa únicamente por más policía o mejor tecnología, pero el problema es también cultural e institucional: seguimos entregando datos personales a empresas (y a la Administración Pública, aunque ahí no tenemos elección) sin preguntarnos por qué los necesitan o cómo los protegen, mientras que muchas brechas de datos se producen por fallos básicos: equipos sin actualizar, sucursales olvidadas, sistemas heredados que nadie se atreve a tocar, etc.

Hay que vivir dando por supuesto que tus datos ya se han filtrado

Quizá la lección más dura que tenemos que aprender es que hay que asumir que la filtración de nuestros datos puede haberse dado ya; si bien eso no implica resignarse, sino actuar con mayor conciencia: saber que tus datos pueden estar ahí fuera obliga a extremar la cautela, a desconfiar de mensajes "demasiado bien informados" (¿cuántas veces hemos oído eso de 'No podía ser una estafa: conocían todos mis datos'?) y a exigir responsabilidades a quienes custodian nuestra información.

Vía | El País

Imagen | Marcos Merino mediante IA

En Genbeta | Recibo spam relacionado con cómo uso mis tarjetas de crédito. Quizá tenga algo que ver con que MasterCard venda datos de transacciones

Si hace un año nos hacíamos eco de que en Corea del Sur el porno deepfake se había convertido en una "epidemia", hoy la noticia son un puñado de coreanos que prefería ver desnudas a personas reales... y para eso montaron una de las mayores tramas de espionaje digital de sus conciudadanos: más de 120.000 cámaras IP fueron hackeadas por cuatro individuos que actuaban, en principio, de manera independiente. Las autoridades describen el caso como una de las intrusiones más masivas de la última década.

La Agencia Nacional de Policía anunció las detenciones el domingo, desvelando el alcance de una actividad criminal que ha puesto en entredicho la seguridad de millones de usuarios y que expone, nuevamente, los riesgos de la cultura digital hiperconectada del país.

Según las autoridades, los implicados explotaron vulnerabilidades básicas como contraseñas predefinidas o extremadamente simples, permitiéndoles acceder sin dificultad a los dispositivos de miles de ciudadanos.

Los sospechosos —todos ellos sin relación entre sí— infiltraron cámaras que se encontraban en viviendas particulares y en diversos locales privados.

Indignación social y una llamada urgente a reformar la cultura digital

El anuncio de las detenciones ha provocado una ola de indignación entre los ciudadanos, colectivos feministas y expertos en privacidad digital. Las organizaciones sociales advierten que las víctimas de este tipo de delitos pueden enfrentarse a traumas duraderos, agresiones, acoso y daños irreparables a su reputación.

La propia policía ha calificado estos ataques como "crímenes graves que causan un dolor enorme", y ha prometido una ofensiva más amplia para erradicar la práctica. Mientras continúa la investigación, permanece abierta la interrogante más inquietante: ¿cuántas personas fueron grabadas sin saberlo? 

El número de víctimas podría ser imposible de determinar, ya que muchas cámaras infiltradas estaban instaladas en espacios privados con presencia ocasional de menores, o de pacientes/clientes vulnerables.

En Genbeta

Ya estábamos acostumbrados a la amenaza de "Tengo vídeos tuyos viendo porno", pero con este nuevo malware podría ir en serio

Un negocio clandestino de explotación sexual

De acuerdo con las investigaciones, dos de los arrestados llevaron a cabo la mayoría de las intrusiones. Uno habría comprometido alrededor de 63.000 cámaras, mientras que otro habría vulnerado 70.000 dispositivos. Ambos elaboraron cientos de vídeos de carácter sexual —545 en un caso, 648 en el otro— que vendieron a través de un sitio web extranjero dedicado a distribuir material ilegal. Las ganancias obtenidas oscilaron entre 12.200 y 23.800 dólares.

La policía surcoreana señaló que tres compradores de estos vídeos también fueron arrestados, y que ya se trabaja con organismos internacionales para bloquear la plataforma donde se comercializaba el contenido y perseguir a su operador.

La magnitud del ataque ha reavivado una preocupación profundamente arraigada en el país. Y es que Corea del Sur lleva más de una década enfrentándose a los llamados molka —grabaciones sexuales no consentidas captadas mediante cámaras ocultas—, un tipo de delito que ha acumulado casi 50.000 detenciones entre 2011 y 2022, según datos policiales.

Aunque inicialmente los casos se centraban en baños públicos, moteles o vagones de metro, el fenómeno se ha desplazado hacia el ámbito privado, donde las cámaras IP se han convertido en un objetivo fácil para ciberdelincuentes.

Vulnerabilidades elementales, consecuencias devastadoras

La explotación de cámaras domésticas no es exclusiva de Corea del Sur. En los últimos años, se han documentado casos similares en gran parte de los países avanzados. Por ejemplo, en 2024, la Comisión Federal de Comercio de Estados Unidos multó a la empresa Verkada con unos tres millones de dólares tras un ataque que comprometió 150.000 cámaras, incluidas aquellas ubicadas en hospitales, prisiones y centros infantiles.

Pero, en el caso surcoreano, los investigadores describen un patrón preocupante: la mayoría de los dispositivos fueron intervenidos mediante contraseñas débiles, secuenciales o repetitivas, muchas de ellas no modificadas desde la instalación original. Este hallazgo confirma que los usuarios suelen dejar activada la configuración por defecto, incluso cuando la propia industria tecnológica y las autoridades recomiendan encarecidamente reemplazarla.

En un intento por contener el daño, la policía visitó 58 ubicaciones para notificar directamente a las víctimas y ofrecer instrucciones para proteger sus dispositivos y evitar nuevas intrusiones.

