A las 1:41 de la madrugada un email a llegado a mi cuenta, con un remitente y un asunto que en otras circunstancias me habrían puesto nerviosa: era de Iberia y tenía como asunto 'Aviso importante sobre datos personales'. Cuando me lo he encontrado esta mañana he tenido sentimientos encontrados y de mis labios ha salido una frase que no suelo decir cuando tomo sus vuelos: Ya era hora.

Porque la principal aerolínea del estado español, que suele jactarse de la efectividad de su compromiso de puntualidad, ha llegado muy tarde a informar a sus clientes de un robo de información personal a través de un ciberataque. Afortunadamente para mí, ya había cambiado la contraseña en cuanto saltó la liebre... el 14 de noviembre.

Iberia empezó a avisar a sus clientes 8 días después

Ese día Daily Dark Web alertaba del ataque para la posterior puesta en venta de 77GB de información privada en la Dark Web. El medio detallaba que los datos extraídos de los servidores internos de la aerolínea eran esencialmente información técnica bastante valiosa que incluía programas confidenciales de mantenimiento de aeronaves, así como registros de mantenimiento, esquemas técnicos e inspecciones, el certificado del operador aéreo, firmas digitales internas o volcados de bases de datos del sistema. En Escudo Digital se desvelaba también el precio puesto al rescate: 150.000 dólares.

El 25 de noviembre, el grupo de ransomware Everest se atribuía la filtración de datos de Iberia, afirmando haber exfiltrado 596 GB de datos internos de la compañía y solicitando un rescate de seis millones de dólares para evitar la filtración, como contaba el día después Daily Dark Web. 

Vía: Dayly Dark Web

Asimismo, en la reivindicación de la autoría del ataque explicaban que la información robada no solo era técnica, sino que había datos personales de los clientes de Iberia como el nombre al completo de los pasajeros, direcciones de email y número de teléfono, detalles del programa de viajero frecuente, números de reserva, necesidades y preferencias especiales y los registros internos de reservas y transacciones.

Entre la primera noticia del ataque y la confirmación de Everest pasaron once días, pero es que a Iberia le costó informar a sus clientes una semana: los primeros mensajes comenzaron a verse en redes el pasado 22 de noviembre y a servidora le ha llegado ya hoy 29 de noviembre. 

En el mail recibido Iberia admite 'un incidente de seguridad relacionado con un acceso no autorizado a los sistemas de un proveedor de Iberia, que ha comprometido la confidencialidad de ciertos datos.' ¿Qué datos? Según la aerolínea, el nombre y apellidos; correo electrónico; o número de identificación de tarjeta de fidelización (Iberia Club).

Iberia comunica asimismo que 'en ningún caso se han visto comprometidos sus datos de acceso a las cuentas de Iberia ni sus contraseñas ni han podido acceder a la información total de sus tarjetas bancarias que, por tanto, no son usables.' No obstante, la primera medida a llevar a cabo como cliente debería ser cambiar la contraseña por otra nueva y más robusta y extremar las precauciones ante cualquier movimiento extraño en las cuentas bancarias y a la hora de recibir mensajes al correo o al móvil. La palabra clave es: total.

Porque aunque según Iberia, tras conocer el incidente han activado sus protocolos de seguridad, están investigando el incidente para mitigarlo y que no vuelva a suceder y no les consta que se haya materializado ningún uso fraudulento de estos datos, mejor andar con mil ojos ante cualquier acción sospechosa, como por ejemplo un mensaje fraudulento haciéndose pasar por Iberia para conseguir más datos. La aerolínea ha facilitado su número de soporte ante cualquier sospecha: +34 900111500.

El envío de un comunicado informando a sus clientes forma parte del protocolo de actuación ante ciberataques y es de obligado cumplimiento de acuerdo con la legislación vigente. Eso sí, el aviso llega 8 días tarde como poco y además se centra en la parte del robo que atañe a los clientes, lo que deja unas cuantas incógnitas.

Así,  los primeros datos conocidos del robo detallaban el acceso no autorizado a información técnica y de un volumen de datos, cuando después supuestamente el volumen es mayor y afecta a información de los clientes, como después ha relatado Iberia. No obstante, la aerolínea no tiene obligación de informar al usuario final del robo de información técnica confidencial. 

En cualquier caso, esperamos que Iberia haya actuado con diligencia y más celeridad que a la hora de comunicar a sus clientes. Cumplir con la legalidad está bien en tanto en cuanto haces lo correcto, pero si además avisas cuanto antes, permites que tus clientes tomen medidas más pronto que tarde o incluso, minimizar el riesgo de que piquen ante posibles casos de suplantación de identidad.

Respecto al acceso no autorizado, la propia Iberia explica que se produjo a través de un proveedor, normalmente el eslabón más débil de la cadena. En cualquier caso y con la normativa en la mano, Iberia es la principal responsable.

En Genbeta | Un directivo de Iberia cuenta qué pasa cuando utilizamos el 'modo incógnito' para conseguir billetes más baratos

En Genbeta | Esta web tiene un ranking de las aerolíneas que pierden más maletas. Iberia y las españolas no salen (nada) bien paradas

Portada | Pantallazo Gmail, Iberia

La Policía Nacional es muy activa en las redes sociales para poder advertir y alertar a la sociedad de posibles fraudes y problemas de los que no siempre son conscientes. Hace unos días hablaron de algo que muchas personas hacemos: tener varias ventanas abiertas al mismo tiempo. Y es que este puede ser el origen de un fraude informático. 

El llamado Tabnabbing, según informan las autoridades, es una modalidad de ciberdelito que afecta a gente de todas las edades y que tiene la capacidad de comprometer tanto la seguridad de las cuentas de acceso a diversos servicios como a los datos bancarios. 

No es algo nuevo en absoluto, pero sí desconocido y la Policía aprovecha sus redes sociales para llevar esta información a más personas. 

