Barracuda full logo

Las operaciones contra el cibercrimen más interesantes de 2025

Temas:
3 dic 2025
|
Andrew Sanders

Cómo los insiders de confianza se convirtieron en una de las mayores amenazas de ciberseguridad del año

Conclusiones

  • Las intervenciones más notables revelan un cambio en las principales preocupaciones en materia de ciberseguridad, que pasan de las amenazas externas a los empleados malintencionados.
  • Empleados de confianza con acceso privilegiado, incluidos varios casos destacados en 2025, han aprovechado sus puestos para vender información confidencial a ciberdelincuentes.
  • Las fuerzas del orden han logrado detener a varios ciberdelincuentes destacados, pero las amenazas internas siguen siendo especialmente difíciles de detectar y prevenir.
  • Las organizaciones deben asumir que ningún empleado está fuera de sospecha y deben fortalecer los protocolos de seguridad interna para mitigar los riesgos internos.

Cada año parece traer consigo la siguiente «mayor filtración de datos de la historia». Sin embargo, en un giro alentador de los acontecimientos, cada vez son más los atacantes más prolíficos del mundo que están siendo capturados y detenidos. En 2024 se produjo una filtración de datos sin precedentes que comprometió más de 2.9 mil millones de archivos sensibles alrededor del mundo, pero también vio el rápido arresto de la persona responsable, un atacante que usaba el alias USDoD. Sin embargo, una nueva tendencia muestra que las brechas de datos por amenazas externas podrían ser la menor de sus preocupaciones.

Aquí está el problema: las operaciones cibernéticas más interesantes de 2025 apuntan a una tendencia más preocupante. Las personas más destacadas a las que se han dirigido las fuerzas del orden este año no son personas malintencionadas ajenas a la organización ni actores estatales. Se trata, por el contrario, de personas internas, expertos de confianza que han decidido renunciar a la ética y utilizar sus conocimientos para ganar dinero infringiendo la ley.

El infiltrado: Ejecutivo de defensa que vendió secretos cibernéticos

El contratista de defensa L3Harris tiene unos ingresos de 21 000 millones de dólares y da empleo a casi 50 000 personas en todo el mundo. Vende de todo, desde drones submarinos autónomos hasta óptica para satélites. Su división de ciberseguridad, Trenchant, se especializa en el desarrollo de herramientas de penetración para el Gobierno de Estados Unidos y los gobiernos aliados. También ha aprendido una dolorosa lección: incluso los empleados más confiables pueden suponer una amenaza interna.

Peter Williams, anteriormente director general en Trenchant, se declaró recientemente culpable de vender material sensible a actores estatales, incluido el gobierno ruso. Este material consistía en ocho exploits de día cero previamente desconocidos, que permitirían a sus propietarios comprometer y espiar sistemas como teléfonos inteligentes y navegadores web.

Según Techcrunch, Williams pudo utilizar su autorización de “superusuario” para acceder a este material — que normalmente residía en sistemas seguros y aislados — y luego transferirlo a un disco duro personal. Después de que las organizaciones fueran alertadas de que su código estaba siendo filtrado, se puso a Williams a cargo de la investigación y utilizó este poder para incriminar a otro empleado.

Este episodio demuestra que, en ciberseguridad, no existe un empleado que pueda considerarse por encima de toda sospecha.

Negociador de ransomware se convierte en atacante malicioso

El auge del ransomware ha dado lugar a un nuevo trabajo único en el campo de la ciberseguridad. Los negociadores de ransomware hablan directamente con los atacantes de ransomware tras un cifrado exitoso. Su trabajo consiste en intentar reducir el pago total del rescate y, si es necesario, obtener asistencia técnica para asegurar una descifrado y recuperación de archivos sin problemas.

Los grupos de amenazas tienen un gran incentivo para trabajar en estrecha colaboración con los negociadores. Si se ganan la reputación de ser fáciles de tratar, es más probable que sus objetivos paguen el rescate. Pero, ¿qué ocurre cuando un negociador de ransomware decide trabajar para el bando contrario?

Una acusación formal recientemente revelada por un gran jurado revela que un gestor de respuesta ante incidentes y un negociador de ransomware han sido acusados de utilizar una cepa de malware conocida como ALPHV/BlackCat para atacar y extorsionar a sus víctimas. En uno de los casos, los colaboradores lograron extorsionar con éxito a un fabricante de dispositivos médicos, al que exigieron un pago de 1,3 millones de dólares.