El Ministerio de Ciencia surcoreano anunció que evalúa nuevas regulaciones que podrían impedir que las cámaras operen hasta que el usuario configure un nombre de usuario y una contraseña compleja, una medida que intenta corregir fallos de diseño que dejan expuestos a millones de consumidores.

Vía | BBC

Imagen | Marcos Merino mediante IA

En Genbeta | Las alarmas conectadas y webcams hacen tu hogar menos seguro si no las usas bien: tus datos quedan a disposición de los cibercriminales

Unos investigadores de la Universidad de California en Irvine han demostrado que un ratón óptico barato (el experimento fue realizado con uno de 30 €) equipado con un sensor de alta resolución y buena tasa de muestreo puede actuar como micrófono improvisado: recogiendo vibraciones producidas por la voz y, tras procesarlas, reconstruir palabras con una precisión de en torno al 61% en las condiciones de laboratorio. El ataque se ha bautizado informalmente como 'Mic-E-Mouse'.

¿Qué han demostrado los investigadores?

El equipo de UC Irvine mostró que el sensor de movimiento de un ratón óptico —cuando tiene suficiente DPI (resolución) y tasa de muestreo— no solo detecta desplazamientos del puntero, sino también vibraciones transmitidas por la superficie del escritorio. Con software que filtra el ruido y modelos de inteligencia artificial que interpretan las señales resultantes, es posible:

• Captar fragmentos de voz y reconocer palabras con una precisión cercana al 61% (la tasa varía según la frecuencia de la voz y las condiciones).
• Detectar números con especial facilidad, lo que resulta preocupante si se leen datos sensibles (p. ej. cifras de tarjeta o códigos).
• Potencialmente, identificar pasos o movimientos de otras personas en la habitación por las vibraciones que generan.

El experimento se hizo con un ratón de consumo (≈35 $) con sensor de hasta 20.000 DPI y buena latencia; los autores subrayan que el parámetro crítico es DPI + tasa de muestreo del sensor.

¿Cómo funciona, a grandes rasgos?

1. Captura de vibraciones: el sensor óptico del ratón (en realidad, una pequeña cámara CMOS que mide movimiento relativo sobre la superficie) registra variaciones muy pequeñas provocadas por vibraciones del escritorio, incluidas las causadas por la voz. Un ratón con alta sensibilidad y muestreo rápido recoge una mayor cantidad de dicha información.
2. Pre-procesado: los datos brutos se limpian con filtros para atenuar ruido y realzar las componentes relevantes de la señal.
3. Reconocimiento: la señal filtrada es procesada por un modelo de IA entrenado para mapear patrones de vibración a fonemas/palabras. Con esto obtienen transcripciones con la precisión reportada.

En Genbeta

Si movías el ratón de tu PC para que fuera más rápido, no estabas loco: hay una razón por la que el truco funciona en Windows

¿Cómo podría aprovecharlo un atacante?

El ataque no consiste en 'hackear el ratón' físicamente, sino en infectar el equipo que ya controla el ratón:

• Una aplicación maliciosa puede leer los datos del sensor del ratón. En muchas plataformas, la telemetría del ratón recibe menos supervisión que otros flujos (teclado, audio), por lo que puede ser más sencillo exfiltrar esos datos.
• Una vez que el malware recoge los registros, los envía a un servidor o los procesa localmente con los pasos de filtrado y el modelo de reconocimiento.

Los investigadores advierten además de que, aparte de voz, las pulsaciones de teclas podrían filtrarse parcialmente porque cada tecla genera una firma acústica distinta y el ratón puede captar vibraciones si la mano o el movimiento no enmascaran la señal.

• ¿Qué han hecho los investigadores tras descubrirlo? Siguiendo prácticas de divulgación responsable, el equipo ya ha informado a 26 fabricantes de ratones para que puedan desarrollar medidas mitigadoras a nivel de firmware/driver y minimizar la exposición del flujo de datos del sensor. Los fabricantes están trabajando en correcciones.

¿Cuán real resulta esta amenaza para el usuario medio?

Por un lado, es cierto que no se trata de un ataque trivial: requiere primero comprometer el equipo (software malicioso con permisos para leer datos del ratón) y condiciones físicas favorables (superficie rígida, silencio relativo, ratón con sensor de alta DPI). Por otro, no es tampoco algo de 'ciencia ficción': los componentes necesarios están en ratones de consumo y el método ha sido demostrado en laboratorio. La facilidad con que se explote en entornos cotidianos variará, pero la vulnerabilidad existe y merece atención.

Implicaciones prácticas y de seguridad

1. Privacidad en llamadas: leer en voz alta números (tarjetas, PINs) mientras el ratón está sobre una superficie rígida podría ser interceptado parcialmente.
2. Controles de seguridad insuficientes: la telemetría de ratón suele recibir menos control que micrófonos o cámaras; eso plantea un agujero en las políticas de permisos y monitorización de endpoints.
3. Ataques presentes y futuros: este tipo de investigación demuestra cómo sensores 'inocentes' pueden ser reutilizados por atacantes. El problema no es sólo el ratón: cualquier sensor capaz de muestrear con suficiente resolución y frecuencia puede ser una amenaza lateral.

