El NCSC advierte a las organizaciones británicas de que revisen su postura de ciberseguridad ante el conflicto de Oriente Próximo

El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha instado a las organizaciones a revisar su postura en materia de ciberseguridad ante la evolución del conflicto en Oriente Próximo. Aunque el NCSC considera que no se ha producido un aumento significativo de la amenaza cibernética directa de Irán al Reino Unido, la situación sigue siendo inestable y podría cambiar rápidamente a medida que se desarrollen los acontecimientos.

La agencia advierte de que la probabilidad de ciberamenazas indirectas puede aumentar, especialmente para las organizaciones con operaciones, oficinas o cadenas de suministro vinculadas a la región. Se sabe que los actores vinculados al Estado iraní y los grupos hacktivistas afiliados conservan capacidades cibernéticas y podrían lanzar actividades disruptivas contra organizaciones percibidas como vinculadas a intereses opuestos.

El NCSC aconseja a las organizaciones que revisen las directrices existentes sobre ataques DDoS, campañas de phishing y posibles intentos de atacar sistemas de control industrial. Las empresas con exposición a la región deberían considerar la posibilidad de aumentar la vigilancia, reevaluar su superficie de ataque externa y suscribirse al servicio de Alerta Temprana del NCSC para recibir alertas sobre problemas de seguridad emergentes.

Aumento de la ciberactividad hacktivista vinculada al conflicto de Oriente Próximo

Los investigadores en ciberseguridad advierten de un fuerte aumento de la actividad hacktivista tras la campaña militar coordinada de Estados Unidos e Israel contra Irán, conocida como Operación Furia Épica y León Rugiente. Los analistas de seguridad informan de que las operaciones cibernéticas se han intensificado paralelamente al conflicto físico, con múltiples grupos lanzando campañas disruptivas dirigidas contra infraestructuras gubernamentales, instituciones financieras y proveedores de telecomunicaciones.

Según Radware, entre el 28 de febrero y el 2 de marzo se registraron al menos 149 ataques DDoS de hacktivistas contra 110 organizaciones de 16 países. Dos grupos, Keymous+ y DieNet, fueron responsables de casi el 70% de la actividad. La mayoría de los ataques se concentraron en Oriente Próximo, especialmente en Kuwait, Israel y Jordania, aunque en Europa se produjo más del 22% de la actividad global. Casi la mitad de los objetivos eran organizaciones gubernamentales.

Los investigadores de seguridad también informan de la actividad de agentes de amenazas alineados con el Estado y grupos cibernéticos proiraníes, incluidas campañas de phishing, distribución de malware e intentos de intrusión en infraestructuras energéticas y digitales. Los analistas advierten de que las operaciones cibernéticas vinculadas a tensiones geopolíticas suelen combinar perturbación, espionaje e influencia psicológica, lo que aumenta la probabilidad de nuevos ataques contra gobiernos, infraestructuras críticas y organizaciones del sector privado en todo el mundo.

Una operación de Europol desbarata una importante plataforma de phishing como servicio

Una operación policial internacional coordinada por Europol ha desarticulado Tycoon2FA, una gran plataforma de phishing como servicio (PhaaS) responsable del envío de decenas de millones de correos electrónicos de phishing cada mes. Como parte de la acción coordinada, las autoridades incautaron y desconectaron 330 dominios utilizados por el servicio delictivo, incluidas páginas de phishing y paneles de control backend.

La interrupción técnica fue dirigida por Microsoft con el apoyo de varios socios del sector privado, mientras que las fuerzas del orden de Letonia, Lituania, Portugal, Polonia, España y el Reino Unido llevaron a cabo la incautación de infraestructuras. La investigación comenzó después de que Trend Micro compartiera información sobre amenazas y se coordinara a través de las redes de ciberdelincuencia de Europol.

Activo desde al menos agosto de 2023, Tycoon2FA permitía a los ciberdelincuentes eludir las protecciones de autenticación multifactor utilizando una técnica de phishing adversary-in-the-middle. La plataforma interceptaba las credenciales de inicio de sesión y las cookies de sesión en tiempo real, lo que permitía a los atacantes secuestrar sesiones autenticadas de servicios como Microsoft 365 y Gmail.

