- Ciberespionaje en organismos públicos y gubernamentales españoles
- Informes y actores claves en la ciberseguridad nacional
- Grupos de Amenazas Persistentes Avanzadas (APT) identificados
- Sectores objetivo de los ciberataques en Europa
- Estrategias y métodos de ataque de los hackers rusos
- Impacto de la inteligencia artificial en los ataques cibernéticos
- Automatización de la fase OSINT por la inteligencia artificial
- Nueva superficie de ataque por la exposición digital de las empresas
- Recomendaciones para empresas y administraciones frente a la ciberamenaza
Ciberespionaje en organismos públicos y gubernamentales españoles
“Los organismos públicos y gubernamentales españoles continúan siendo objetivo de las campañas de ciberespionaje desarrollados por actores estatales y no estatales rusos”.
Ese aviso aparece en el Informe Anual de Seguridad Nacional de 2025, elaborado con la participación de 17 ministerios y el Centro Nacional de Inteligencia, y que ha sido coordinado por el Departamento de Seguridad Nacional.
Un capítulo del informe está dedicado a analizar el impacto del «Espionaje e injerencias desde el exterior» en la seguridad nacional de España durante el año 2025.
Informes y actores claves en la ciberseguridad nacional
Ese epígrafe sobre espionaje señala explícitamente a dos servicios de inteligencia de Rusia que operan en Europa y en España: el SVR, servicio de inteligencia exterior, y el GRU, el servicio de inteligencia de las fuerzas armadas rusas.
El espionaje ruso no sólo opera con agentes sobre el terreno, que captan fuentes de información. También trabaja en el ciberespacio, a través de grupos vinculados a algunos de esos mismos servicios de inteligencia.
El informe del Gobierno de España advierte de que “los actores estatales y los grupos alineados con ciertos Estados [en este caso no los citan], habitualmente asociados a actividades de Amenaza Persistente Avanzada (APT) (por sus siglas en inglés), continúan desempeñando un papel central en el ciberespionaje contemporáneo debido a su elevada sofisticación técnica y al respaldo logístico y operativo del que disponen”.
Estos actores “llevan a cabo campañas prolongadas y discretas dirigidas a infiltrarse” en tres tipos de redes: gubernamentales, militares y corporativas. ¿Su objetivo? “Obtener información sensible o acceder a activos estratégicos”.
Grupos de Amenazas Persistentes Avanzadas (APT) identificados
Esa parte del documento no cita ni países, ni servicios, ni grupos. Pero el Mando Conjunto del Ciberespacio (del Estado Mayor de la Defensa) y el Centro Criptológico Nacional (que depende del Centro Nacional de Inteligencia) sí han identificado algunos grupos.
Como ya se contó en estas páginas, de Rusia destaca el grupo ATP28 o ‘Fancy Bear’, vinculado a la unidad militar 26165 del Centro Principal de Servicios Especiales de la Dirección Principal de Inteligencia (lo que se conoce como GRU) del Estado Mayor General de Rusia: el servicio de inteligencia militar.
Un informe del Centro Criptológico Nacional identificó otros grupos de hackers o “Amenazas Persistentes Avanzadas” ligados al GRU, al SVR y también al FSB, la inteligencia interior rusa.
Por parte de China, los informes señalan el APT ‘Mustang Panda’.
Ligados a Irán, se tiene conocimiento del grupo ATP34 ‘OILRIG’ y de ‘MuddyWater’.
Sectores objetivo de los ciberataques en Europa
¿Qué tipo de información buscan estos grupos de hackers que se infiltran en las redes gubernamentales, militares y corporativas?
De acuerdo con el Informe Anual de Seguridad Nacional, estos grandes colectivos de hackers han ciberatacado en Europa objetivos en “sectores como la Administración Pública, la Defensa, el Transporte, la Energía, la Salud y la Infraestructura Digital y las Telecomunicaciones”.
Lo hicieron, destaca el informe, “en un contexto geopolítico marcado por la competencia entre potencias y el uso del ciberespacio como un ámbito clave para la recopilación de inteligencia, la influencia estratégica y la proyección de poder estatal”.
Estrategias y métodos de ataque de los hackers rusos
Cabe suponer que a este capítulo del informe aportaron información los organismos dedicados a la ciberdefensa en España: el Mando Conjunto del Ciberespacio (MCCE) y el Centro Criptológico Nacional (CCN), ya citados; el Instituto Nacional de Ciberseguridad (INCIBE), y quizás el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC) del Ministerio de Defensa…
Los organismos que trabajan en el ámbito de la ciberseguridad de las administraciones públicas y de las empresas españolas han identificado algunos patrones, formas de actuación recurrentes con las que los hackers logran infiltrarse en las redes informáticas.
Como ya se ha indicado, señalan explícitamente a “actores estatales y no estatales rusos” como responsables de campañas de ciberespionaje sobre organismos públicos y gubernamentales españoles.
El objetivo principal de estos hackers rusos es obtener información relacionada con la posición de España en materia de política y comercio exterior.
