En 2025, se registraron 278 incidentes críticos de ciberseguridad. La mayoría no alcanzan impacto grave gracias a que la capacidad de detección ha aumentado de forma sustancial
XIX Jornadas STIC CCN-CERT | VII Jornadas de Ciberdefensa ESPDEF-CERT | Congreso RootedCON «Quo Vadis?»: El CNI muestra con casos reales cómo actúan los ciberataques más sigilosos
Las Jornadas STIC2025 organizadas por el Centro Nacional de Inteligencia (CNI) a través del Centro Criptológico Nacional (CCN) se cerraron ayer desbordando todas las expectativas: más de 8.000 solicitudes de inscripción y aforo completo. El éxito de la iniciativa del CNI ha convertido Madrid en el epicentro de la ciberseguridad nacional, con más de 300 ponentes, siete salas simultáneas, 125 entidades patrocinadoras y colaboradoras y 65 expositores. A estos impresionantes datos hay que sumar más de 6.000 asistentes online.
En el marco de estas jornadas, dos responsables del Centro Criptológico Nacional, dependiente del CNI, han ofrecido una radiografía de las amenazas y tendencias en 2025 bajo un llamativo título: «Quo Vadis?». Durante su exposición explicaron casos reales que ponen en valor el trabajo que está desarrollando la Inteligencia española en el campo de la ciberseguridad; también se evidenció que se trata de una prioridad de seguridad nacional.
Un artículo en la prensa internacional
Uno de esos casos reales comenzó con la aparición de un artículo en la prensa internacional que describía una supuesta campaña contra sistemas de telecomunicaciones de Estados Unidos. En España, la alarma se encendió de inmediato. Durante meses, ninguna fuente internacional confirmaba nada y en las reuniones multilaterales «nadie sabía nada». Sin embargo, un año después, varias organizaciones españolas empezaron a notificar actividad sospechosa en sus redes. El patrón era idéntico al descrito en aquella información extranjera: accesos sigilosos, extracción de configuraciones enteras de equipos de red y movimiento lateral extremadamente controlado.
XIX Jornadas STIC CCN-CERT | VII Jornadas de Ciberdefensa ESPDEF-CERT | Congreso RootedCON
El JEMAD sitúa la ciberdefensa como clave de la superioridad militar y alerta: la zona gris es más difusa que nunca
A finales de enero de 2024, varios operadores españoles comunicaron que alguien estaba volcando la configuración de routers y switches —no solo de sus redes internas, sino también de equipos situados en dependencias de terceros—. La operación estaba bien planificada: no se buscaba tumbar un servicio ni causar ruido, sino conseguir un posicionamiento estable que permitiera observar o pivotar hacia otras organizaciones. En febrero, uno de esos operadores detectó que los intrusos accedían directamente a los routers de cliente para descargar la configuración íntegra y «cambiar determinadas partes». La actividad desapareció durante meses, hasta que en septiembre otro operador detectó un incidente similar, esta vez en plena red troncal.
La conclusión fue clara: los atacantes trataban de replicar el método en redes de interés estratégico situadas en otras zonas del mundo. Es solo uno de los muchos casos que se presentaron como ejemplo del tipo de ciberamenazas con las que España convive actualmente.
El misterio de los 75 céntimos
La conferencia se articuló alrededor de un viaje por la historia reciente de las ciberoperaciones, iniciando el relato en 1986. Se recordó entonces un episodio que comenzó por «0,75 dólares», cuando un joven administrador de sistemas investigó un pequeño descuadre contable en un laboratorio del Departamento de Energía de Estados Unidos. Solo había sido un uso no autorizado de nueve segundos. Nadie imaginaba que ese desajuste conduciría al desmantelamiento de una red de espionaje vinculada al KGB, activa durante diez meses, y que daría lugar al concepto de «honeypot».
Una pantalla muestra a Clifford Stall, que investigó un descuadre de 0,75 $ y destapó un gran caso de espionaje
XIX Jornadas STIC CCN-CERT | VII Jornadas de Ciberdefensa ESPDEF-CERT | Congreso RootedCON
La sofisticada herramienta que lleva la ciberseguridad al corazón de los aviones militares
Aquel caso demostró cómo una anomalía mínima, si se investiga con rigor, puede descubrir operaciones complejas. La conferencia subrayó que, desde entonces, los procedimientos han evolucionado, pero muchos fundamentos técnicos del ataque siguen siendo reconocibles desde entonces: explotación de vulnerabilidades, ingeniería social y contraseñas débiles, robo y descifrado de contraseñas, instalación de troyanos y backdoors, uso de redes intermedias para ocultar el origen y búsqueda selectiva de información sensible.
Fuerte aumento de incidentes
Los datos expuestos mostraron un crecimiento abrupto en el número de incidentes gestionados en el último año. La mayoría no alcanzan impacto grave gracias a que la capacidad de detección ha aumentado de forma sustancial. En 2025, se registraron 278 incidentes críticos (+293 por ciento). De ellos, 128 fueron casos de ciberespionaje, y 155 casos de cibercrimen. Por otra parte, se gestionaron 331 incidentes de hacktivismo, que se distribuyen así:
- DDoS: 283
- Defacement: 1
- Compromiso PLC: 42
- Acceso no autorizado: 5
Ese aumento de actividad coincidió con dos «delegaciones de servicio» especialmente exigentes. La primera fue la investigación del apagón eléctrico que activó al Comité de Análisis de Seguridad y que requirió la participación simultánea del Mando Conjunto del Ciberespacio, la Oficina de Coordinación Cibernética, el CNPIC y equipos técnicos de varias Subdelegaciones del Gobierno. La segunda, apodada internamente «el caso de Julia», obligó a desplegar recursos extraordinarios para atender necesidades operativas críticas.
