La gran mayoría de las empresas víctimas de ransomware paga a sus agresores, revela nuevo informe 

Un nuevo informe de la aseguradora Hiscox ha revelado que el 80% de las pymes atacadas por ransomware en el último año pagaron a sus agresores, aunque los resultados fueron a menudo dispares. De las 5.750 empresas encuestadas, el 27% sufrió incidentes de ransomware. Aunque la mayoría pagó un rescate, solo el 60% logró recuperar todos o parte de sus datos, y casi un tercio recibió nuevas demandas. 

Los hallazgos se producen en medio de una ola de ciberataques a grandes nombres como Marks & Spencer, Co-op y Jaguar Land Rover (JLR). Esta última sufrió un cierre de un mes, con una garantía de préstamo del gobierno de 1.500 millones de libras para proteger su cadena de suministro. Hiscox advirtió que muchas empresas más pequeñas, sin tales medidas de apoyo, enfrentan amenazas existenciales. 

Brecha en WestJet expone datos de 1,2 millones de pasajeros 

La aerolínea canadiense WestJet ha confirmado que un ciberataque revelado por primera vez en junio provocó el robo de datos personales de 1,2 millones de clientes. La brecha expuso información sensible como nombres, fechas de nacimiento, direcciones postales, documentos de viaje como pasaportes y carnés de identidad, quejas presentadas ante la aerolínea y detalles de programas de fidelidad. Aunque no se robaron números de tarjetas de crédito, contraseñas ni códigos CVV, a los clientes afectados se les ofrecen dos años gratuitos de protección contra el robo de identidad. 

El ataque se habría originado a través de técnicas de social engineering, cuando los atacantes accedieron con la contraseña comprometida de un empleado y explotaron el entorno Citrix de WestJet. Una vez dentro, violaron tanto las redes Windows como las de Microsoft en la nube. 

Aunque el incidente no ha sido atribuido oficialmente, coincidió con una ola de ataques dirigidos al sector de la aviación por grupos vinculados a Scattered Spider. WestJet afirma que la investigación sigue en curso con apoyo del FBI, mientras se evalúa el alcance total de la intrusión. 

Phantom Taurus: nuevo grupo de espionaje vinculado a China apunta a gobiernos 

Un nuevo grupo de hackers alineado con China, llamado Phantom Taurus, ha sido vinculado a campañas de espionaje contra organismos gubernamentales y empresas de telecomunicaciones en África, Oriente Medio y Asia. Activo desde hace más de dos años, el grupo se centra en ministerios de asuntos exteriores, embajadas y operaciones militares, con actividades que suelen coincidir con eventos geopolíticos clave. 

Identificado por primera vez en 2023 como CL-STA-0043 y reclasificado más tarde como TGR-STA-0043, Phantom Taurus ha sido elevado ahora a actor de amenaza de pleno derecho. Investigadores señalan que su objetivo principal es la recopilación de inteligencia a largo plazo, con operaciones recientes que han pasado del robo de correos electrónicos al acceso directo a bases de datos. 

Phantom Taurus utiliza una suite de malware personalizada en .NET llamada NET-STAR, capaz de infiltrarse en servidores IIS mediante backdoors diseñadas para evadir la detección e incluso manipular registros forenses para confundir a analistas. El grupo ha explotado vulnerabilidades conocidas en IIS y Microsoft Exchange, lo que demuestra su adaptabilidad y persistencia en el espionaje cibernético. 

Harrods revela brecha en proveedor que afecta a 430.000 clientes 

El minorista de lujo británico Harrods ha confirmado una nueva brecha de datos después de que hackers comprometieran a un proveedor externo, exponiendo 430.000 registros de clientes de comercio electrónico. La empresa subrayó que el incidente no está relacionado con el intento de ataque de mayo por parte de Scattered Spider, que usó el ransomware DragonForce contra varios minoristas británicos. 

Harrods explicó que se accedió a nombres y datos de contacto de los clientes afectados, con algunos registros que incluían etiquetas internas de marketing, como niveles de tarjetas de fidelidad. Sin embargo, no se comprometieron datos de pago, contraseñas ni historiales de pedidos. Los atacantes intentaron contactar directamente con Harrods, pero la compañía se negó a responder. 

La brecha podría estar relacionada con el ataque a la cadena de suministro de Salesloft, que ha afectado a organizaciones en todo el mundo desde finales del verano. Harrods ha notificado a los clientes afectados y a las autoridades competentes, instando a estar atentos a intentos de phishing, mientras continúa colaborando con los investigadores. 

Falla en OneLogin: expuso secretos OIDC. Ya corregida 

Se ha revelado una vulnerabilidad de alta gravedad en la plataforma IAM OneLogin de One Identity, que podría haber expuesto secretos sensibles de aplicaciones OpenID Connect (OIDC). Identificada como CVE-2025-59363 y con una puntuación CVSS de 7.7, la falla se originaba en una mala configuración de un endpoint API que devolvía valores de client_secret junto con metadatos de aplicaciones. 

Clutch Security, que descubrió el problema, advirtió que un atacante con credenciales API válidas podría haber enumerado todas las aplicaciones OIDC dentro de un tenant de OneLogin, obtener sus secretos y suplantar aplicaciones para acceder a servicios integrados. Esto habría permitido un movimiento lateral en entornos empresariales. El riesgo se agravaba por los amplios permisos de API basados en roles y la falta de restricción por direcciones IP. 

El fallo fue revelado de forma responsable el 18 de julio y corregido en OneLogin 2025.3.0, publicado el mes pasado. One Identity afirma que no hay pruebas de explotación. Los expertos advierten que vulnerabilidades en los proveedores de identidad pueden tener efectos en cascada en toda la infraestructura empresarial. 

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.