Como explicaban desde el INCIBE el pasado verano, el tabnabbing  es una técnica de phishing que aprovecha el descuido del usuario al dejar pestañas abiertas en su navegador. Los ciberdelincuentes modifican el contenido de una pestaña inactiva para que parezca una página legítima, como la de tu banco o correo electrónico, con el objetivo de robar tus credenciales. 

Cómo funciona y cómo se identifica

Según el INCIBE, hay dos tipos. Está el tabnabbing clásico ( o pasivo) que es el más común. Ocurre cuando el usuario visita una página aparentemente inofensiva y luego cambia a otra pestaña. 

Mientras la pestaña original está inactiva, el contenido se reemplaza por una página falsa que imita un sitio legítimo que puede ser una red social, un servicio de mail o un banco y al regresar el usuario encuentra la sesión cerrada. Si vuelve a meter las credenciales, lo que hace es darle esa información al atacante. 

En Genbeta

Acusan a Alcasec de vender los datos de miles de policías a varias bandas de delincuentes: apuntan a que los usaban para extorsionar

Por otro lado el inverso o reverse tabnabbing ocurre cuando haces clic en un enlace que abre una nueva pestaña en tu navegador. El problema es que esa nueva pestaña puede hacer que la anterior cambie automáticamente y te muestre una página falsa. 

No solo ha afectado, que se sepa, a particulares, sino que de acuerdo con el Instituto de Ciberseguridad de España, esta técnica también ha sido utilizada en campañas de phishing dirigidas a empleados de empresas para obtener acceso a sistemas internos. 

En Genbeta

La Gen Z ha pasado años hackeando España. Ahora los Alfa toman el relevo de Alcasec: dos menores arrestados por filtrar datos de Sánchez

Incluso el Banco de España advierte sobre el aumento de casos de tabnabbing en usuarios que mantienen muchas pestañas abiertas y la Policía Nacional ha querido alertar en sus redes sociales de que ha crecido este tipo de fraude en España. Según el INCIBE:

"El tabnabbing es una técnica de phishing silenciosa, pero efectiva. La mejor defensa es la prevención: estar informado, mantener buenas prácticas de navegación y no confiar ciegamente en lo que ves en tu navegador. Si sospechas que has sido víctima de una ataque de este tipo, cambia tus contraseñas de inmediato y contacta con los servicios afectados".

Imagen | Foto de Emiliano Vittoriosi en Unsplash

En Genbeta | Alcasec es el hacker que decía conocer datos del 90% de los españoles, pero ha habido muchos otros más peligrosos

Hasta hace poco, los timos en Internet tenían un patrón reconocible: correos electrónicos con direcciones sospechosas, anuncios en redes que prometían algo 'demasiado bueno para ser verdad', SMS de origen supuestamente oficial pero plagados de faltas ortográficas, etc. Hoy, sin embargo, la situación es mucho más compleja.

Y es que las nuevas herramientas de inteligencia artificial generativa, como los resúmenes de Google, han abierto un nuevo frente, facilitando así estafas tan bien elaboradas que engañan incluso a usuarios con experiencia tecnológica. El caso que os traemos hoy, desvelado recientemente por The Washington Post, es un claro ejemplo de esto.

El falso número de atención al cliente

Alex Rivlin, un agente inmobiliario de Las Vegas acostumbrado a usar tecnología en su día a día, preparaba un viaje en crucero por Europa. En medio de los preparativos, necesitaba reservar un transporte desde Venecia hasta el puerto. Como cualquiera de nosotros, hizo lo más sencillo: buscó en Google el número de atención al cliente de la naviera Royal Caribbean.

Lo que recibió como respuesta parecía perfecto: un resumen generado por la IA de Google le mostró directamente un número de teléfono, sin tener que acceder ni rebuscar por la web de la compañía. Sin embargo, ese número no pertenecía a la misma, sino a un grupo de estafadores.

Al otro lado de la línea, un falso agente de "atención al cliente" respondió con todo lujo de detalles: tarifas, disponibilidad, condiciones de transporte… incluso negociaron descuentos para que el trato pareciera más realista. Finalmente, Rivlin aceptó pagar 768 dólares, confiado en la legitimidad de la transacción.

El fraude se destapó al día siguiente, cuando detectó cargos sospechosos en su cuenta bancaria bajo el nombre de una empresa que no era la naviera. Afortunadamente, consiguió que el banco le devolviera el dinero.

Viejas trampas, nuevas armas

El truco de publicar números falsos de atención al cliente no es nuevo. Durante años, los ciberdelincuentes han invertido en publicidad en buscadores para aparecer en los primeros resultados con números falsificados.

En Genbeta

Cómo recuperar el Google de toda la vida: así puedes desactivar la IA y el resto de adornos en tus búsquedas

La diferencia ahora es que es la propia IA de Google quien actúa como amplificador involuntario: recopila información dispersa de Internet y, sin comprobar adecuadamente su veracidad, la presenta al usuario como si fuera oficial. Si un número fraudulento aparece repetido en foros o páginas poco fiables, el sistema puede interpretarlo como "válido" y ofrecerlo en primera instancia.

Este sesgo no es anecdótico: la investigación del Post reveló que los mismos números fraudulentos estaban asociados a otras grandes navieras, como Disney Cruise Line. Es decir, los estafadores no apuntan a un solo objetivo, sino que crean redes de fraude que la IA puede propagar masivamente.

La respuesta de Google y las críticas de los expertos

Consultado por la prensa, Google aseguró que sus resúmenes de IA son “en la mayoría de los casos eficaces” para dirigir a los usuarios a información oficial y que los ejemplos fraudulentos detectados fueron eliminados. Sin embargo, los expertos tienen claro que permitir que la IA muestre directamente números de teléfono abre una nueva oportunidad para los estafadores... y la están aprovechando.

