Los ciberataques más impactantes de la historia reciente no son los que afectan a empresas tecnológicas en Silicon Valley, sino los que paralizan hospitales, universidades, gobiernos e instituciones que afectan directamente a la vida de millones de personas. Desde la UAB hasta el Hospital Clínic de Barcelona, desde los Panama Papers hasta los ataques contra ayuntamientos españoles, estos incidentes demuestran que ninguna organización está a salvo y que las consecuencias van mucho más allá de lo económico.
En este artículo repasamos los ciberataques más sonados contra instituciones públicas y empresas, analizamos cómo se produjeron, qué falló en su defensa y qué lecciones podemos extraer para proteger cualquier organización. Forma parte de nuestra serie sobre la historia del hacking y la ciberseguridad.
Hospital Clínic de Barcelona: cuando un ciberataque pone vidas en riesgo
El 5 de marzo de 2023, el Hospital Clínic de Barcelona —uno de los centros hospitalarios más importantes de España y referente en investigación médica— sufrió un ataque de ransomware que paralizó sus sistemas informáticos durante semanas. El grupo responsable fue RansomHouse, una organización criminal que se especializaba en robar datos y exigir rescates amenazando con publicarlos.
El impacto fue devastador. Se cancelaron más de 4.000 analíticas de pacientes ambulatorios, 300 intervenciones quirúrgicas y 11.000 consultas externas en los días inmediatamente posteriores al ataque. Los profesionales sanitarios se vieron obligados a trabajar con papel y bolígrafo, a compartir información de pacientes por WhatsApp (con los riesgos de privacidad que eso implica) y a recurrir a hospitales vecinos para pruebas diagnósticas que dependían de sistemas informatizados.
RansomHouse afirmó haber robado 4,5 terabytes de datos del hospital, incluyendo historiales médicos de pacientes, datos de investigación, información administrativa y financiera, y correos electrónicos internos. Cuando el hospital se negó a pagar el rescate (siguiendo las recomendaciones de las autoridades), el grupo comenzó a publicar los datos robados en la dark web. La filtración de historiales médicos de pacientes constituyó una de las violaciones de privacidad más graves de la historia sanitaria española.
La investigación posterior reveló que el ataque se inició a través de un correo electrónico de phishing que permitió a los atacantes obtener credenciales de acceso remoto. Una vez dentro de la red, los atacantes se movieron lateralmente durante días, exfiltrando datos antes de desplegar el ransomware. La falta de segmentación de red, la insuficiente monitorización de actividad y la ausencia de autenticación multifactor en los accesos remotos facilitaron la intrusión.
Universitat Autònoma de Barcelona (UAB): una universidad paralizada
El 11 de octubre de 2021, la Universitat Autònoma de Barcelona (UAB) fue víctima de un ataque de ransomware que dejó fuera de servicio prácticamente todos sus sistemas informáticos. La red institucional, el campus virtual, el correo electrónico, las bases de datos de investigación, los sistemas de gestión administrativa y los servicios bibliotecarios quedaron inoperativos de un día para otro.
La universidad, con más de 40.000 estudiantes y miles de empleados, se vio obligada a improvisar soluciones durante semanas. Las clases online se interrumpieron, las calificaciones no podían registrarse, la investigación que dependía de infraestructura computacional quedó paralizada, y miles de trabajos académicos almacenados en servidores de la universidad se volvieron inaccesibles.
El grupo responsable fue PYSA (también conocido como Mespinoza), un grupo de ransomware que se había especializado en atacar instituciones educativas y sanitarias. Los atacantes exigieron un rescate que la universidad, siguiendo las directrices del INCIBE y los Mossos d’Esquadra, decidió no pagar. La recuperación fue lenta y dolorosa: semanas de trabajo intenso por parte del equipo de IT para restaurar sistemas desde copias de seguridad y reconstruir lo que no podía recuperarse.
El caso de la UAB puso de manifiesto las carencias de ciberseguridad en el sector educativo español. Las universidades públicas, con presupuestos de IT limitados, infraestructuras tecnológicas heredadas y una cultura de apertura que dificulta la implementación de controles de seguridad estrictos, son objetivos particularmente vulnerables. Tras el ataque, la UAB invirtió significativamente en mejorar su ciberseguridad, pero el daño —reputacional, académico y económico— ya estaba hecho.
