- Una falsa oferta de trabajo como puerta de entrada
- Miles de millones robados en criptomonedas
- China amplía sus operaciones de espionaje
- El ransomware vuelve a presionar al sector
- La inteligencia artificial acelera los ataques
Los atacantes ya no se limitan a buscar vulnerabilidades técnicas: ahora se hacen pasar por reclutadores. Es decir, ofrecen empleos atractivos y utilizan perfiles falsos para ganarse la confianza de los trabajadores y acceder a los sistemas internos de las compañías.
Así lo recoge el informe Financial Services Threat Landscape Report 2026 elaborado por CrowdStrike, una compañía estadounidense especializada en ciberseguridad que monitoriza la actividad de más de 280 grupos de amenazas en todo el mundo.
La imagen tradicional del ciberdelincuente escondido tras una pantalla ha evolucionado. En muchos casos, el primer contacto con la víctima puede llegar a través de LinkedIn, de un correo aparentemente legítimo o incluso de una videollamada que parece formar parte de un proceso de selección laboral.
Una falsa oferta de trabajo como puerta de entrada
Según el informe, grupos vinculados a Corea del Norte han convertido los procesos de contratación en una de sus herramientas favoritas para infiltrarse en empresas financieras.
Utilizan identidades generadas mediante inteligencia artificial para hacerse pasar por reclutadores o candidatos y establecer contacto con empleados del sector.
Una vez que logran captar el interés de la víctima, envían documentos, enlaces o pruebas relacionadas supuestamente con el puesto ofertado. Detrás de esos archivos se esconden programas maliciosos capaces de robar credenciales de acceso y abrir una puerta a los sistemas corporativos.
CrowdStrike señala que el grupo STARDUST CHOLLIMA llegó incluso a emplear perfiles falsos de reclutadores creados con IA y entornos sintéticos de videoconferencia para atacar fintechs europeas.
Mientras tanto, FAMOUS CHOLLIMA duplicó sus operaciones utilizando identidades generadas artificialmente para infiltrarse en plataformas de intercambio de criptomonedas, empresas fintech y bancos comerciales.
La utilización de inteligencia artificial ha reducido drásticamente el coste y el tiempo necesario para preparar estas campañas. Los delincuentes pueden generar fotografías realistas, perfiles profesionales convincentes y mensajes personalizados a gran escala sin necesidad de contar con grandes recursos humanos.
Miles de millones robados en criptomonedas
La finalidad última sigue siendo la misma: obtener dinero.
El informe revela que actores vinculados a Corea del Norte provocaron en 2025 un incremento del 51% en el robo de activos digitales, alcanzando los 2.020 millones de dólares sustraídos en operaciones denunciadas públicamente.
Uno de los episodios más llamativos fue protagonizado por PRESSURE CHOLLIMA, grupo al que CrowdStrike atribuye el mayor robo financiero comunicado hasta la fecha.
Los atacantes lograron hacerse con 1.460 millones de dólares en criptomonedas mediante software manipulado distribuido a través de una cadena de suministro comprometida.
Por su parte, GOLDEN CHOLLIMA utilizó señuelos relacionados con procesos de contratación para desviar fondos en criptomonedas y acceder a entornos en la nube de compañías fintech ubicadas en Canadá y el sudeste asiático.
China amplía sus operaciones de espionaje
Junto a Corea del Norte, el informe sitúa a los grupos vinculados a China como una de las principales amenazas para el sector financiero internacional.
CrowdStrike asegura que el espionaje asociado a Pekín se ha convertido en uno de los mayores riesgos en materia de recopilación de inteligencia. Entre los grupos identificados figura HOLLOW PANDA, responsable de intrusiones en entidades financieras de Filipinas, Indonesia y Brasil.
Más amplia aún fue la actividad atribuida a MURKY PANDA, que desplegó una red de infraestructuras de ataque en más de 150 dispositivos distribuidos por 36 países. Según el informe, la operación llegó a apuntar contra 340 organizaciones de más de 30 sectores distintos, siendo los servicios financieros uno de los más afectados.
El ransomware vuelve a presionar al sector
A la amenaza del espionaje y el robo de credenciales se suma el resurgimiento del ransomware, una modalidad de ataque que consiste en secuestrar los sistemas informáticos de una empresa para exigir posteriormente un rescate económico.
El informe indica que 423 organizaciones de servicios financieros aparecieron durante el último año en páginas dedicadas a la filtración de datos, lo que supone un aumento interanual del 27%.
Entre los grupos más activos figura MUTANT SPIDER, que consiguió un elevado volumen de accesos mediante campañas de vishing —llamadas telefónicas fraudulentas destinadas a obtener información sensible— para posteriormente vender esos accesos a organizaciones especializadas en ransomware.
La compañía también destaca la reactivación de SCATTERED SPIDER, que retomó durante la primera mitad de 2025 sus operaciones agresivas contra compañías aseguradoras después de varios meses de pausa.
La inteligencia artificial acelera los ataques
Para los expertos de CrowdStrike, la principal diferencia respecto a años anteriores es la velocidad.
Según explica Adam Meyers, director de operaciones, los delincuentes están utilizando la inteligencia artificial para reducir el tiempo que transcurre entre el acceso inicial a una organización y el impacto final del ataque.
Esto significa que los atacantes pueden moverse por las redes corporativas, robar información y desviar fondos antes de que los sistemas tradicionales de seguridad tengan capacidad de reaccionar.
La consecuencia es que los bancos, las fintechs y el resto de entidades financieras se enfrentan a una amenaza cada vez más compleja. Ya no basta con proteger servidores o instalar antivirus.
Los ciberdelincuentes han descubierto que, en muchas ocasiones, la forma más sencilla de entrar en una organización es convencer a una persona de que abra un enlace, descargue un archivo y participe en una entrevista de trabajo que nunca existió.