El problema parece radicar en una excesiva confianza de Google en su IA... lo cual no tiene sentido en un caso en el que la propia Google dispone de bases de datos verificadas —por ejemplo, información empresarial en Google Business Profiles— que deberían ser priorizadas antes de mostrar resultados de fuentes no contrastadas.

Por qué confiamos tanto en lo primero que vemos

El caso de Rivlin refleja un fenómeno psicológico clave: tendemos a confiar en lo que aparece en los primeros resultados de búsqueda. Eso no es nuevo ni culpa de la IA: antes ocurría con los enlaces patrocinados o las primeras posiciones de Google; ahora sucede con los resúmenes de IA únicamente porque son los aparecen en la parte más visible de la pantalla.

En Genbeta

Llamar "al primero que me salió en Google" no es buena idea, y hasta Google lo reconoce: bloqueará esta búsqueda para evitar estafas

Este hábito se ha convertido en una debilidad explotable: al dar por sentado que lo que vemos primero es lo más fiable, dejamos de aplicar la prudencia básica de contrastar en fuentes oficiales.

Más allá de los teléfonos falsos: un ecosistema de estafas impulsadas por IA

En realidad, el caso de los números fraudulentos es solo la punta del iceberg: investigaciones recientes señalan que las IA generativas pueden proporcionar también  URLs incorrectas de empresas, abriendo la puerta a páginas de phishing. La conclusión es clara: cualquier dato ofrecido automáticamente por una IA sin una adecuada verificación puede ser manipulado.

Cómo protegerse

1. Verificar siempre en la fuente oficial: si buscas un número de teléfono o una dirección web, revisa la página oficial de la empresa o su aplicación.
2. Desconfiar de lo demasiado fácil: si una IA te da la respuesta directa, úsala solo como punto de partida, no como confirmación.
3. Observar detalles sospechosos: nombres de empresa que no coinciden, cargos en cuentas con denominaciones extrañas o demasiado genéricas.

Imagen | Marcos Merino mediante IA

En Genbeta | Ni comprobar la URL te salva: así usan los timadores los anuncios de Google para colarse entre los resultados legítimos

En un esfuerzo por facilitar el acceso y mejorar la experiencia del usuario, muchas plataformas digitales han comenzado a reemplazar las contraseñas tradicionales con un sistema de inicio de sesión basado en códigos de un solo uso enviados por correo electrónico o SMS.

Aunque esta práctica pueda parecer moderna, eficiente y segura, en realidad representa una seria amenaza para la seguridad de las cuentas online. Y lo que es más preocupante: esta amenaza ya está causando estragos en comunidades enteras de usuarios, especialmente los de Minecraft y otros juegos online.

¿Cómo funciona este método de acceso?

El método de inicio de sesión basado en códigos de un solo uso (One-Time Passcode, OTP) ha ganado popularidad como alternativa a las contraseñas tradicionales. La propuesta es sencilla y tiene un aire de modernidad y conveniencia:

1. El usuario accede a la página de inicio de sesión de un servicio.
2. Introduce únicamente su dirección de correo electrónico o número de teléfono.
3. El sistema le envía un código temporal (por ejemplo, de 6 dígitos) a través de correo electrónico o mensaje SMS.
4. El usuario introduce el código en la web y accede directamente a su cuenta.

Este enfoque se conoce como autenticación passwordless (sin contraseña), y se nos vende como un avance en términos de comodidad para el usuario. Además, grandes empresas tecnológicas como Microsoft, Google e incluso plataformas bancarias ya han comenzado a implementarlo en algunos de sus servicios.

El principal atractivo de este método radica en su aparente sencillez y que ofrece la opción de suprimir el estrés de recordar largas y complejas contraseñas. También es cierto que cierra las puertas a ciertos vectores de ataque tradicionales como los ataques de fuerza bruta o el relleno de credenciales (credential stuffing), ya que no se almacena una contraseña estática en los servidores que pueda ser reutilizada o robada.

Desde el punto de vista técnico, este modelo también se apoya en mecanismos que aseguran que el código enviado solo pueda usarse una vez y que tenga una validez temporal limitada (usualmente unos minutos), y esto genera una sensación de seguridad adicional.

En Genbeta

He dejado de usar contraseñas en todas mis cuentas de Google, Microsoft y Apple. Y me he quitado un peso de encima

Sin embargo, esta ilusión de seguridad se desmorona rápidamente en la práctica, especialmente cuando:

• El servicio no verifica adecuadamente la identidad de quien solicita el código.
• El usuario desconoce qué implica compartir un código OTP.
• El entorno donde se introduce el código no es el sitio original (como Discord u otras plataformas ajenas al proveedor del servicio).

Y es aquí donde este método, diseñado para simplificar, se convierte en el talón de Aquiles de miles de cuentas digitales, especialmente cuando se mezcla con ingeniería social y plataformas con fuerte presencia juvenil, como Minecraft o Discord.

¿Cuál es el problema con este método?

Lo cierto es que este método facilita enormemente los ataques de suplantación de identidad (phishing). ¿Por qué?

En primer lugar, porque cualquiera puede iniciar el proceso de verificación con tu correo: un atacante solo necesita conocer tu dirección de correo electrónico (algo que suele ser público o fácil de adivinar).

Luego, accede a la página oficial de inicio de sesión del servicio —por ejemplo, Microsoft— y solicita un código de acceso de un solo uso. Este código legítimo será enviado a tu bandeja de entrada, como si tú hubieras iniciado el proceso de inicio de sesión.

Tú no entiendes por qué te ha llegado este e-mail o SMS (un problema agravado por el hecho de que los correos electrónicos que contienen los códigos no indican claramente su propósito)... pero, entonces, el atacante contacta contigo, normalmente a través de Discord, y te pide ese código, haciéndose pasar por un bot de verificación o un administrador de servidor.

Si caes en la trampa y le das ese código, le estarás entregando acceso completo a tu cuenta, sin que él haya necesitado conocer tu contraseña. Como el código es real y el sitio de origen también, resulta muy difícil detectar la estafa antes de que sea demasiado tarde.