En Genbeta

Un 'doble clic' bastaría para robarte tus cuentas: así es el nuevo timo que secuestra las pulsaciones de tu ratón mientras navegas

Limitaciones del ataque

Que el resultado pueda ser del 61% no significa que eso se aplique siempre, puesto que las condiciones importan:

• Superficie: para mejores resultados, el ratón debe estar en una superficie plana y despejada; una alfombrilla de ratón o similar reduce la cantidad de vibración transmitida y dificulta la captura.
• Ruido ambiente: oficinas ruidosas o maquinaria cercana degradan la señal y hacen la reconstrucción más imprecisa.
• Movimiento de la mano: si el usuario mueve mucho el ratón, las señales de voz quedan enmascaradas por los grandes desplazamientos. Los investigadores aplican filtros (por ejemplo low-pass) para separar componentes, pero esto también degrada la calidad.
• Dependencia de la voz: la precisión depende de la frecuencia y timbre de la voz; no todas las voces se recuperan igual.

Recomendaciones para usuarios y administradores con cierto grado de sana paranoia

• Evita leer números sensibles en voz alta frente al ordenador; si tienes que hacerlo, aleja el ratón o ponlo sobre una alfombrilla gruesa o una superficie acolchada.
• Plantéate usar una alfombrilla de ratón o una cubierta de escritorio que amortigüe vibraciones — los propios investigadores señalan que esos elementos degradan la efectividad del ataque.

Imagen | Marcos Merino

En Genbeta | El cursor de tu ratón está torcido, y ha estado así desde hace años: hay una buena razón que lo explica 

En un momento donde tantas empresas cuentan con nuestra información personal en sus servidores, cualquier tipo de ciberataque se convierte en un asunto que puede afectar a cientos de personas. Uno de los últimos casos ha afectado a una de las principales distribuidoras de gas natural de la Comunidad de Madrid, Madrileña Red de Gas. 

Tal y como ha recogido elDiario.es, la compañía madrileña ha informado que el pasado 12 de septiembre se detectó una brecha en su infraestructura informática. Según el comunicado enviado a los clientes, el incidente expuso información de carácter personal, aunque en ningún caso se filtró información financiera. Aunque no por ello se puede estar del todo tranquilo. 

Un ataque que llama a las técnicas de phishing

Entre la información que se ha filtrado se encuentra el CUPS (Código Universal del Punto de Suministro), que es como el DNI del punto de suministro del gas que tenemos en nuestros hogares. Pero además, también se ha filtrado información "de contacto e identificativos", aunque no han entrado en detalles de los datos concretos. 

En Genbeta

La ciberseguridad da trabajo casi asegurado y bien pagado: los mejores cursos para aprenderla desde cero y nivel avanzado

La distribuidora cuenta ahora mismo con más de un millón de puntos de suministro en toda la región que se han convertido en posibles afectados por esta filtración, aunque la empresa no ha informado exactamente de cuántos clientes se han visto afectados. Lo único que confirmaron es que se han descartado el compromiso de los datos bancarios o de las claves de acceso. 

La empresa ya ha activado los protocolos de seguridad para poder revisar los sistemas informáticos y comunicar el incidente tanto al INCIBE como a la AEPD. De manera paralela, durante el viernes y este mismo lunes se han ido enviando comunicaciones a los clientes afectados pro esta filtración de información para que se puedan tomar las medidas oportunas en materia de protección de datos. 

La información a día de hoy es poder, y más en materia de seguridad. Esto quiere decir que estos datos pueden ser usados para diferentes campañas de phishing y suplantación de identidad. Es bastante común a día de hoy recibir llamadas telefónicas que suplantan a la compañía de la luz o el gas para poder firmar un nuevo contrato con una gran oferta detrás. El problema es que la empresa con la que se firma es diferente a la que se tenía ya contratada. 

Lógicamente, para ganar confianza, tener información tan reservada como el número CUPS es muy valioso. Esto hace ver que la llamada es completamente legítima, además de contar con el nombre o la dirección de los clientes. De esta manera, durante la próxima semana se debe tener especial cuidado con las llamadas y correos electrónicos que se reciban, puesto que se podría estar atentando contra la seguridad personal. 

Imágenes | Doris Morgan Florian Olivo

En Genbeta | Los tipos de ciberataques más comunes y cómo protegerte

Ya hemos abordado en el pasado las estafas basadas en las amenazas vacías de correos de sextorsión ("tenemos vídeos tuyos viendo porno") que aparentaban haber sido enviados desde la cuenta de la víctima como forma de otorgar veracidad a las reclamaciones de haber sufrido un hackeo.

Ahora, sin embargo, un nuevo tipo de estafa ha convertido en muy real la posibilidad de que algún ciberdelincuente tenga en su poder vídeos por el estilo.

Y es que, en las últimas semanas, los expertos en ciberseguridad han encendido las alarmas frente a una nueva oleada de ataques digitales protagonizados por Stealerium, un malware que ya no se limita únicamente a robar contraseñas o credenciales bancarias, sino que además activa la cámara del ordenador para grabar a los usuarios en 'momentos íntimos' y así poder chantajearlos después.

¿Qué es Stealerium?

Stealerium es un 'infostealer', es decir, un malware ladrón de información. Funciona como un caballo de Troya: se disfraza de archivo legítimo (una factura, una citación judicial o una reserva de hotel), pero al ejecutarse se infiltra en el sistema.

Su misión inicial no era distinta de otros programas maliciosos: recolectar contraseñas, cookies de navegadores, credenciales bancarias, tokens de juegos online, claves de criptomonedas o datos de VPN y Wi-Fi.

Sin embargo, sus últimas variantes han introducido un giro inesperado que lo hace mucho más peligroso: el malware revisa las pestañas del navegador y, si detecta contenido pornográfico, toma una captura de pantalla y activa la webcam para fotografiar al usuario. En resumen, un material perfecto para la extorsión.