No hay que olvidar que desde la invasión rusa de Ucrania de 2022 España secunda la política de repudio diplomático y sanciones comerciales a Rusia que se acordaron en la Unión Europea y la OTAN, y también suministra material militar a Ucrania.
El informe da algunas pistas sobre la forma de actuar de estos hackers.
Los grupos vinculados a los servicios de inteligencia rusos “intentan aprovechar la interconectividad de la red de las Administraciones Públicas”.
Se ha detectado que tratan de penetrar en las redes “utilizando como puertas de acceso los sistemas de organismos de menor tamaño, más desprotegidos y, por tanto, más fáciles de penetrar que otros sistemas de mayor interés para los atacantes”.
Es decir, su estrategia no es atacar directamente el ministerio, organismo o empresa pública donde les interesa infiltrarse y robar información, sino que tratan de colarse en las redes de la administración por otros organismos.
Los métodos para lograr superar las barreras antihackers son principalmente dos. “Los correos de spear-phishing y la utilización de credenciales de acceso remoto continúan siendo las técnicas más utilizadas por los atacantes, cuyo objetivo es, mayoritariamente, alcanzar y comprometer los servidores de correo electrónico de las organizaciones de su interés, para después exfiltrar la información de buzones específicos”.
Impacto de la inteligencia artificial en los ataques cibernéticos
A esta amenaza se suma ahora un elemento que está cambiando por completo la escala y velocidad de los ataques: la inteligencia artificial.
La plataforma de ciberseguridad TrendAI ha publicado un estudio que concluye que la IA ha eliminado buena parte de las barreras técnicas y operativas que antes frenaban los ataques dirigidos contra administraciones y empresas.
Automatización de la fase OSINT por la inteligencia artificial
La investigación sostiene que tareas que antes requerían semanas de trabajo manual, conocimientos avanzados y recursos especializados, ahora pueden automatizarse en menos de media hora utilizando únicamente información pública disponible en internet y redes profesionales como LinkedIn.
Según el análisis, publicaciones, comentarios, imágenes corporativas y metadatos asociados a perfiles públicos pueden recopilarse y procesarse automáticamente para construir campañas de ‘spear-phishing’ altamente personalizadas.
El estudio señala que, partiendo exclusivamente de información accesible, sin necesidad de autenticación ni privilegios especiales, la IA es capaz de elaborar perfiles completos de equipos directivos, identificar líneas estratégicas de negocio, e incluso interpretar imágenes corporativas para generar mensajes fraudulentos muy convincentes.
Esos correos pueden adaptarse al lenguaje, la actividad y el contexto real de la organización atacada.
TrendAI advierte de que la automatización está transformando la denominada fase OSINT, es decir, la inteligencia basada en fuentes abiertas.
Tradicionalmente, esta fase representaba uno de los mayores costes operativos para los ciberdelincuentes, ya que exigía recopilar y analizar grandes cantidades de información antes de lanzar un ataque.
Sin embargo, la IA permite reducir drásticamente el tiempo y el coste y la complejidad técnica necesarios para preparar campañas dirigidas.
Nueva superficie de ataque por la exposición digital de las empresas
Según el informe, hoy es posible generar en cuestión de minutos dominios fraudulentos, páginas falsas y correos electrónicos personalizados coherentes con el contexto real de la organización objetivo.
Todo ello utilizando únicamente información pública difundida por los propios empleados y compañías en redes profesionales o publicaciones corporativas.
Este escenario adquiere especial relevancia en un momento en el que la exposición digital de las empresas no deja de crecer.
Las organizaciones cuentan con decenas o cientos de trabajadores activos en plataformas profesionales, donde comparten proyectos estratégicos, fotografías de oficinas, hitos empresariales y detalles sobre clientes o actividades internas.
Esa huella digital se convierte, según TrendAI, en una nueva superficie de ataque.
“La huella digital de los empleados pasa a formar parte de la superficie de ataque”, alerta el estudio.
Así, los modelos de seguridad centrados exclusivamente en proteger infraestructuras y sistemas internos dejan fuera una capa creciente de información externa que puede explotarse mediante herramientas de inteligencia artificial.
Recomendaciones para empresas y administraciones frente a la ciberamenaza
El investigador sénior de amenazas de TrendAI, David Sancho, advierte de la facilidad con la que estas capacidades están ya al alcance de actores maliciosos.
“Lo más preocupante no es lo sofisticado que es el sistema, sino lo fácil que es de conseguir”, afirma. “Si un investigador puede crear esto en poco más de un día utilizando herramientas accesibles, debemos suponer que los ciberdelincuentes ya están haciendo lo mismo”.
Ante ese escenario, los expertos consideran que las empresas y administraciones tendrán que reforzar, no sólo sus infraestructuras tecnológicas, sino también el control sobre la información pública que difunden empleados y directivos, así como sus políticas internas de exposición digital y concienciación frente a campañas de phishing cada vez más sofisticadas.