Además, con este sistema, los gestores de contraseñas no pueden protegerte: en los ataques tradicionales, los gestores detectan URLs maliciosas o autocompletan contraseñas sólo en sitios legítimos. En este nuevo modelo, como el usuario nunca escribe una contraseña y el sistema legítimo es el que emite el código, no hay manera de saber si el código está siendo usado correctamente.

Casos reales

Esta vulnerabilidad no es una mera posibilidad teórica. Ya existen varios ejemplos documentados de los que empiezan a hacerse eco las comunidades online (desde los foros de Microsoft a YouTube).

En Genbeta

Cómo saber si me han hackeado la cuenta de Instagram y qué hacer para recuperarla

Una de las tácticas más comunes descritas en varios foros como Reddit consiste en invitar a jugadores a un servidor de Discord que parece legítimo, con bots y verificación. Se les pide introducir su correo de Microsoft y luego el código de 6 dígitos que recibirán en su correo. Muchos creen que están verificando su cuenta para acceder al servidor, pero en realidad están entregando el código de acceso a su cuenta de Microsoft a los estafadores.

Resultado: el atacante cambia la dirección de correo de la cuenta, borra o reemplaza la información que podría usarse para recuperarla en caso de pérdida de acceso (número de teléfono asociado, preguntas de seguridad), y el propietario legítimo pierde el acceso permanentemente.

Además, según el testimonio de un youtuber, los atacantes utilizan Webhooks de Discord para automatizar el robo de cuentas una vez obtienen el código. Así, los datos de la víctima son reemplazados por los del estafador en cuestión de minutos.

¿Por qué no se habla más de esta estafa?

Una de las razones es que los actores maliciosos utilizan canales y sistemas legítimos. El correo de Microsoft que contiene el código, por ejemplo, parece auténtico... porque lo es: el código no viene de un sitio falso. La manipulación ocurre cuando la víctima, por ingenuidad o falta de información, entrega ese código al estafador.

Además, muchos afectados son menores de edad o usuarios menos familiarizados con prácticas seguras en Internet. Esto los convierte en blancos fáciles y en víctimas silenciosas.

¿Cómo prevenir estos ataques?

1. Nunca entregues códigos de verificación a terceros. Ningún servidor de Discord o sitio debería pedirte un código enviado a tu correo personal. Si alguien te lo solicita, es una estafa.
2. Educa a otros usuarios, especialmente jóvenes. Muchos de los afectados son adolescentes. Compartir esta información puede evitar que más personas caigan.
3. Verifica siempre el propósito de los códigos que recibes. Si recibes un código inesperado de Microsoft, ignóralo. Y si tú mismo lo has solicitado, asegúrate de ingresarlo solo en el sitio original, no en Discord o servicios externos.
4. Usa contraseñas seguras y sistemas de autenticación multifactor reales. Aunque parezca contradictorio, volver a usar contraseñas fuertes y seguras es, hoy por hoy, más seguro que depender exclusivamente de códigos de un solo uso sin contraseña.

Vía | Daniel Huang

Imagen | Marcos Merino mediante IA

En Genbeta | Me lío tanto con las contraseñas de mis servicios y apps que he encontrado mi aliado perfecto: regenerarlas continuamente

Un efecto imprevisto de la digitalización es que ha democratizado el acceso a la carrera criminal. Un caso reciente que ilustra la magnitud de este problema es el de Ollie Holman, un estudiante universitario británico de tan solo 21 años, que ha sido condenado a siete años de prisión por diseñar y distribuir kits de phishing utilizados en fraudes que alcanzaron una cifra estimada de 100 millones de libras esterlinas.

Pero, ¿quién es Ollie Holman? Pues se trata de un estudiante de ingeniería electrónica e informática de la Universidad de Kent, en Canterbury que, lejos de limitarse a sus estudios, decidió aprovechar sus habilidades técnicas para sacarse un 'sueldo' incursionando en el cibercrimen.

¿Y qué son esos kits de phishing que comercializaba? Los kits de phishing son herramientas digitales diseñadas para engañar a los usuarios y obtener información confidencial, como credenciales bancarias y datos personales. Estos kits imitan páginas legítimas de bancos, gobiernos o instituciones benéficas. Cuando las víctimas introducen su información en estos sitios falsificados, los datos son recolectados y utilizados con fines fraudulentos.

El alcance de la operación

Entre 2021 y 2023, Holman creó y distribuyó 1.052 kits de phishing que afectaron a 69 organizaciones diferentes en un total de 24 países. Una de las estafas más llamativas consistió en una página falsa de donaciones a una organización benéfica, que robaba automáticamente los datos de las tarjetas de crédito de los donantes.

En Genbeta

Realizar ataques de phishing con menos de 25 euros ya es un negocio en la Dark Web. Y ahora la IA los hace más difíciles de detectar

Los kits contenían funciones que permitían almacenar datos sensibles y ofrecían instrucciones detalladas para su uso, lo que facilitó su implementación incluso por parte de personas sin conocimientos avanzados. Holman construyó una red de casi 700 compradores, a quienes contactaba y asesoraba a través de la plataforma cifrada Telegram.

¿Cuál fue su beneficio económico? Se estima que Holman ganó unas 300.000 libras mediante la venta de sus kits, dinero que fue posteriormente lavado a través de criptomonedas, un método comúnmente utilizado para ocultar el rastro del dinero en actividades ilícitas digitales.

Investigación y arresto

La unidad de delitos relacionados con tarjetas y pagos de la Policía de la Ciudad de Londres inició una investigación tras recibir información de la firma de inteligencia WMC Global. Holman fue arrestado en octubre de 2023, y durante la intervención se incautaron de dispositivos de su alojamiento universitario.