Cómo se propaga

Las investigaciones de Proofpoint detallan que Stealerium se distribuye sobre todo mediante campañas de 'phishing'. Los atacantes emplean para ello los anzuelos clásicos en estos casos:

• Facturas o pagos pendientes.
• Avisos de tribunales o citaciones legales.
• Confirmaciones de reservas de viaje u hotel.
• Donaciones o mensajes con urgencia financiera.

Estos correos suelen incluir archivos comprimidos (JavaScript, VBScript, ISO o IMG) que instalan el malware al abrirlos. 

En Genbeta

Mucho cuidado con estas amenazas que llegan a tu WhatsApp: la estafa del proxeneta/sicario ha vuelto

¿Qué hace dentro del equipo?

Una vez instalado, Stealerium despliega varias técnicas de persistencia y evasión:

• Ejecuta comandos para enumerar perfiles Wi-Fi y redes cercanas.
• Añade excepciones en Windows Defender para que no lo detecte.
• Programa tareas automáticas para mantenerse activo.
• Envía los datos robados mediante canales como Telegram, Discord, SMTP o GoFile.
• Incluso puede autodestruirse para borrar huellas si algo sale mal.

La capacidad de automatizar la sextorsión es lo que lo hace especialmente peligroso: en segundos puede recopilar imágenes comprometedoras y transferirlas al atacante, sin que la víctima note nada.

El impacto social: del chantaje al silencio

La sextorsión no es nueva: desde hace años circulan estafas en las que criminales afirman tener videos íntimos de sus víctimas, aunque en realidad no poseen nada. Lo que cambia con Stealerium es que ya no se trata de un farol, sino de un ataque real con material tangible.

Y eso logra que el miedo y la vergüenza sean los mejores aliados de los extorsionadores: muchas víctimas no denuncian por temor a la exposición pública, lo que facilita que este modelo criminal prospere.

Por eso muchos criminales apuestan ahora por esta estafa: no busca grandes rescates a empresas, sino pequeños pagos individuales difíciles de rastrear.

Además, la combinación con 'deepfakes' y otras clases de IA multiplica el riesgo: aunque las imágenes captadas sean limitadas, siempre existe la posibilidad de manipularlas y hacerlas más comprometedoras.

Consejos de protección

Los expertos recomiendan varias medidas para minimizar el riesgo:

1. Desconfía de correos sospechosos: no abras archivos adjuntos ni enlaces de remitentes desconocidos.
2. Mantén actualizado tu antivirus y tu sistema operativo.
3. En entornos corporativos, monitoriza el tráfico de red en busca de grandes volúmenes de datos hacia servicios no autorizados.
4. Desconecta físicamente o cubre tu webcam cuando no la uses. Es una medida básica de autoprotección contra intentos de espionaje.
5. Y, sobre todo, pierde el miedo a denunciar. El silencio solo protege a los atacantes.

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo denunciar fraudes en Internet y ciberestafas 

La semana pasada saltaban todas las alarmas en la escena nacional ante la supuesta filtración de 10 gigabytes que apareció en la red con información sensible del Partido Socialista Obrero Español (PSOE), que ahora mismo gobierna el país junto a SUMAR. Tras esa información, la Guardia Civil comenzó una investigación que ha acabado con la detención de un menor de edad como presunto autor de esta filtración.

Un menor. Un simple joven de 17 años ha sido detenido por la Guardia Civil como presunto autor del ciberataque que resultó en la filtración de 10 gigabytes de datos sensibles del PSOE. El arresto, que tuvo lugar en una localidad de la Comunidad de Madrid, es el resultado de una rápida investigación después de que el propio hacker, bajo el alias de 'embl' anunciara su hazaña en un conocido foro de la dark web. 

La operación, llevada a cabo por el Servicio de Información de la Guardia Civil, incluyó dos registros domiciliarios en los que se incautó de diverso material informático. Este equipo será analizado ahora para determinar el alcance total de la brecha de seguridad y la cantidad de información exfiltrada, que según el propio autor afectaba a "empleados, afiliados, políticos y militantes" del partido.

De manera sencilla. El ciberataque se perpetró aprovechando una supuesta vulnerabilidad que se encontraba en al web del PSOE. Según presumía 'embl' en su publicación en la dark web, el acceso a los sistemas del partido le fue "mucho más sencillo de lo que se esperaba". En el post, que ya ha sido eliminado, afirmaba tener "datos internos y credenciales" de miles de personas vinculadas al partido político. 

La motivación detrás del ataque, según el autor, no era económica, sino ideológica. En el texto que acompañaba la filtración, 'embl' enmarcaba su acción dentro del "hacktivismo", asegurando que su objetivo era "aportar mi granito de arena para poder derrocar a este corrupto gobierno".

Curiosamente, intentaba desmarcarse de cualquier espectro político concreto: "No soy ni de izquierdas ni de derechas, no se salva ningún partido político de corrupción y demás... simplemente me he cansado de ver cómo es imposible tener un futuro en este país". Además, se jactaba de haber reportado en el pasado vulnerabilidades críticas al Instituto Nacional de Ciberseguridad (INCIBE) de otras instituciones como la Dirección General de Tráfico (DGT).

60 euros. Aunque el hacker afirmó inicialmente que no iba a publicar la base de datos en abierto, la investigación dio un giro decisivo gracias a la intervención de un agente encubierto como recogió Vozpópuli. Con este agente se pusieron en contacto con 'embl' haciéndose pasar por compradores interesados en la información. 