El servicio, que se vendía a través de suscripciones a Telegram, redujo la barrera para que los ciberdelincuentes lanzaran sofisticados ataques contra organizaciones de todo el mundo para eludir la MFA.

Los atacantes abusan de las redirecciones OAuth para eludir las protecciones contra el phishing

Investigadores de seguridad han descubierto una técnica de phishing que abusa de los mecanismos legítimos de redireccionamiento OAuth para eludir las protecciones de correo electrónico y navegador. Los ataques se dirigen principalmente a organizaciones gubernamentales y del sector público, utilizando correos electrónicos de phishing que parecen contener solicitudes de autenticación legítimas.

Los mensajes suelen suplantar comunicaciones empresariales habituales, como solicitudes de firma electrónica, notificaciones de la Seguridad Social, invitaciones a reuniones, restablecimiento de contraseñas o actualizaciones financieras. En algunos casos, los enlaces OAuth maliciosos se incrustan en archivos PDF para evitar ser detectados por las herramientas de seguridad.

Según los investigadores de Microsoft Defender, los atacantes registran aplicaciones OAuth maliciosas dentro de los inquilinos que controlan y configuran URL de redirección que apuntan a la infraestructura del atacante. Cuando las víctimas interactúan con la solicitud de autenticación, los parámetros manipulados provocan errores de autenticación que redirigen silenciosamente a los usuarios a sitios maliciosos.

Algunas víctimas son enviadas a páginas de phishing impulsadas por marcos de ataque en el medio capaces de interceptar las cookies de sesión y eludir la autenticación multifactor. Otras son redirigidas a la descarga de archivos maliciosos que despliegan malware mediante técnicas de carga lateral de PowerShell y DLL, lo que pone de manifiesto cómo están evolucionando los métodos de ataque basados en la identidad.

Aumentan los ciberincidentes de ransomware y OT en el sector marítimo

Un nuevo informe de Cydome pone de relieve un fuerte aumento de las ciberamenazas dirigidas a los sistemas de tecnología operativa (OT) en el sector marítimo. Los ataques de ransomware contra entornos OT marítimos aumentaron un 150% en 2025, mientras que los ataques a dispositivos de borde de red como routers, VPN y cortafuegos aumentaron un 800%. El informe también señaló que el 22% de las organizaciones experimentaron un incidente de OT o sistemas de control industrial (ICS) durante el año, con muchos ataques que comienzan a través de un acceso externo no autorizado.

Las operaciones marítimas modernas están cada vez más conectadas a través de comunicaciones por satélite y sensores IoT, transformando los buques de sistemas aislados en parte de una red digital global. Este cambio ha ampliado significativamente la superficie de ataque para los ciberdelincuentes. El informe también advierte de un aumento dramático en los incidentes de falsificación de GPS, con alrededor de 1.000 interrupciones reportadas diariamente, afectando aproximadamente a 40.000 buques y planteando serias preocupaciones de seguridad.

Los investigadores afirman que la inteligencia artificial está cambiando rápidamente el panorama de las ciberamenazas. El phishing asistido por IA, el fraude de identidad y el descubrimiento automatizado de vulnerabilidades están acelerando la velocidad y la escala de los ataques. Con casi 50.000 nuevas vulnerabilidades reveladas en 2025 y muchas de ellas convertidas en armas en cuestión de días, se insta a las organizaciones a reforzar la visibilidad de las OT, mejorar la gestión de parches y asegurar la infraestructura de acceso remoto para proteger las operaciones marítimas críticas.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngaseen contactopara averiguar cómo puede proteger a su organización.

El resumen de información sobre amenazas ha sido elaborado por Integrity360 resumiendo las noticias sobre amenazas tal y como las observamos, actualizadas en la fecha de publicación. No debe considerarse asesoramiento jurídico, de consultoría ni de ningún otro tipo. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.