Sin embargo, incluso tras su detención inicial, continuó gestionando su canal de Telegram y brindando asistencia a sus compradores, lo que llevó a una segunda detención en mayo de 2024. Finalmente, los investigadores encontraron evidencias directas en su ordenador que confirmaban su autoría.

Juicio y sentencia

Holman, finalmente, se ha declarado culpable de siete cargos, entre ellos:

• Fabricación y suministro de artículos para uso en fraudes.
• Incitación y asistencia en la comisión de delitos.
• Transferencia, adquisición y posesión de bienes de origen delictivo.

El tribunal de Southwark lo ha condenado a siete años de prisión, y la Fiscalía de la Corona ha anunciado que se iniciaría un proceso para recuperar las ganancias obtenidas ilícitamente. El sargento detective Ben Hurley afirma que Holman facilitó la puesta en marcha de un fraude a escala global:

"Las pérdidas asociadas con sus acciones pueden cifrarse en millones. Holman se benefició enormemente, sin pensar en el daño que infligía a las víctimas".

Imagen | Marcos Merino mediante IA

En Genbeta | Cada vez es más fácil encontrar a las mejores víctimas para cada timo: 'van a tiro hecho' gracias a la venta de datos personales

Todo comenzó con un SMS aparentemente inofensivo que simulaba proceder de Correos, en el que se le solicitaba a la protagonista de nuestra historia el pago de una ínfima cantidad (0,01 €) para recibir un supuesto paquete.

Al pulsar el enlace, fue redirigida a una página web idéntica a la oficial de la empresa estatal de mensajería. Allí, sin sospechar que se trataba de un fraude, introdujo sus datos personales y bancarios.

En pocas horas, su cuenta bancaria registró 29 cargos no autorizados por un total de 2.490 euros, ejecutados en plataformas extranjeras como Revolut, Betfair y DB Vertrieb GmbH.

La reacción del banco y la decisión judicial

La mujer denunció los hechos y reclamó a su banco, ING, el reembolso de los fondos sustraídos. Sin embargo, la entidad bancaria se negó a devolverle el dinero, argumentando que la clienta había sido negligente al compartir sus datos y que todas las operaciones habían sido validadas haciendo uso de los sistemas habituales de autenticación, como el código SMS de un solo uso (OTP).

La batalla se trasladó a los tribunales. El caso fue juzgado por el Juzgado de Primera Instancia n.º 13 de Palma de Mallorca, donde el juez dictó una sentencia contundente a favor de la víctima: el banco debía devolver los 2.490 euros.

¿Por qué ganó la demanda?

La clave de esta sentencia radica en varios argumentos jurídicos sólidos:

1. No hubo negligencia grave por parte de la víctima

El juez concluyó que el engaño fue tan sofisticado que "superó los estándares de diligencia exigibles a un consumidor medio". La página fraudulenta tenía un aspecto casi indistinguible de la real, y el mensaje resultaba completamente creíble.

En Genbeta

Si has sido víctima de una estafa por Internet, así es como puedes recuperar tu dinero

2. El banco no demostró que su sistema fuera seguro

ING no aportó pruebas de haber implementado mecanismos tecnológicos eficaces para detectar y evitar fraudes como el phishing. Tampoco justificó por qué no se bloquearon 29 operaciones sospechosas en un corto lapso de tiempo. De hecho, el banco se limitó a mostrar correos informativos genéricos sobre phishing, sin evidencias de mecanismos tecnológicos concretos para prevenir el fraude.

3. Las operaciones no estaban debidamente autenticadas

Aunque las transacciones usaron mecanismos de doble autenticación (OTP), la normativa europea exige no solo la autenticación técnica, sino también la comprobación de la identidad del usuario. En este caso, al haberse suplantado la identidad a través del engaño, no puede considerarse que las operaciones estuvieran autorizadas.

4. El banco tiene una responsabilidad cuasi objetiva

Según el Real Decreto-ley 19/2018 y la Directiva (UE) 2015/2366, las entidades bancarias son responsables de las operaciones fraudulentas, salvo que prueben que el cliente actuó con dolo o negligencia grave, lo cual ING no consiguió demostrar.

Un precedente importante

La sentencia es clara y marca un precedente relevante en la defensa de los derechos de usuarios de banca digital: la carga de proteger las operaciones no puede recaer exclusivamente sobre el consumidor. Las entidades financieras tienen el deber contractual y legal de implementar sistemas proactivos, no solo informar sobre riesgos.

Correos, por su parte, ha reiterado en múltiples ocasiones que nunca solicita datos sensibles por SMS o redes sociales, e insta a eliminar cualquier mensaje sospechoso de inmediato.

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo denunciar fraudes en Internet y ciberestafas

En los últimos meses, la comunidad de profesionales de la ciberseguridad ha presenciado un fenómeno inesperado: la repentina multiplicación del uso de dominios españoles '.es' para perpetrar campañas de phishing a gran escala. De hecho, investigaciones recientes de la firma Cofense revelan que estos dominios han pasado de considerarse relativamente seguros a convertirse en uno de los principales vehículos para el robo de credenciales y la distribución de malware.

Una escalada sin precedentes

Entre el cuarto trimestre de 2024 y el primer trimestre de 2025, los ataques de phishing basados en dominios '.es' se multiplicaron por 19, lo que ha llevado al dominio español a posicionarse como el tercero más utilizado en campañas maliciosas, solo por detrás de los omnipresentes 'com' y '.ru'.

Tradicionalmente, los dominios con código de país (ccTLD), como '.es', eran considerados de bajo riesgo debido a sus mayores restricciones de registro y a la dificultad para adquirirlos de forma masiva. Sin embargo, esto parece haber cambiado para los dominios de nuestro país.

¿Qué está pasando con los dominios .es?

De acuerdo con Cofense, hasta mayo de 2025 se identificaron más de 1.373 subdominios maliciosos bajo 447 dominios '.es', lo que pone en evidencia una explotación sistemática y masiva.

