España ha vuelto a situarse en el centro del debate sobre la ciberseguridad tras las Jornadas STIC organizadas por el Centro Nacional de Inteligencia y el Centro Criptológico Nacional. El evento, que reunió a miles de profesionales tanto presencial como online, ha servido para mostrar con casos reales cómo actúan algunos de los ciberataques sigilosos del CNI, aquellos en los que los intrusos buscan pasar desapercibidos durante meses mientras expanden su presencia por sistemas críticos.
El enfoque principal de la conferencia fue exponer incidentes auténticos que revelan la complejidad del panorama actual: espionaje digital, ataques a infraestructuras estratégicas, compromisos masivos de correo y operaciones que se detectan únicamente por pequeños indicios técnicos. Todo ello confirma que la ciberseguridad se ha consolidado como una prioridad de seguridad nacional.
Intrusiones discretas: acceso lento, movimiento lateral y cero ruido
Uno de los casos expuestos comenzó con un artículo internacional que mencionaba supuestas intrusiones en redes de telecomunicaciones. Aunque inicialmente no se encontró evidencia, meses después varias organizaciones españolas detectaron accesos silenciosos a equipos de red, extracción completa de configuraciones y desplazamientos laterales extremadamente medidos.
En enero de 2024 se confirmó que los atacantes estaban descargando configuraciones de routers y switches, no solo internos, sino también de equipos instalados en terceros. El objetivo no era dañar, sino consolidar un punto de observación estable. Más adelante, otro operador detectó un incidente similar en su red troncal, demostrando que los atacantes estaban replicando su metodología en infraestructuras de alto valor estratégico.
Este tipo de comportamiento coincide con la línea habitual de los ataques más avanzados: mínimo ruido, máximo acceso.
Ciberespionaje moderno: correos comprometidos y extracción masiva
Otro caso detallado por los expertos describió una campaña contra sistemas de correo corporativo. Los atacantes accedieron primero mediante credenciales robadas, para después descargar buzones completos. Solo en un organismo público llegaron a extraer más de 50 GB de correos en menos de una semana.
Este patrón confirma que las brechas iniciales suelen provenir de contraseñas débiles o phishing, dos puntos que INCIBE alerta de forma recurrente: https://www.incibe.es
Para reforzar este tipo de entornos, en GhM Soluciones Informáticas implementamos medidas como MFA, gestión de identidades y protección avanzada de Microsoft 365:
https://ghmsolucionesinformaticas.es/microsoft-365
Casos estratégicos: acceso a dominios, exfiltración masiva y control de sistemas
Uno de los incidentes más complejos relatados giró en torno a un servidor crítico apodado “Mariano Rojas”. Los atacantes se movieron entre organizaciones conectadas, desplegaron módulos maliciosos, enumeraron directorios activos, generaron tickets Kerberos falsos y extrajeron secretos internos. La investigación confirmó víctimas fuera de España, demostrando que se trataba de una campaña internacional.
En otro episodio, una empresa del sector estratégico sufrió una intrusión que permitió a los atacantes comprometer su Azure AD y extraer cerca de 18.000 documentos de su SharePoint. El punto de entrada fue un dispositivo perimetral expuesto, con credenciales con permisos excesivos.
Más información sobre cumplimiento ENS y protección crítica:
https://ghmsolucionesinformaticas.es/ciberseguridad/ens
El papel de la inteligencia artificial en los ciberataques de próxima generación
Los expertos del CCN avisaron de que la inteligencia artificial está acelerando el reconocimiento, el movimiento lateral y la automatización de fases completas de ataque. La atribución se complica y los adversarios pueden operar a mayor escala sin dejar apenas rastros.
El mensaje final fue claro: el futuro del ciberespacio será más complejo, más automatizado y más difícil de atribuir. Las empresas deben reforzar su postura de seguridad ahora, no después de un incidente.