El caso del correo corporativo
Otro caso reciente afectó a infraestructuras de correo corporativo on-premise. La campaña fue detectada por varias organizaciones internacionales, que confirmaron actividad coincidente. Al principio, todo apuntaba a un actor concreto, pero faltaban pruebas sólidas. Eso cambió cuando equipos de inteligencia de México y Países Bajos publicaron análisis detallados que permitieron confirmar la atribución.
El procedimiento seguía un patrón consistente:
1. El atacante comprometía una cuenta de correo.
2. Una vez dentro, utilizaba las credenciales para acceder a buzones completos.
3. Acto seguido descargaba toda la bandeja de entrada de forma masiva.
Este año, esa campaña afectó en España a dos organizaciones: una del sector defensa —donde no se logró ningún acceso— y un organismo público. De este último, los atacantes consiguieron «más de 50 gigas de correo en menos de una semana».
Las jornadas STIC 2025 del CNI a través del CCN han sido un éxito de organización, público y ponentes
El caso del servidor crítico
Uno de los incidentes más complejos del año comenzó en febrero, aunque su rastro original procedía del ejercicio anterior. Se trataba de un caso especialmente frustrante: cada acción defensiva generaba el desplazamiento de la intrusión hacia otro organismo relacionado, como si se tratara de un «golpear al topo».
XIX Jornadas STIC CCN-CERT | VII Jornadas de Ciberdefensa ESPDEF-CERT | Congreso RootedCON
Centro Criptológico Nacional: una alianza de ciberdefensores frente a nuevas amenazas en la era de la IA
El objetivo final era un servidor identificado internamente como «Mariano Rojas». Para llegar a él, los atacantes fueron comprometiendo varios puntos intermedios hasta desplegar numerosos módulos maliciosos. Entre ellos había herramientas de enumeración del directorio activo y un componente de capacidades inéditas que solo más tarde sería reconocido públicamente como parte de la campaña «USA Grill».
Ese componente permitía:
– Ejecutar comandos de forma remota.
– Enumerar identificadores de usuario.
– Descargar secretos del directorio activo.
– Crear tickets Kerberos falsos.
– Extraer claves de máquinas para moverse sin credenciales.
El análisis permitió identificar víctimas adicionales fuera de España, lo que confirmó que la campaña era internacional.
Alerta, empresa estratégica
Otro episodio significativo afectó a una empresa vinculada a actividades estratégicas. La alerta inicial llegó desde el Mando Conjunto del Ciberespacio. El análisis forense mostró que dos máquinas de la organización se habían conectado a un servidor remoto de mando y control. La intrusión se había iniciado explotando un dispositivo perimetral, cuyo usuario tenía privilegios de administrador del dominio.
Con ese punto de apoyo, los atacantes descargaron credenciales, accedieron a un puesto interno y comprometieron dos servidores asociados al directorio activo en Azure. Posteriormente manipularon una aplicación legítima del entorno cloud para crear objetos con permisos elevados que les permitieron acceso masivo de lectura. El resultado fue la extracción aproximada de «unos 18.000 documentos» almacenados en el SharePoint corporativo.
El correo a un CEO, la punta del iceberg
Un caso especialmente llamativo comenzó como un incidente menor: un organismo público detectó que el correo de un directivo había sido utilizado para enviar mensajes sospechosos. Lo que parecía un fraude del CEO se transformó en la punta del iceberg de una campaña de espionaje selectivo contra investigadores del ámbito anglosajón.
Centro Nacional de Inteligencia
La directora del CNI sitúa la ciberseguridad como una «prioridad estratégica»
Los atacantes se infiltraban en conversaciones legítimas fingiendo interés por informes o análisis publicados por las víctimas. Los mensajes imitaban un tono cordial: «Me gustaría hablar contigo de ese informe tan interesante que habéis publicado». Una vez obtenida la confianza, enviaban un formulario falso. Si la víctima completaba los pasos, terminaba vinculada a una infraestructura controlada por los atacantes. El nivel de sofisticación era tal que, cuando una víctima respondió diciendo que el enlace no funcionaba, recibió como respuesta: «Dígame qué problema ha tenido y mi gente de sistemas se lo arregla».
Ataques que no son tales
Una parte importante de los incidentes que llegan a la opinión pública no son intrusiones reales. Algunas campañas que se presentan como ataques graves a instituciones españolas no pasan de ser intentos de ganar notoriedad. Se recordó, por ejemplo, un supuesto ataque al portal del Ministerio de Defensa desmentido el año anterior: «No es lo mismo ganar notoriedad que un problema de seguridad nacional».
El mismo fenómeno se repite con falsas filtraciones de datos o supuestos ataques a la Agencia Tributaria que se viralizan con rapidez. En la mayoría de los casos, lo que hay detrás es una empresa privada o una gestoría que gestiona trámites en nombre de ciudadanos, sin ninguna relación con sistemas centrales de la administración.
La irrupción de la IA marcará el futuro
La conferencia concluyó con una reflexión sobre hacia dónde evoluciona el panorama de ciberamenazas. La atribución de operaciones avanzadas se considera cada vez más difícil, hasta el punto de que, salvo descubrimientos accidentales, en muchos casos es «prácticamente imposible llegar a la atribución».
También se anticipó un incremento notable de operaciones asistidas por inteligencia artificial, tanto en la escala de los ataques como en la automatización de tareas de reconocimiento y explotación. Y se insistió en que la frontera entre ciberespionaje y operaciones encubiertas será cada vez más difusa.
La frase que resumió esa mirada al futuro fue clara: «La noche es oscura y alberga horrores», parafraseando Juego de Tronos. Una metáfora que se utilizó para ilustrar el estado actual del ciberespacio y lo que se espera en los próximos tiempos. Quo Vadis?