El 99% de estas actividades están centradas en el phishing de credenciales, con el objetivo de robar nombres de usuario y contraseñas de servicios corporativos. El otro 1% involucra la distribución de malware, especialmente troyanos de acceso remoto (RATs) como ConnectWise RAT, Dark Crystal y XWorm.

Además, a diferencia de campañas anteriores donde ciertos grupos organizados protagonizaban claramente las campañas de ciberestafa, el uso del dominio '.es' parece haberse extendido entre una amplia variedad de actores maliciosos, lo que sugiere una técnica generalizada en lugar de una operación especializada.

En Genbeta

Realizar ataques de phishing con menos de 25 euros ya es un negocio en la Dark Web. Y ahora la IA los hace más difíciles de detectar

¿A qué marcas están suplantando?

Microsoft es, con diferencia, la marca más utilizada como señuelo en estas campañas: aparece en el 95% de los casos. Los correos electrónicos fraudulentos simulan comunicaciones de Outlook, Microsoft 365 o accesos a portales corporativos. Otras marcas imitadas, aunque en menor medida, incluyen Adobe, Google y DocuSign.

Los correos suelen estar bien elaborados, con asuntos que abordan temas laborales como mensajes de Departamentos de RR.HH., recibos de documentos o notificaciones urgentes, todos ellos diseñados para parecer legítimos.

Cloudflare en el punto de mira

Un hallazgo particularmente llamativo es que el 99% de los dominios 'es' utilizados en estas campañas están alojados en la infraestructura de Cloudflare. Además, muchas páginas fraudulentas emplean el sistema Cloudflare Turnstile CAPTCHA, lo cual añade un nivel de credibilidad y dificulta la detección por parte de los usuarios.

Esto plantea interrogantes sobre si la facilidad para desplegar sitios mediante herramientas como Cloudflare Pages ha facilitado el trabajo a los atacantes, o si existen lagunas en el control de abusos en dicha plataforma.

Subdominios aleatorios y detección

Los subdominios utilizados suelen estar generados aleatoriamente, lo cual dificulta su identificación mediante patrones tradicionales. Algunos ejemplos citados por Cofense incluyen:

• ag7sr[.]fjlabpkgcuo[.]es
• gymi8[.]fwpzza[.]es
• md6h60[.]hukqpeny[.]es

La ausencia de nombres reconocibles o semánticamente coherentes hace que estas URLs pasen inadvertidas para usuarios desprevenidos, aunque podría llevar a que sean detectadas más fácilmente por filtros automatizados.

Vía | The Register & SiliconAngle

Imagen | ChatGPT

En Genbeta | Unas islas del tamaño de Gandía, en mitad de la nada, son la razón por la que desaparecerá toda una extensión de dominios web

Hunters International es un grupo de ransomware que en España fue muy conocido cuando se hizo con grandes cantidades de datos de CCOO, El Corte Inglés y Legálitas hace apenas unos meses. En el caso del sindicato comprometió alrededor de 570 GB de datos sensibles y la información acabó filtrada en la Dark Web.

Pues ahora acaban de anunciar el cierre de sus operaciones, con un anuncio muy curioso: ofrece a las víctimas que tengan sus sistemas secuestrados, el código para liberarlos de forma gratuita.

En Genbeta

Filtran 570 GB de datos sensibles de CCOO: los expertos en ciberseguridad que lo descubren empiezan a recibir tuits sobre 'mariscadas'

Al anunciar la noticia, la banda ha eliminado también todos los datos de las víctimas de su sitio de filtraciones en la dark web y emitió un comunicado confirmando su decisión:

"En Hunters International, deseamos informarles sobre una decisión importante con respecto a nuestras operaciones". "Tras una cuidadosa consideración y a la luz de los recientes acontecimientos, hemos decidido cerrar el proyecto Hunters International. Esta decisión no se tomó a la ligera y reconocemos el impacto que tiene en las organizaciones con las que hemos interactuado".

En Genbeta

Creían estar seguros negociando con drogas en la Dark Web, pero ahora les están extorsionando: o pagan o la policía tendrá sus datos

Hunter anunció además que, "como gesto de buena voluntad", entregará claves a todas las víctimas, aunque no parece que estén disponibles públicamente. Parece ser que hay que pedirlo directamente para recibir esas claves: "Entendemos los desafíos que plantean los ataques de ransomware y esperamos que esta iniciativa les ayude a recuperar el acceso a su información crítica de forma rápida y eficiente", añadió el comunicado. Para acceder a las herramientas de descifrado y recibir orientación sobre el proceso de recuperación, hay que visitar su sitio web oficial.

Cabe decir que los grupos de ciberdelincuentes que abandonan sus operaciones rara vez ofrecen claves de descifrado gratuitas, pero tampoco es algo inaudito.

El ransomware es "poco prometedor"

El comunicado no detalló los motivos de la decisión ni los "acontecimientos recientes", pero como recoge The Register, sí hay comunicados previos hablando sobre que el ransomware se estaba convirtiendo en un problema mayor de lo que realmente representaba.

En abril, los líderes del grupo afirmaron que el ransomware se había vuelto "poco prometedor, de baja conversión y extremadamente arriesgado", y agregaron que estaban considerando un cambio de rumbo. "Actualmente se están produciendo cambios en el mundo. Uno de ellos es el reconocimiento del ransomware como terrorismo, y los países que contribuyen o no hacen nada para combatirlo son designados como países que apoyan al terrorismo", decían hace unas semanas.

En Genbeta

Pagar por un ataque de ransomware tiene consecuencias: hay muchas opciones de que vuelvan a atacarte para sacar más dinero

"Esta situación es inaceptable para la mayoría de los países, ya que tiene un impacto negativo en el sistema bancario externo. Esto significa que la lucha contra el ransomware está pasando del plano virtual al real, y esta vez nuestros propios estados están en nuestra contra. Las posibilidades de supervivencia, en tal situación, tienden a ser nulas".

