Casos Reales

Departamento afectado: Comunicaciones / atención al cliente

Qué ocurrió: Un hotel fue suplantado mediante correo electrónico (spoofing) para enviar a sus clientes mensajes que parecían oficiales solicitando un pago de reserva.

Cómo se detectó: Varios clientes reportaron inconsistencias y que no habían realizado reservas con esas condiciones.

Qué se hizo: INCIBE asesoró al hotel y a los afectados sobre cómo proceder y eliminar los correos fraudulentos.

Qué se podría haber hecho mejor: Implantar mecanismos de autenticación de correo como SPF/DKIM/DMARC para evitar la suplantación.

Medidas implantadas tras el incidente: Avisos a clientes y revisión de políticas de correo electrónico.

Departamento afectado: Finanzas / cuentas a pagar

Qué ocurrió: Una empresa avícola sufrió un fraude BEC (compromiso de correo electrónico empresarial) en el que se alteró una factura y se desvió un pago de 25.344,98 € a cuentas bancarias controladas por estafadores.

Cómo se detectó: La empresa proveedor real alertó de que no recibió el pago.

Qué se hizo: La Guardia Civil detuvo a un individuo implicado en la estafa.

Qué se podría haber hecho mejor: Verificación cruzada de cambios de datos bancarios por múltiples canales.

Medidas implantadas tras el incidente: Formación a empleados y uso de autenticación multifactor para correos.

Departamento afectado: Usuarios/ciudadanos en general

Qué ocurrió: Campañas de phishing masivo suplantando entidades bancarias y organismos oficiales como la Agencia Tributaria o DGT, intentando que usuarios faciliten datos personales o bancarios.

Cómo se detectó: Por los propios informes de INCIBE sobre campañas activas e incidentes reportados.

Qué se hizo: Avisos de seguridad y recomendaciones para no hacer clic en enlaces sospechosos.

Qué se podría haber hecho mejor: Educación continuada de usuarios y filtros antiphishing más restrictivos.

Medidas implantadas tras el incidente: Alertas públicas y reforzamiento de políticas de seguridad de correo.

Departamento afectado: Finanzas de varias empresas

Qué ocurrió: Campañas dirigidas en las que ciberdelincuentes enviaron correos falsos que parecían provenir del CEO solicitando pagos urgentes a proveedores inexistentes.

Cómo se detectó: Análisis de correo y discrepancias entre direcciones reales y remitentes aparentes.

Qué se hizo: Se reforzaron mecanismos de verificación de identidad en la comunicación interna.

Qué se podría haber hecho mejor: Uso de autenticación adicional y confirmación fuera de banda antes de autorizar pagos.

Medidas implantadas tras el incidente: Formación específica para finanzas en identificar spear phishing.

Departamento afectado: Ciudadanía (usuarios particulares)

Qué ocurrió: Se detectó una campaña de SMS que suplantaba a entidades bancarias alertando de supuestas transferencias elevadas y facilitando un número de contacto fraudulento para cobrar datos o pagos.

Cómo se detectó: INCIBE lo identificó por incoherencias en la redacción y patrones de fraude.

Qué se hizo: Publicación de aviso y recomendaciones de seguridad para no responder ni llamar al número.

Qué se podría haber hecho mejor: Filtros de mensajes y bloqueo preventivo de remitentes sospechosos.

Medidas implantadas tras el incidente: Recomendaciones a usuarios para reportar SMS fraudulentos.

Departamento afectado: Clientes/usuarios finales

Qué ocurrió: Una madre recibió una llamada indicando que su hija había sido detenida y debía pagar una grúa mediante transferencia — era un fraude vishing clásico.

Cómo se detectó: La víctima posteriormente verificó con su hija y confirmó que era falso.

Qué se hizo: Se contactó al servicio 017 de INCIBE y se compartieron pautas para evitar futuros engaños.

Qué se podría haber hecho mejor: Verificación de identidad de quien llama y no tomar decisiones bajo presión.

Medidas implantadas tras el incidente: Campañas de concienciación sobre vishing.