En Genbeta

El ‘nuevo Alcasec’: este joven hacker de 19 años filtró datos de Pedro Sánchez y otros políticos. Ya ha sido detenido

En esa conversación, el joven hacker ofreció vender una parte muy sensible de la base de datos, que incluía información privada del presidente del Gobierno y de varios de sus ministros, por la irrisoria cifra de 60 euros. Esta transacción, aunque de bajo valor monetario, fue la prueba clave que permitió a los agentes confirmar su identidad y proceder a su detención.

Como Alcasec. Este caso nos recuerda bastante a Alcasec, que también comenzó sus andanzas antes de cumplir los 18 años hackeando diferentes infraestructuras que son críticas como por ejemplo la DGT o el PNJ. Hackeos que ha hecho que se enfrente a sendas acusaciones en la propia Audiencia Nacional. 

Imágenes |  Kaptured by Kasia

En Genbeta | Hackeó la NASA para informar de los fallos de su web y no recibió recompensa alguna. Lo volvió a hacer y esta fue la respuesta

El pasado mes de febrero, una filtración bautizada como el "Kim dump" sacudió a la comunidad internacional de ciberseguridad. Se trataba de un paquete de archivos robados a un operador ligado a Kimsuky (APT43), uno de los grupos de hackers más activos y sofisticados asociados a Corea del Norte.

Lo que salió a la luz fue algo insólito: no simples muestras de malware, sino el entorno de trabajo completo del atacante, con historiales de comandos, borradores de herramientas, registros de accesos, documentos técnicos y hasta capturas de pantalla de su ordenador.

Sin embargo, en ese momento el material era un volcado en bruto: miles de archivos desordenados, en varios idiomas, con material muy diverso.

Ahora, los analistas de ciberseguridad han terminado de estudiar a fondo ese material y han empezado a publicar informes más completos, que ofrecen un vistazo sin precedentes al día a día de un espía digital norcoreano, y revela cómo se diseñan, prueban y despliegan ataques a gran escala contra gobiernos y empresas de Corea del Sur y Taiwán... con la posible sombra de apoyo logístico chino.

Un laboratorio clandestino al descubierto

Entre los archivos filtrados aparecieron historiales de consola donde el operador compilaba manualmente código malicioso en bajo nivel (ensamblador), lo probaba y lo borraba para ocultar huellas. Había registros de uso de OCR (reconocimiento óptico de caracteres) para analizar documentos en coreano sobre infraestructuras críticas, como la infraestructura de clave pública (GPKI) que gestiona la identidad digital de millones de ciudadanos surcoreanos.

También se encontraron:

• Claves digitales robadas de servidores gubernamentales, con contraseñas en texto plano.
• Rootkits para Linux capaces de ocultarse en el núcleo del sistema y pasar desapercibidos incluso ante herramientas de seguridad.
• Una red de páginas falsas que imitaban portales oficiales (como mofa.go.kr, del Ministerio de Exteriores surcoreano) para robar credenciales en tiempo real.

En Genbeta

Sale a la luz el método de Corea del Norte para que sus ingenieros sean contratados en buenos trabajos en empresas del mundo

En pocas palabras, el material muestra una operación que va mucho más allá del clásico 'phishing': combina espionaje técnico, robo de identidades digitales y control encubierto de servidores críticos.

El oro digital: credenciales y certificados

El hilo conductor de toda la operación es la obsesión por las credenciales. Para el atacante, una contraseña o un certificado digital no es solo un acceso: es la llave maestra para moverse sin ser detectado. Los registros filtrados muestran cómo el operador lograba acceso a cuentas de administrador (con nombres como 'oracle' o 'svradmin'), cambiaba contraseñas y anotaba cada éxito con la palabra coreana “변경완료” ('cambio completado').

En otros casos, el botín eran archivos '.key' pertenecientes a la infraestructura de certificados del gobierno surcoreano, lo que permitiría suplantar identidades oficiales y falsificar comunicaciones.

¿Qué hace China de por medio?

El análisis del 'Kim leak' confirma que Corea del Sur es el objetivo prioritario, tanto sus sistemas de identidad digital, como sus redes gubernamentales y sus comunicaciones diplomáticas. Sin embargo, sorprende la atención al detalle hacia Taiwán, donde el operador intentó explorar repositorios de investigación aeronáutica y portales de autenticación en la nube.

Aquí entra en juego la duda de atribución. Algunos indicios, como el idioma y el conocimiento de la GPKI, apuntan claramente a un actor norcoreano...

...pero otros elementos —uso de plataformas chinas como Baidu o Gitee, conexiones desde IPs de telecomunicaciones chinas, historial de navegación en mandarín simplificado— sugieren que el atacante operaba desde suelo chino o con su apoyo tácito. Nada que nos extrañe, dadas las recientes muestras públicas de afecto intergubernamental sino-norcoreano.

En Genbeta

Hackers norcoreanos han robado más de 1.300 millones de dólares en criptomonedas solo este año, según un estudio

Retrato de un hacker entre dos mundos

El aspecto más curioso de a filtración es su vertiente 'cultural': en los historiales de navegador se encontraron memes, manuales técnicos y hasta anuncios de móviles Huawei en chino simplificado. Todo ello refuerza la hipótesis de que el operador mantenía una 'identidad digital' integrada en la vida online de China, tanto para 'camuflarse' como para interactuar con posibles víctimas en ese ecosistema.

¿Por qué importa esta filtración?

Lo que hace único al 'Kim dump' es que demuestra cómo Corea del Norte se centra en el robo de credenciales como palanca para operaciones de largo plazo. Las implicaciones son graves:

• Corea del Sur y Taiwán deben reforzar la protección de sus sistemas de identidad digital, certificados y accesos administrativos.
• El caso confirma la tendencia hacia operaciones conjuntas entre Corea del Norte y China, lo que complica la atribución y la respuesta internacional.
• Para la comunidad global, esta filtración es un recordatorio de que el eslabón más débil no siempre es el usuario final, sino las propias infraestructuras de confianza digital que sostienen a gobiernos y empresas.