La firma de inteligencia de amenazas Group-IB reveló en abril que Hunters International estaba cambiando su nombre con planes de centrarse en el robo de datos y los ataques exclusivamente de extorsión, y que había lanzado una nueva operación exclusivamente de extorsión conocida como "World Leaks".

En Genbeta

Un hacker con 30 años de experiencia habla sobre las atrocidades en la Dark Web: "hay personas que solo quieren ver el mundo arder"

Por ello, se espera que, simplemente continúe delinquiendo pero con algo que les salga más rentable. Cabe decir que World Leaks sigue vigente y opera con un modelo basado exclusivamente en la extorsión, mediante el cual los atacantes roban los datos de una empresa y los retienen para pedir un rescate sin implementar ningún tipo de cifrado de archivos. La página de la Dark Web del grupo está diseñada prácticamente con el mismo estilo que la de Hunters y actualmente cuenta con 31 víctimas.

Qué se sabe de Hunters International

Como ya recogimos en Genbeta en el pasado, al reportar el mencionado ataque a CCOO, el grupo de hackers, se cree que puede estar ubicado en Nigeria y emplea técnicas de phishing dirigido, enviando correos electrónicos maliciosos para engañar a los empleados y hacerles ejecutar malware.

Una vez dentro del sistema, los atacantes extraen datos antes de cifrarlos (lo que se conoce como ransomware), aumentando la presión sobre sus víctimas para que paguen el rescate.

En Genbeta

Los datos de 160.000 miembros de la Guardia Civil y del Ministerio de Defensa, disponibles en la 'dark web', según elDiario.es

Según la agencia de  ciberseguridad Cyber Zaintza, Hunters International solía ir a por a organizaciones de sectores críticos como salud, educación y logística. Esta diversificación de objetivos sugiere que los ciberdelincuentes explotan la importancia de los datos de estos sectores para maximizar sus beneficios.

Imagen | Foto de Rohan en Unsplash

En Genbeta | El primer ransomware de la historia utilizaba el SIDA como anzuelo y pedía un rescate con cheque. Nunca sabremos por qué se creó

Por lo que te podrías gastar en comprar el periódico durante sólo dos semanas, ahora cualquier persona —sin necesidad de ser un experto en tecnología— puede convertirse en un ciberdelincuente. Según afirman los expertos de la empresa de cibserseguridad NordVPN, esta novedosa democratización del cibercrimen podemos agradecérsela a los nuevos kits de phishing: paquetes de herramientas maliciosas disponibles por menos de 25 euros en la 'dark web' y en canales de mensajería como Telegram.

Y esta nueva realidad está multiplicando el riesgo de que millones de ciudadanos caigan víctimas de fraudes cada vez más sofisticados.

¿Qué son los kits de phishing?

Los kits de phishing son conjuntos prefabricados de herramientas diseñadas para crear páginas web falsas y correos electrónicos fraudulentos que imitan a empresas, instituciones públicas y marcas reconocidas. Su objetivo es engañar al usuario para que revele información sensible como contraseñas, números de tarjeta de crédito o datos bancarios.

Y lo preocupante no es solo su bajo precio, sino su facilidad de uso para los criminales con conocimientos de informática 'nivel usuario': incorporan editores tipo "arrastrar y soltar", plantillas listas para enviar, y hasta listas ya elaboradas de correos objetivos.

El modelo PhaaS: phishing como servicio

A esta amenaza se suma un fenómeno aún más preocupante: el 'Phishing-as-a-Service' (PhaaS), plataformas que funcionan como verdaderos proveedores de servicios criminales online: ofrecen, por suscripción, toda la infraestructura necesaria para lanzar campañas de phishing, desde el alojamiento de sitios web fraudulentos hasta soporte técnico, pasando por la segmentación de víctimas, estos servicios convierten la ciberdelincuencia en un negocio profesionalizado y escalable.

En Genbeta

Las VPN son imprescindibles para navegar más seguro. Pero yo también las uso para todo esto

Lo alarmante es la resistencia y adaptabilidad de estos servicios, puesto que, aunque las autoridades logren desmantelar una plataforma, los atacantes suelen reactivarla con otro nombre y desde otra ubicación. El uso de criptomonedas para los pagos y el alojamiento en jurisdicciones laxas con el crimen digital dificulta su persecución.

Crecimiento explosivo y nuevas formas de ataque

Según los datos de NordVPN, el phishing se disparó entre un 65% y un 100% solo en 2023 respecto al año anterior en España, especialmente en forma de smishing (mensajes SMS falsos) relacionados con entregas de paquetes o devoluciones de impuestos. En 2024, las marcas más suplantadas fueron Google, Facebook y Microsoft, y se detectaron cerca de 85.000 URLs falsas relacionadas con Google.

Además, los delincuentes están incorporando nuevas tecnologías a su arsenal. La inteligencia artificial (IA) ya se usa para generar correos personalizados mediante el análisis de redes sociales, clonar voces en ataques telefónicos, e incluso crear páginas de phishing interactivas con chatbots falsos.

"En general, es probable que la IA acelere tanto la escala como la verosimilitud de los ataques de phishing, haciéndolos más difíciles de detectar y más peligrosos para el público en general".

También gana terreno el llamado 'quishing', el uso de códigos QR para engañar a las víctimas, una técnica especialmente eficaz en espacios públicos y medios impresos.

Máxima personalización para aumentar su impacto

Uno de los factores que incrementa la eficacia de estos ataques es su grado de personalización. Según explica a Genbeta Adrianus Warmenhoven, experto en ciberseguridad de NordVPN, dicha personalización no se da únicamente por idiomas: en España, por ejemplo, los ciberdelincuentes personalizan sus kits incluso según la comunidad autónoma.

