2024 fue un año intenso para la ciberseguridad. Hubo ciberataques masivos, filtraciones de datos preocupantes, nuevos grupos de hackers haciendo de las suyas y, como no, vulnerabilidades de día cero que pusieron a medio mundo en aprietos. Lo cierto es que este año dejó claro que los riesgos digitales no discriminan: empresas, gobiernos y personas como tú y yo podemos ser blancos de estos ataques.
Desde ransomware que paralizó hospitales hasta estafas con inteligencia artificial que parecían sacadas de ciencia ficción, los ciberdelincuentes se volvieron más creativos (y peligrosos) que nunca. Al mismo tiempo, los expertos en ciberseguridad trabajaron a contrarreloj para frenar estas amenazas, dejando muchas lecciones en el camino.
En este artículo, vamos a repasar los eventos de ciberseguridad más impactantes del año, entender qué los hizo tan importantes y, lo más importante, cómo podemos aprender de ellos para estar más preparados frente a lo que venga en 2025.
Historias Más Impactantes de Ciberseguridad y Ciberataques en 2024
Internet Archive fue hackeado
El 9 de octubre, el Internet Archive, conocido por ser uno de los mayores repositorios digitales del mundo, sufrió dos ataques cibernéticos al mismo tiempo. Por un lado, se produjo una violación de datos que expuso la información de 33 millones de usuarios, y por otro, un ataque de denegación de servicio (DDoS) atribuido a un supuesto grupo pro-palestino llamado SN_BlackMeta.
Aunque los dos ataques ocurrieron en el mismo período, no estaban relacionados y fueron realizados por diferentes grupos de ciberdelincuentes.
El grupo responsable de la violación de datos aseguró haber logrado acceso explotando un archivo de configuración de GitLab que contenía un token de autenticación. Esto les permitió descargar el código fuente del Internet Archive, donde encontraron credenciales adicionales, incluyendo acceso al sistema de administración de bases de datos de la plataforma. Con esta información en sus manos, lograron descargar la base de datos de usuarios, acceder a más partes del código y hasta modificar el sitio web.
Este ataque no solo expuso la vulnerabilidad de un gigante digital como el Internet Archive, sino que también subraya la importancia de proteger cuidadosamente las credenciales y tokens de acceso, especialmente en sistemas tan críticos como este.
Conoce más sobre: Internet Archive Sufre Nueva Brecha por Tokens de Acceso Robados
Actualizaciones incorrectas de CrowdStrike bloquearon 8,5 millones de dispositivos Windows
El 19 de julio de 2024, una actualización defectuosa del software de seguridad CrowdStrike Falcon causó un verdadero caos. La actualización, enviada temprano esa mañana, resultó en un fallo crítico en el controlador del kernel, bloqueando sistemas operativos Windows en todo el mundo. ¿El resultado? Cerca de 8,5 millones de dispositivos Windows quedaron inutilizables, y para empeorar las cosas, la única manera de solucionar el problema era iniciando en modo seguro para intentar desinstalar la actualización.
El problema se debió a un error en el proceso de validación de CrowdStrike, que no detectó que la actualización tenía fallas graves. Esto provocó que los sistemas afectados entraran en bucles de reinicio interminables, dejando a usuarios y empresas sin acceso a sus dispositivos. Incluso las PC basadas en Windows 365 Cloud se vieron afectadas, lo que multiplicó el impacto de la falla.
Las consecuencias fueron masivas. Muchas organizaciones que dependen de CrowdStrike, incluidas aerolíneas, hospitales y empresas financieras, vieron sus operaciones interrumpidas de un momento a otro. Equipos y aplicaciones críticas simplemente dejaron de estar disponibles, afectando operaciones en todo el mundo.
Para tratar de contener el desastre, Microsoft lanzó una herramienta de reparación que permitía eliminar el controlador defectuoso y restaurar los sistemas afectados. Sin embargo, este proceso fue todo menos sencillo: en la mayoría de los casos, los dispositivos tenían que ser reparados manualmente, lo que prolongó las interrupciones y generó un gran estrés en las organizaciones afectadas.
Y como si no fuera suficiente, los ciberdelincuentes aprovecharon la situación para sembrar aún más problemas. Durante la crisis, empezaron a circular herramientas de reparación y guías falsas de CrowdStrike que en realidad distribuían malware, como el ladrón de información Daolpu. Estas campañas de phishing apuntaron directamente a las empresas que intentaban recuperarse, dificultando aún más la situación.
En respuesta al incidente, Microsoft anunció que revisaría sus políticas de manejo de controladores de kernel y animó a los proveedores de antivirus a limitar su uso, con la esperanza de prevenir errores similares en el futuro. Este evento dejó una lección clara: incluso las herramientas diseñadas para protegernos pueden convertirse en un riesgo si no se manejan con el cuidado necesario.