Vía | DomainTools

Imagen | Marcos Merino mediante IA

En Genbeta | En la guerra de Ucrania, los soldados norcoreanos han conocido Internet. ¿La consecuencia? Adicción al porno

Es ya un lugar común, al repasar las biografías de famosos hackers (sobre todo los estadounidenses), descubrir que muchos empezaron sus correrías digitales probando a alterar sus calificaciones en la plataforma de su instituto.

Lo que no es tan común es que quien altere ilegalmente las notas sea un profesor: por eso la reciente detención de un profesor en Sevilla, acusado de haber hackeado la plataforma Séneca de la consejería de Educación de Andalucía, ha causado tanta sorpresa.

El inicio de la investigación: una denuncia en Jaén

La operación policial arrancó tras la denuncia de un docente del IES San Juan Bosco de Jaén, que advirtió accesos irregulares en la plataforma Séneca. Lo que parecía un incidente aislado resultó ser la punta del iceberg: la Unidad de Delitos Tecnológicos de la Comisaría Provincial de Jaén descubrió que el alcance de la intrusión era mucho mayor.

¿Qué es 'Séneca'? Séneca es la plataforma digital de gestión educativa de la Junta de Andalucía. En ella se registran las notas de los estudiantes, se tramitan expedientes académicos, se comunican incidencias y se gestiona buena parte de la burocracia escolar y universitaria. Su valor estratégico es enorme: controlar Séneca equivale a tener acceso al historial académico de cientos de miles de alumnos.

En Genbeta

Un hacker adolescente italiano desvió de su ruta a varios petroleros que navegaban por el Mediterráneo. Lo hizo sólo por diversión

Un ataque con múltiples frentes

El detenido, un profesor de instituto en Jaén, pero que ha sido finalmente arrestado en Sevilla, habría cometido distintos delitos:

• Alteración de notas: manipuló calificaciones en su propio expediente y en el de personas de su entorno, presuntamente para facilitar el acceso fraudulento a estudios superiores.
• Acceso a correos electrónicos: vulneró las cuentas corporativas de e-mail de al menos 13 profesores de universidades andaluzas —incluyendo las de Jaén, Córdoba, Sevilla, Huelva, Cádiz y Almería—, algunos de ellos con responsabilidad directa en la elaboración de los exámenes de Selectividad (PAU) de 2025.
• Suplantación de identidad: utilizó las credenciales robadas para enviar comunicaciones internas en nombre de otros docentes, agravando la brecha de seguridad.

Estos delitos pueden acarrear penas de prisión, inhabilitación profesional y sanciones económicas. Además, el caso abre un debate sobre la validez de expedientes y pruebas de acceso universitario que pudieron verse afectados.

Durante el registro en su vivienda de Sevilla, la Policía se ha incautado de varios dispositivos informáticos y un cuaderno con anotaciones que documentaba las calificaciones manipuladas. Todo apunta a que el sospechoso actuaba con planificación y conocimiento avanzado en materia de ciberataques.

Vía | El País

Imagen | Marcos Merino mediante IA

En Genbeta | 21 meses de prisión para los dos estudiantes de la UPV acusados de hackear a 40 profesores y cambiar sus notas

Ya sabemos que desde hace años, Corea del  Norte ha mantenido una red sofisticada de trabajadores informáticos  encubiertos que operan desde el extranjero para financiar a Kim Jong Un. Si bien Estados Unidos había sido hasta el principal blanco de esta operación cibernética, también se sabe que andan por Europa.

En muchos casos, el teletrabajo es su gran aliado y hace unos días recogimos la historia de un jefe que descubrió que ingenieros que llevaban años trabajando en su empresa eran en realidad espías infiltrados norcoreanos. En muchos otros casos cuentan con el apoyo de ciudadanos de Estados Unidos (llamó mucho la atención la historia de un hombre con 13 empleos tech, que en realidad trabajaba haciendo la manicura y subcontrataba a otros).

En Genbeta

Una gran empresa de seguridad de EE.UU contrata a un ingeniero para que teletrabaje y era un ciberdelincuente norcoreano

Y ahora hay información mucho más concreta de cómo han logrado este despliegue masivo de profesionales en empresas americanas y europeas. Como recoge Xataka, según el FBI, el Departamento de Justicia y Google, lo que estos empleados persiguen es conseguir ingresos para financiar el programa nuclear de Corea del Norte. Pero el modus operandi era una gran incógnita hasta ahora.

SttyK acaba de presentar sus hallazgos en la conferencia de seguridad Black Hat en Las Vegas y dice que lo sabe gracias a que una fuente confidencial anónima le proporcionó los datos de las cuentas online con todas estas informaciones.

Cómo logra Corea del Norte infiltrarse en empresas extranjeras

En un momento en el que lograr un nuevo trabajo en Estados Unidos se está convirtiendo en una fuente de mucha frustración, como dicen los propios profesionales.... un nuevo informe demuestra que parece que algunos de los solicitantes de empleo más prolíficos del mundo, o al menos los más persistentes, pertenecen a los extensos esquemas de trabajadores del sector tech de Corea del Norte.

Durante años, Kim Jong-un ha logrado enviar con éxito a programadores cualificados al extranjero, donde se encargan de encontrar trabajo remoto y enviar dinero al país, que está aislado y sancionado por muchos países del mundo por las tensas relaciones diplomáticas del régimen.