Así, suplantan marcas conocidas como Amazon o Microsoft, pero también entidades nacionales como Correos, la Agencia Tributaria, bancos como Santander y BBVA, e incluso servicios autonómicos de salud. El objetivo es generar una sensación de familiaridad que reduzca las sospechas del usuario.

¿Quiénes son las principales víctimas?

Nadie está a salvo, pero algunos colectivos son más vulnerables que otros: las personas mayores, debido a su menor alfabetización digital, son un blanco recurrente. Pero eso no significa que sean la única generación expuesta a las ciberestafas; según Warmenhoven,

"Al mismo tiempo, los usuarios más jóvenes se convierten con más frecuencia en objetivo de estafas a través de las redes sociales y los SMS, como falsas notificaciones de entrega o regalos online".

En Genbeta

Cada vez es más fácil encontrar a las mejores víctimas para cada timo: 'van a tiro hecho' gracias a la venta de datos personales

Hay, claro, otros factores al margen de la edad que influyen a la hora de convertirte en víctima de una ciberestafa:

• El origen: "Los inmigrantes o los hablantes no nativos, que pueden no reconocer las incoherencias en las comunicaciones de aspecto oficial, también se ven afectados de forma desproporcionada".
• La ocupación: "En los últimos años, los ciberdelincuentes han atacado cada vez más a propietarios de pequeñas empresas y autónomos con facturas y avisos de pago falsos, pero muy convincentes".

¿Qué están haciendo las autoridades?

En palabras de Warmenhoven, "las autoridades públicas de muchos países, entre ellos España, han tomado medidas para hacer frente al phishing, pero sus esfuerzos siguen siendo insuficientes".

Pero, aunque España ha reforzado sus mecanismos de respuesta con iniciativas del INCIBE o la Guardia Civil, y su colaboración con el Centro Europeo de Ciberdelincuencia de Europol,

"los tiempos de respuesta, la asignación de recursos y los marcos legislativos siguen estando por detrás de la rápida evolución de las tácticas de phishing".

Además, la dispersión internacional de los delincuentes y sus infraestructuras dificulta aún más la acción legal y policial.

¿Cómo protegerse?

Frente a este escenario, la prevención es la mejor defensa. Warmenhoven recomienda:

• Desconfiar de enlaces sospechosos y revisar cuidadosamente su ortografía.
• Activar la autenticación en dos pasos en todas las cuentas posibles.
• Evitar descargar archivos de correos no solicitados.
• No hacer clic en ofertas urgentes o regalos inesperados.
• Usar herramientas antimalware y mantener los dispositivos actualizados.
• Instalar bloqueadores de rastreadores para proteger la privacidad.

Imagen | Marcos Merino mediante IA

En Genbeta  | Ahora que estábamos empezando a 'ver venir' los e-mails de ciberestafas, llega una nueva técnica: el phishing de clonación

Lo que más odio del correo electrónico, sin duda, es el spam y lo pocas herramientas que tenemos realmente para controlarlo. Casi sin darnos cuenta, nos encontramos a diario con decenas de correos publicitarios que nos interesan poco o nada. Mi reacción siempre es la misma: buscar el botón de “Cancelar suscripción” o “Unsubscribe” al final del email para intentar evitar que me sigan llegando esos mensajes basura.

Sin embargo, los expertos en ciberseguridad advierten que este gesto, aparentemente inofensivo, puede ser contraproducente y acarrear serios problemas de seguridad. Al hacerlo, podríamos estar confirmando a los remitentes que la dirección de correo está activa y se consulta con frecuencia.

Una práctica habitual que puede ser peligrosa

Según recoge el medio TechSpot, hacer clic en el enlace de baja de un correo de spam puede tener consecuencias negativas. Esto puede validar la dirección como activa, lo que puede traducirse en recibir aún más correos no deseados.

En el peor de los casos, estos enlaces son auténticas trampas. Michael Bargury, cofundador de la firma Zenity, explica que pueden redirigir a sitios de phishing diseñados para robar contraseñas o instalar malware en el dispositivo. A menudo accedemos de forma instintiva a estas webs, sin prestar atención a los clics que realizamos. El deseo de desuscribirse rápidamente puede llevarnos a actuar sin pensar.

Pero el riesgo no es solo teórico. TK Keanini, CTO de la empresa de ciberseguridad DNSFilter, señala que uno de cada 644 clics en enlaces puede dirigirnos a una web maliciosa. Y es que los atacantes son expertos en crear sitios que imitan servicios conocidos, generando una falsa sensación de seguridad que les permite robar credenciales con el pretexto de acabar con el spam.

En Genbeta

Gmail estrena botón para librarse del correo basura: así de fácil es darse de baja en suscripciones

Cómo nos damos de baja correctamente

Ante esta situación, es mejor adoptar métodos más seguros para eliminar suscripciones, especialmente en el caso de correos legítimos. La mayoría de gestores de correo, como Gmail u Outlook, cuentan con una función que procesa automáticamente las cabeceras list-unsubscribe.

Esto significa que, en lugar de desplazarte hasta el final del correo y pulsar en un enlace externo, puedes utilizar el botón “Cancelar suscripción” que aparece junto a la dirección del remitente. Esta opción la gestiona directamente tu proveedor de correo, que se comunica de forma segura con el remitente para eliminarte de su lista, sin necesidad de visitar ninguna web.

Si el correo parece sospechoso o no procede de una fuente legítima, la mejor opción es marcarlo como spam para que el sistema lo filtre automáticamente y lo envíe a la papelera. También puedes bloquear al remitente si es especialmente persistente, evitando así recibir futuros mensajes suyos.

En definitiva, nunca deberías hacer clic en el enlace “Unsubscribe” dentro de un correo que parezca fraudulento. Es un riesgo innecesario. Mejor utiliza las herramientas seguras que ya ofrecen los principales servicios de correo electrónico.

Imágenes | Brett Jordan

En Genbeta | He encontrado mi correo electrónico en la dark web con esta herramienta gratis de Google: cómo comprobar si está tu email