LockBit interrumpido
El 19 de febrero, las autoridades lograron un golpe significativo contra LockBit, uno de los grupos de ransomware más notorios del mundo. En una operación internacional llamada "Operación Cronos", desmantelaron su infraestructura, que incluía 34 servidores utilizados para alojar el sitio de filtración de datos, datos robados, direcciones de criptomonedas, claves de descifrado y hasta el panel de control de sus afiliados.
Pero como era de esperarse, LockBit no tardó mucho en reaccionar. Solo cinco días después, relanzaron su operación con una nueva infraestructura y amenazaron con intensificar sus ataques, especialmente contra el sector gubernamental. Sin embargo, la realidad fue distinta: la banda nunca logró recuperar su nivel de actividad y notoriedad de antes, y muchos de sus afiliados simplemente se trasladaron a trabajar con otros grupos de ransomware.
A lo largo del año, las fuerzas del orden continuaron apuntando a LockBit, logrando identificar y acusar a siete de sus miembros clave. Entre ellos, destaca Dmitry Yuryevich Khoroshev, alias "LockBitSupp" o "putinkrab", quien según el Departamento de Justicia de EE. UU., es uno de los principales operadores del grupo y de nacionalidad rusa.
Aunque LockBit intentó mantenerse en el juego probando un nuevo cifrador llamado LockBit 4, hasta ahora no parece ofrecer grandes diferencias respecto a versiones anteriores. Este año marcó un duro golpe para el grupo, dejando claro que, aunque los ciberdelincuentes sigan evolucionando, la presión internacional sobre ellos no se detiene.
Kaspersky es prohibido en EE. UU. y reemplazado por UltraAV
En junio de 2024, la administración de Biden anunció que el software antivirus de Kaspersky sería prohibido en Estados Unidos, dando a los usuarios hasta el 29 de septiembre para encontrar una alternativa de seguridad. La prohibición no solo detuvo la venta del software en el país, sino que también bloqueó las actualizaciones de seguridad y antivirus para los clientes existentes.
Un mes después del anuncio, Kaspersky comenzó a cerrar sus operaciones en EE. UU., argumentando que las restricciones hacían que mantener sus actividades en el país fuera "insostenible". Para manejar la transición, la compañía vendió su base de clientes estadounidenses a Pango y, en septiembre, notificó a los usuarios que recibirían una "actualización gratuita" al software UltraAV.
Sin embargo, lo que enfureció a muchos clientes fue la falta de transparencia. Sin previo aviso claro, Kaspersky eliminó su software de las computadoras de los usuarios e instaló automáticamente UltraAV el 19 de septiembre, sin pedir permiso. Este movimiento dejó a muchos usuarios indignados, ya que sus sistemas fueron modificados sin su consentimiento, generando una ola de críticas hacia la compañía.
Conoce más sobre: Prohibición de Kaspersky en EE.UU: Implicaciones y Consecuencias
Ataques de robo de datos en Snowflake
En mayo de 2024, se reportaron incidentes donde actores maliciosos comenzaron a vender datos supuestamente robados de clientes que usaban la plataforma de datos en la nube Snowflake. Al investigar, se descubrió que Snowflake en sí no fue hackeado. En realidad, los ciberdelincuentes usaron credenciales comprometidas para acceder a las cuentas de los clientes, probablemente robadas mediante malware que captura información.
Una vez dentro de las cuentas, los atacantes exportaron bases de datos completas y extorsionaron a las empresas, exigiendo un rescate para no filtrar los datos públicamente. Empresas como AT&T y Ticketmaster estuvieron entre las principales afectadas:
- AT&T: En julio, reveló que los registros de llamadas de 109 millones de clientes habían sido expuestos debido al acceso no autorizado a una base de datos alojada en Snowflake.
- Ticketmaster: Los atacantes afirmaron haber robado los datos de 560 millones de clientes de la plataforma.
Pero no fueron las únicas víctimas. Las filtraciones, que comenzaron en abril, también impactaron a otras organizaciones, como Santander, Advance Auto Parts, Neiman Marcus, y el Distrito Escolar Unificado de Los Ángeles, entre muchas más. En total, los ataques afectaron a cientos de millones de personas.
Estos eventos subrayan la importancia de proteger las credenciales y reforzar las medidas de seguridad en plataformas en la nube. El simple hecho de que una cuenta sea vulnerada puede desencadenar consecuencias masivas tanto para las empresas como para sus clientes.
El ataque de ransomware a Change Healthcare: un golpe masivo al sector salud
En febrero de 2024, Change Healthcare, una subsidiaria de UnitedHealth, fue víctima de un devastador ataque de ransomware que generó caos en la industria de la salud en Estados Unidos. Este ataque interrumpió por completo el flujo de trabajo en hospitales, farmacias y clínicas: los médicos no podían presentar reclamaciones y las farmacias no aceptaban tarjetas de descuento para recetas, lo que obligó a los pacientes a pagar el precio completo de sus medicamentos.