Aunque no hay evidencia de que el negociador utilizara recursos de su empresa para llevar a cabo ataques, la implicación es preocupante. El responsable de la respuesta a incidentes en este caso se vio impulsado a cometer ataques con ransomware para saldar deudas. ¿Qué medidas se están tomando para evitar que los profesionales de la ciberseguridad se vean tentados por los grandes salarios y se pasen al lado oscuro?

Red de fraude de 300 millones de euros desmantelada gracias a la cooperación internacional.

En noticias más esperanzadoras, una operación internacional conjunta desmanteló recientemente una red multinacional de fraude con tarjetas de crédito que operó entre 2016 y 2021. El grupo operaba configurando suscripciones falsas de tarjetas de crédito, cada una inferior a 50 € al mes, llegando a un total de 19 millones de clientes en casi todos los países del mundo.

La noticia menos esperanzadora es que al menos cinco de los 18 sospechosos arrestados eran empleados y ejecutivos de importantes proveedores de pagos. Estos individuos explotaron su conocimiento de los sistemas a los que tenían acceso para poder ocultar transacciones fraudulentas, lavar dinero y distribuir sus ganancias a través de una serie de empresas fantasma.

Es interesante observar el uso de las llamadas empresas de “crime as a service” como parte de la operación ilegal. Aunque muchas de estas organizaciones están configuradas para proporcionar ransomware o ataques de denegación de servicio, las utilizadas en este esquema crearon redes financieras difíciles de rastrear como parte de una operación llave en mano. Establecer redes de empresas fantasma hizo casi imposible para los consumidores individuales averiguar exactamente a dónde iba su dinero.

¿Ha sido 2025 el año de la amenaza interna?

Es posible que haya notado un hilo conductor en los tres últimos ejemplos. En los ciberataques más destacados de este año, profesionales experimentados en seguridad de la información y expertos del sector de los pagos colaboraron con los delincuentes para ganar millones.

  • Veteranos del sector de inteligencia conspiraron con intermediarios de exploits rusos
  • Negociadores de ransomware conspiraron con operadores de ransomware-as-a-service
  • Los ejecutivos del sector de pagos utilizaron a blanqueadores de dinero profesionales.

¿Por qué tantos profesionales de seguridad están cambiando de bando de repente? La respuesta está fuera del alcance de este artículo (pero tengo una idea). Mientras tanto, esto pone de manifiesto que ni siquiera los empleados más fiables están por encima de toda sospecha. Ahora más que nunca, las empresas necesitan implementar soluciones de control de acceso y supervisión que puedan detectar las actividades sospechosas que caracterizan a las amenazas internas.

Con Barracuda, puede ayudar a supervisar su red en busca del tipo de comportamiento que delata a un empleado deshonesto. Tanto si su cuenta ha sido comprometida como si ha sido sobornado, Barracuda Managed XDR puede ayudar a detectar transferencias y eliminaciones de archivos inesperadas que pueden indicar el robo de propiedad intelectual crítica o un intento de encubrir una transacción fraudulenta. Programe una llamada con nuestros expertos y descubra cómo puede evitar la próxima brecha interna.

Detenga las amenazas con ciberseguridad 24 horas al día, 7 días a la semana
Andrew Sanders

Andrew Sanders es un redactor experimentado en temas de tecnología y seguridad de la información. Anteriormente ha trabajado con Gradient Cyber, Privitar (ahora Informatica) y SentinelOne.

Publicaciones relacionadas:
FBI quishing advisory warns of North Korean spear-phishing campaign
FBI quishing advisory warns of North Korean spear-phishing campaign
 Qilin ransomware surges into 2026
Qilin ransomware surges into 2026
 Ciberdelincuencia en 2026: Más rápida, más inteligente y completamente industrializada
Ciberdelincuencia en 2026: Más rápida, más inteligente y completamente industrializada
 Fuera de lugar: la CISA advierte sobre sofisticados ataques de spyware
Fuera de lugar: la CISA advierte sobre sofisticados ataques de spyware
Busque en el blog

Informe sobre brechas de seguridad del correo electrónico 2025

Principales hallazgos sobre la experiencia y el impacto de las brechas de seguridad del correo electrónico en organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Informe sobre perspectivas de clientes MSP 2025 

Una perspectiva global sobre lo que las organizaciones necesitan y desean de sus proveedores de servicios gestionados de ciberseguridad.

Obtener el informe

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.