Los Panama Papers: la mayor filtración de la historia
En abril de 2016, el Consorcio Internacional de Periodistas de Investigación (ICIJ) publicó lo que se conocería como los Panama Papers: una filtración masiva de 11,5 millones de documentos —2,6 terabytes de datos— del bufete de abogados panameño Mossack Fonseca. La filtración reveló cómo miles de políticos, celebridades, empresarios y deportistas de todo el mundo utilizaban empresas offshore para ocultar activos, evadir impuestos y, en algunos casos, blanquear dinero.
Los Panama Papers implicaron a 12 jefes de estado (incluyendo al primer ministro islandés, que dimitió), 128 políticos y funcionarios públicos, y miles de empresarios de 200 países. Las revelaciones desencadenaron investigaciones fiscales en decenas de países, la recuperación de miles de millones en impuestos evadidos y reformas legislativas sobre transparencia financiera.
Desde el punto de vista de la ciberseguridad, el caso de Mossack Fonseca es un ejemplo paradigmático de lo que puede ocurrir cuando una empresa que maneja información extremadamente sensible descuida su seguridad informática. Las investigaciones revelaron múltiples fallos de seguridad: el portal web del bufete utilizaba una versión desactualizada de WordPress con plugins vulnerables conocidos, el servidor de correo electrónico no había sido actualizado en años, no existía cifrado de las comunicaciones internas, y la segmentación de red era inexistente.
La identidad de la fuente que filtró los documentos —identificada únicamente como «John Doe»— nunca ha sido revelada. No está claro si se trató de un hacker externo que explotó las vulnerabilidades del bufete, un empleado o ex-empleado con acceso interno, o una combinación de ambos. Lo que sí es seguro es que la deficiente seguridad de Mossack Fonseca hizo que la extracción de 2,6 terabytes de datos fuera técnicamente factible sin disparar ninguna alarma.
SEPE: el colapso del servicio público de empleo
En marzo de 2021, el Servicio Público de Empleo Estatal (SEPE) de España sufrió un ataque de ransomware que paralizó sus sistemas durante más de dos semanas. El ataque, atribuido al ransomware Ryuk, afectó a más de 700 oficinas en todo el país y dejó sin servicio los sistemas que gestionaban prestaciones de desempleo, ERTEs y subsidios para millones de ciudadanos en plena crisis pandémica.
El timing del ataque no podía ser peor. En marzo de 2021, España todavía vivía las consecuencias económicas de la pandemia, con millones de personas dependiendo de prestaciones gestionadas por el SEPE. La parálisis del servicio significó retrasos en el cobro de prestaciones, imposibilidad de realizar trámites, y largas colas presenciales en oficinas que ya estaban saturadas.
El SEPE ya había sido advertido sobre sus deficiencias de ciberseguridad: sistemas operativos obsoletos (algunos equipos funcionaban con Windows XP), infraestructura tecnológica anticuada, presupuesto de IT insuficiente y falta de personal especializado en seguridad. El ataque puso en evidencia las consecuencias reales de no invertir adecuadamente en ciberseguridad en la administración pública.
Ayuntamientos españoles: objetivos recurrentes
Los ataques contra ayuntamientos españoles se han convertido en un problema endémico. El Ayuntamiento de Jerez de la Frontera fue atacado con ransomware Ryuk en 2019, dejando sus sistemas administrativos inoperativos durante semanas. El Ayuntamiento de Castellón sufrió un ataque similar en 2021, con filtración de datos ciudadanos. El Ayuntamiento de Sevilla fue víctima del grupo LockBit en 2023, con un rescate exigido de 1,5 millones de euros que no se pagó.
El patrón es repetitivo y alarmante: los ayuntamientos españoles operan con infraestructuras tecnológicas anticuadas, presupuestos de seguridad mínimos, personal técnico insuficiente y una dependencia creciente de servicios digitales. La combinación es perfecta para los grupos de ransomware, que saben que las administraciones públicas tienen datos sensibles de ciudadanos, una necesidad urgente de recuperar la operatividad y, a menudo, capacidades de respuesta limitadas.