En Genbeta

Los hackers de Corea del Norte están aprovechando el teletrabajo para infiltrarse en empresas de EE.UU. En realidad solo buscan robar

Naciones Unidas estima que cada año miles de trabajadores del sector tecnológico logran, en total, ingresar entre 250 y 600 millones de dólares. El dinero obtenido por estos hackers contribuye a los esfuerzos de desarrollo de armas de destrucción masiva y a los programas de misiles balísticos de Corea del Norte, según el gobierno estadounidense.

Ahora, se ha logrado obtener más información, tras recabar un buen número de datos para saber cómo gestionan todo el proceso. Gracias a correos electrónicos, hojas de cálculo, documentos y mensajes de chat de cuentas de Google, Github y Slack presuntamente vinculadas a los presuntos estafadores norcoreanos, una empresa de seguridad ha logrado comprender cómo rastrean posibles empleos, registran sus solicitudes en curso y también sus ingresos "con minuciosa atención al detalle", tal y como recoge Wired.

Un entramado muy bien gestionado

El conjunto de datos recabado ofrece un vistazo a la vida cotidiana de algunos trabajadores del sector tecnológico originarios de Corea del Norte. Entre otros asuntos se puede ver que cuentan con identificaciones falsas que podrían usarse para solicitudes de empleo, cuentan con ejemplos de cartas de presentación, detalles de granjas de computadoras portátiles y manuales para crear cuentas en línea.

De este modo, con una organización muy precisa, según la información presentada en Las Vegas, en los últimos años, los trabajadores de Corea del Norte se han infiltrado en grandes empresas incluso en algunas de la lista Fortune 500, también en muchas empresas tecnológicas en general y de criptomonedas, "e innumerables pequeñas empresas".

En Genbeta

Estos norcoreanos robaron las identidades de 60 estadounidenses y consiguieron empleos en remoto en grandes tecnológicas

Si bien no todos los equipos utilizan los mismos enfoques, a menudo emplean identidades falsas o robadas para conseguir trabajo y en el nuevo informe se ha podido comprobar que también recurren a facilitadores que les ayudan a ocultar su rastro digital. Por ejemplo, trabajadores que están en Rusia o China y tienen más libertad que las personas que residen en Corea del Norte.

SttyK muestran un grupo de trabajadores de TI que parece estar dividido en 12 grupos, cada uno con alrededor de una docena de miembros, y que tras esto hay un "jefe general".

Hojas de cálculo con toda la información

Según la información: las hojas de cálculo se elaboran metodológicamente para realizar un seguimiento de los trabajos y presupuestos, cuentan con pestañas de resumen y análisis que desglosan los datos de cada grupo, mientras que toda la información parece actualizarse con regularidad.

También recoge datos sobre empresas que buscan profesionales (por ejemplo, se necesitan expertos desarrolladores de React y Web3, como se puede leer en uno de esos documentos filtrados) y también indican cuáles son las empresas que los anuncian y sus ubicaciones. Por otro lado, se ha visto que incluye enlaces a las vacantes en sitios web de freelancers o a los datos de contacto de quienes realizan la contratación.

Por ejemplo, en estos análisis se puede encontrar una lista de los tipos de trabajo en los que participa el grupo de hackers. Como ejemplos: IA, blockchain, web scraping, desarrollo de bots, desarrollo de aplicaciones móviles y web, trading, desarrollo de CMS, desarrollo de aplicaciones de escritorio... Luego, cada categoría incluye un presupuesto potencial y un campo de "total pagado". También recogen las regiones más lucrativas para obtener ingresos y si recibir pagos semanales, mensuales o una suma fija es la mejor opción para su propósito.

Vía | Xataka

Imagen | Foto de sehoon ye en Unsplash, recortada

En Genbeta | Un hacker dejó sin Internet a Corea del Norte. Acaba de desvelar quién es y por qué lo hizo

En Genbeta | Aparece por fin el 'CEO' de la criptoestafa millonaria de HyperVerse: no era más que un actor a sueldo

Durante décadas, las películas y series de ciencia ficción nos han acostumbrado a pensar en el sabotaje espacial como algo que implica rayos láser, explosiones y combates orbitales. Sin embargo, la realidad tecnológica del siglo XXI es mucho más silenciosa —pero igual de peligrosa—: hoy en día, comprometer un satélite puede requerir menos un misil y más unas cuantas líneas de código.

La ciberseguridad espacial se ha convertido en un campo crítico, en el que están en juego aspectos de nuestras vidas cuya influencia va mucho más allá de la industria aeroespacial:

• Comunicaciones globales.
• Sistemas de posicionamiento y navegación (GPS).
• Observación meteorológica y climática.
• Gestión de infraestructuras críticas como redes eléctricas y transporte.

De destruir a hackear

Durante gran parte de la Guerra Fría, el control de los cielos y el espacio también se concebía en términos puramente físicos: interceptores, láseres de alta energía o misiles antisatélite (ASAT) capaces de pulverizar un objetivo en órbita. Pero las pruebas de estas armas han dejado huella: cada vez que uno de estos misiles acierta su blanco, la Tierra gana un nuevo anillo de basura espacial.

Un solo impacto puede generar miles de fragmentos que permanecen décadas orbitando a gran velocidad, amenazando a naves tripuladas, estaciones espaciales y otros satélites operativos.

Esta huella de desechos, junto con el alto coste económico y político de un ataque ASAT, ha llevado a muchos países a buscar métodos más discretos y menos rastreables: los ciberataques. Hackear un satélite o su infraestructura de control no produce escombros, es significativamente más barato y, sobre todo, ofrece una gran ventaja estratégica: permite actuar sin dejar huellas físicas inmediatas, dificultando la atribución del ataque.