Departamento afectado: Finanzas/administración

Qué ocurrió: Ciberdelincuentes suplantaron a altos ejecutivos para engañar a departamentos financieros y solicitar pagos de facturas falsas simulando obligaciones reales.

Cómo se detectó: Revisiones posteriores detectaron que las direcciones reales no coincidían con los remitentes aparentes.

Qué se hizo: Se avisó al equipo de seguridad interna y se implementó verificación adicional.

Qué se podría haber hecho mejor: Comunicaciones verificadas por canales alternativos antes de aprobar movimientos.

Medidas implantadas tras el incidente: Políticas internas de doble verificación de solicitudes de pagos urgentes.

Departamento afectado: Finanzas / recepción de facturas

Qué ocurrió: Campañas detectadas de phishing que utilizan facturas falsas para engañar a empleados y hacerles descargar archivos con malware o pagar importes inexistentes.

Cómo se detectó: Alertas de INCIBE a empresas y particulares.

Qué se hizo: Publicación de avisos técnicos y guía de detección.

Qué se podría haber hecho mejor: Educación para verificar proveedores y cifrar comunicaciones.

Medidas implantadas tras el incidente: Filtros de correo y procesos de validación de facturas.

Departamento afectado: Usuarios/empresas

Qué ocurrió: Campañas de correos con adjuntos maliciosos disfrazados de facturas o comunicaciones legítimas distribuían malware al abrirlos.

Cómo se detectó: INCIBE y proveedores de seguridad detectaron patrones de archivos maliciosos.

Qué se hizo: Se emitieron avisos de seguridad y recomendaciones de no abrir ficheros adjuntos desconocidos.

Qué se podría haber hecho mejor: Implementar sandboxing y escaneo automático de adjuntos.

Medidas implantadas tras el incidente: Refuerzo de filtros de correo y capacitación de empleados.

Departamento afectado: Usuarios finales

Qué ocurrió: Campañas de phishing con enlaces maliciosos que al pulsarse redirigían a páginas para robar credenciales o descargar malware.

Cómo se detectó: Alertas emitidas por INCIBE y organizaciones de seguridad.

Qué se hizo: Publicación de advertencias con ejemplos de URLs.

Qué se podría haber hecho mejor: Analizar enlaces antes de clic y alertar con herramientas de verificación de URL.

Medidas implantadas tras el incidente: Educación en técnicas de identificación de enlaces sospechosos.

Departamento afectado: Varias empresas y sistemas informáticos

Qué ocurrió: Según informes oficiales, el ransomware fue detectado en 357 incidentes donde sistemas y archivos quedaron cifrados con exigencia de rescate.

Cómo se detectó: Por análisis de tráfico y anomalías en acceso a archivos.

Qué se hizo: Desconexión de redes afectadas, restauración desde copias de seguridad y limpieza.

Qué se podría haber hecho mejor: Copias de seguridad externas aisladas y aplicar parches de seguridad.

Medidas implantadas tras el incidente: Refuerzo de políticas de backup y segmentación de redes.

Departamento afectado: Usuarios/empresas

Qué ocurrió: Incidentes donde malware o phishing permitió obtener contraseñas de usuarios y acceso no autorizado a cuentas bancarias o servicios.

Cómo se detectó: Alertas de actividad inusual en cuentas y análisis forense de incidentes.

Qué se hizo: Reset de credenciales y bloqueo de accesos.

Qué se podría haber hecho mejor: Autenticación multifactor generalizada.

Medidas implantadas tras el incidente: Implementación de MFA y monitorización.

Departamento afectado: Gestión de datos de clientes (sector aéreo)

Qué ocurrió: Una aerolínea sufrió un acceso no autorizado a sistemas de un proveedor tecnológico, exponiendo datos personales de clientes.

Cómo se detectó: Monitoreo interno e investigación de actividad sospechosa.

Qué se hizo: Se activó el protocolo de seguridad, contenimiento y notificación a los afectados.

Qué se podría haber hecho mejor: Auditorías más frecuentes en terceros proveedores.

Medidas implantadas tras el incidente: Reforzamiento de acuerdos de seguridad con proveedores y vigilancia intensiva.