Ataques internacionales que cambiaron las reglas
A nivel internacional, varios ciberataques han marcado hitos. El ataque al Colonial Pipeline en Estados Unidos (2021) por el grupo DarkSide paralizó el suministro de combustible en la costa este durante días, demostrando que la infraestructura energética crítica era vulnerable. La empresa pagó un rescate de 4,4 millones de dólares (del que el FBI posteriormente recuperó gran parte).
El ataque a Kaseya (2021) por el grupo REvil comprometió el software de gestión remota utilizado por proveedores de servicios IT, afectando a más de 1.500 empresas en cascada. Fue uno de los mayores ataques de cadena de suministro de la historia del ransomware.
El ataque a SolarWinds (2020) por el grupo APT29 ruso comprometió la cadena de suministro de software de una de las plataformas de gestión de redes más utilizadas del mundo, afectando a agencias gubernamentales estadounidenses y empresas del Fortune 500.
Y el caso de Equifax (2017), donde la brecha de datos de la agencia de crédito estadounidense expuso la información personal y financiera de 147 millones de personas, sigue siendo uno de los ejemplos más citados de las consecuencias de no parchear vulnerabilidades conocidas a tiempo.
Patrones comunes: por qué estas instituciones fueron vulnerables
Al analizar todos estos casos, emergen patrones comunes que explican por qué las víctimas fueron vulnerables. El primero es la falta de actualizaciones: en prácticamente todos los casos, los atacantes explotaron vulnerabilidades conocidas para las que existían parches disponibles. El segundo es la ausencia de segmentación de red: una vez dentro, los atacantes podían moverse libremente por toda la infraestructura. El tercero es la falta de detección: los atacantes operaron dentro de las redes durante días o semanas sin ser detectados.
El cuarto patrón es la insuficiencia de copias de seguridad: o no existían, o no eran recientes, o estaban conectadas a la misma red que fue comprometida. El quinto es el factor humano: en muchos casos, el acceso inicial se obtuvo a través de phishing o credenciales robadas. Y el sexto es la falta de inversión en seguridad: tanto en tecnología como en personal cualificado.
Estos patrones no son exclusivos de grandes instituciones. Cualquier empresa —independientemente de su tamaño— que no actualice su software, no segmente su red, no monitorice la actividad, no tenga copias de seguridad adecuadas o no forme a sus empleados en seguridad es vulnerable a exactamente los mismos tipos de ataques.
Lecciones y recomendaciones para tu empresa
La lección más importante de todos estos casos es que la ciberseguridad no es un problema de otros. Cada uno de estos ataques podría haberse prevenido o mitigado significativamente con medidas que están al alcance de cualquier organización: mantener los sistemas actualizados, implementar copias de seguridad inmutables y verificadas, segmentar las redes, implementar autenticación multifactor, formar a los empleados y tener un plan de respuesta a incidentes documentado y practicado.
Para las empresas que operan plataformas web —ya sea WordPress, WooCommerce, PrestaShop u otras—, la seguridad del sitio web es la primera línea de defensa. Un sitio web comprometido puede ser la puerta de entrada a toda la infraestructura de la empresa, como demostró el caso de Mossack Fonseca.
En Keliam ofrecemos exactamente los servicios que estas instituciones necesitaban: auditorías de seguridad y pentesting que identifican vulnerabilidades antes de que los atacantes las exploten, mantenimiento web que garantiza actualizaciones continuas y monitorización, y auditorías técnicas que evalúan el estado general de la infraestructura. No esperes a ser la próxima víctima para actuar.
🏥 No esperes a ser la próxima víctima
La UAB, el Clínic, el SEPE y decenas de ayuntamientos ya han sufrido ciberataques devastadores. ¿Está tu organización preparada?
- Auditoría de seguridad y Pentesting — Descubre vulnerabilidades antes que los atacantes
- Mantenimiento web — Actualizaciones, backups y monitorización
- Auditoría técnica — Evaluación completa de seguridad