El ataque fue llevado a cabo por la banda de ransomware BlackCat (también conocida como ALPHV), que aprovechó credenciales robadas para entrar al sistema Citrix de Change Healthcare, el cual, sorprendentemente, no tenía habilitada la autenticación multifactor. Durante el ataque, los ciberdelincuentes robaron 6 TB de datos sensibles y cifraron los sistemas de la empresa, lo que obligó a la compañía a apagar su red para frenar el daño.
Para solucionar la crisis, UnitedHealth decidió pagar un rescate que, según se informó, ascendió a 22 millones de dólares. A cambio, BlackCat proporcionó un descifrador y prometió eliminar los datos robados. Sin embargo, la historia tomó un giro inesperado: la banda de ransomware realizó una "estafa de salida", quedándose con el dinero y dejando al afiliado que ejecutó el ataque sin una parte del botín.
El afiliado, indignado, afirmó que aún conservaba los datos robados y los utilizó para extorsionar nuevamente a Change Healthcare, esta vez a través del sitio de extorsión RansomHub. Eventualmente, los datos desaparecieron del sitio, lo que indica que probablemente se pagó otro rescate para evitar una filtración masiva.
En octubre, UnitedHealth confirmó que más de 100 millones de personas habían sido afectadas por el robo de datos personales y médicos, convirtiéndose en una de las mayores filtraciones de información de salud en la historia reciente.
Windows 11 y la polémica por su función de recuperación impulsada por IA
La nueva función de recuperación de Windows 11, conocida como Recall, parecía una idea innovadora, pero terminó generando muchas preocupaciones entre expertos en ciberseguridad. Diseñada para ayudar a los usuarios a recuperar sesiones y datos de forma más eficiente, esta herramienta impulsada por inteligencia artificial fue vista como un posible riesgo para la privacidad y una oportunidad para que los ciberdelincuentes explotaran vulnerabilidades.
Tras una ola de críticas, Microsoft retrasó su lanzamiento y comenzó a implementar medidas de seguridad adicionales. Ahora, para habilitar Recall, los usuarios deben confirmar manualmente su uso mediante Windows Hello y tienen la opción de excluir aplicaciones específicas, sitios web o sesiones privadas. Además, se agregó la capacidad de filtrar automáticamente contenido sensible.
Sin embargo, cuando Microsoft permitió a los usuarios de Windows Insiders probar la función, se descubrieron serias fallas. Entre ellas, la incapacidad de filtrar correctamente información como números de tarjetas de crédito. Microsoft prometió seguir mejorando el producto, pero el lanzamiento oficial sigue en pausa mientras intentan corregir estos problemas.
El auge de los ladrones de información: una amenaza silenciosa
Este año, el malware diseñado para robar información (también conocido como "infostealers") alcanzó nuevos niveles de popularidad entre los ciberdelincuentes. Estas herramientas maliciosas son utilizadas para robar datos de navegadores, cookies, credenciales guardadas, tarjetas de crédito y hasta billeteras de criptomonedas de las víctimas infectadas.
Aunque los ladrones de información no son una novedad, en 2024 se convirtieron en un arma favorita de los actores maliciosos, quienes los usaron en una gran variedad de campañas. Estos datos robados luego se emplearon para vulnerar redes corporativas, cuentas bancarias, plataformas de criptomonedas y servicios de correo electrónico, causando pérdidas económicas devastadoras.
Algunas de las campañas más destacadas incluyeron:
- Hackers que secuestraron la cuenta RIPE de Orange España y causaron problemas en el protocolo BGP.
- Operaciones globales de malware dirigidas a usuarios de criptomonedas y gamers.
- Ataques que abusaron de una vulnerabilidad de Windows utilizando "espacios" braille como vector de día cero.
- Publicidad maliciosa que propagaba el ladrón de información Lumma a través de páginas CAPTCHA falsas.
- Ingeniosas campañas en GitHub y Stack Overflow donde los atacantes se hacían pasar por usuarios confiables para distribuir malware.
Para las víctimas de este tipo de malware, las consecuencias pueden ser devastadoras: desde el robo de criptomonedas hasta el acceso no autorizado a cuentas bancarias y datos personales.
Cómo protegerte: La mejor manera de prevenir estos ataques es habilitar la autenticación de dos factores (2FA) en todas tus cuentas que ofrezcan esta opción. Usar aplicaciones de autenticación en lugar de códigos SMS añade una capa extra de seguridad, ya que incluso si tus credenciales son robadas, los atacantes no podrán acceder a tus cuentas sin el código generado por la aplicación.
Conclusión
El 2024 dejó en evidencia cómo las amenazas cibernéticas no paran de crecer en alcance y complejidad. Desde ataques de ransomware hasta el robo masivo de datos, vimos cómo tanto empresas como individuos enfrentaron riesgos que afectaron su privacidad, seguridad y operaciones diarias.
Para el 2025, es clave reforzar nuestras defensas adoptando medidas como la autenticación de dos factores, actualizando sistemas y manteniéndonos atentos a posibles riesgos. La prevención y la educación son las mejores herramientas para proteger nuestros datos y mantenernos un paso adelante de los ciberdelincuentes.