En Xataka

Qué tipos de satélites existen: guía para no perderse en una gigantesca red de la que somos cada vez más dependientes

Vulnerabilidades en órbita

Aunque los satélites parecen entes autónomos, en realidad dependen de una compleja red de software y hardware tanto en el espacio como en tierra. Cada enlace, cada aplicación y cada biblioteca utilizada en su control es un posible punto de entrada para un atacante.

Lo más inquietante es que, a diferencia de un misil ASAT que requiere una infraestructura militar de alto nivel, un ataque cibernético contra un satélite puede ser ejecutado por actores mucho más modestos: incluso personas con conocimientos limitados —los llamados script kiddies— pueden hoy experimentar con tecnologías de interceptación o manipulación satelital gracias a la proliferación de herramientas y manuales disponibles públicamente.

En la última conferencia Black Hat de Las Vegas, los expertos de VisionSpace Technologies, mostraron cómo simples vulnerabilidades en programas ampliamente utilizados —como Yamcs o OpenC3 Cosmos— podrían permitir alterar la órbita de un satélite, interferir con sus sensores o incluso bloquear completamente su sistema operativo.

Software de control con fallos críticos

Ambas herramientas de gestión de satélites son herramientas de código abierto que permiten enviar comandos, recibir telemetría y monitorizar el estado de un satélite:

• Yamcs: empleada por NASA y Airbus, presentaba cinco vulnerabilidades identificadas con CVE, que permitían desde el acceso no autorizado a la aplicación hasta el control total de la misión. Un atacante podría, por ejemplo, modificar la órbita de un satélite activando sus propulsores sin que el cambio apareciera inmediatamente en las pantallas de control.
• OpenC3 Cosmos: en este caso, se detectaron siete fallos, entre ellos ejecución remota de código (RCE) y ataques de cross-site scripting (XSS), que podrían utilizarse para manipular datos de telemetría o interrumpir operaciones desde la propia interfaz web de control.

Bibliotecas de cifrado con grietas

La seguridad de las comunicaciones satelitales depende en gran medida de las bibliotecas de cifrado. Sin embargo, CryptoLib, una librería en C utilizada por NASA y otros operadores, contenía múltiples vulnerabilidades graves:

• En la versión usada por NASA, se hallaron cuatro fallos (dos críticos) que podrían permitir a un atacante descifrar o falsificar comandos.
• En la versión estándar, aparecieron siete vulnerabilidades, lo que expone a una amplia comunidad de usuarios.

Ataques DDoS orbitales

Algunas de las fallas detectadas permitían algo tan sencillo como enviar un paquete malicioso no autenticado para provocar el bloqueo completo del software a bordo. En ciertos escenarios, el reinicio forzado del satélite podría eliminar todas sus claves criptográficas, dejándolo sin capacidad de autenticación y, por tanto, inoperativo.

En Xataka

Hay decenas de estos enigmáticos dibujos con patrones geométricos en el mundo. Su misión: calibrar satélites

Casos reales: del conflicto geopolítico al cibercrimen

Los ciberataques contra satélites han dejado de ser escenarios hipotéticos para convertirse en herramientas reales de presión geopolítica y, en algunos casos, de espionaje corporativo.

El ataque a Viasat durante la guerra en Ucrania (2022)

En febrero de 2022, justo antes de la invasión rusa de Ucrania, un ataque cibernético contra la red KA-SAT de Viasat interrumpió gravemente las comunicaciones militares y civiles en Ucrania y en partes de Europa. El ataque, atribuido a actores vinculados al gobierno ruso, se centró en sabotear el firmware de los módems que daban acceso a la red satelital, dejándolos inutilizables y causando una pérdida inmediata de conectividad.

Este evento marcó un precedente: fue el primer gran ataque coordinado contra un operador satelital en medio de un conflicto armado moderno, demostrando que el dominio espacial es ya parte integral de la guerra híbrida. Además, el incidente afectó a sectores no militares, como granjas y empresas en zonas rurales europeas, evidenciando la interdependencia entre la infraestructura civil y la militar.

Salt Typhoon: espionaje persistente contra telecomunicaciones

En 2024, se reveló la operación 'Salt Typhoon', atribuida por Estados Unidos a un grupo de ciberespionaje vinculado presuntamente a China (acusación que Pekín niega). La campaña, que afectó a al menos nueve empresas de telecomunicaciones estadounidenses —incluidas Verizon, AT&T, T-Mobile y Spectrum—, se centró en infiltrarse en redes corporativas para extraer información estratégica y posiblemente obtener acceso indirecto a comunicaciones satelitales.

Aunque Viasat informó de que no hubo impacto directo en sus clientes, la sola presencia de intrusos en la red de una compañía con activos espaciales plantea un riesgo latente: un malware con capacidad de persistencia en la infraestructura terrestre podría, en el futuro, permitir el control de activos orbitales.

Un patrón preocupante...

Estos incidentes y demostraciones comparten varios rasgos:

• Interconexión crítica: el vector de ataque suele comenzar en sistemas terrestres interconectados con redes satelitales.
• Baja barrera técnica: el hardware y el software necesarios para interceptar o inyectar señales son cada vez más baratos y accesibles.
• Dificultad de atribución: identificar al responsable de un ataque es complejo debido a la naturaleza global de las comunicaciones satelitales y a la falta de registros exhaustivos.

Vía | The Register & Dark Reading

Imagen | Marcos Merino mediante IA

En Genbeta | Con esta web podrás ver el trayecto de todos los satélites que hay en el espacio en tiempo real y todos sus datos