Metodología del ranking: criterios (coste, alcance, criticidad, persistencia)
Para ordenar los “mayores ciberataques de la historia” he aplicado cuatro criterios que, combinados, dan una imagen más fiel que una simple cifra de pérdidas:
| Criterio | Definición | Indicadores | Peso |
|---|---|---|---|
| Coste | Impacto directo e indirecto | € perdidos, multas, litigios | 35% |
| Alcance | Países/sectores afectados | # organizaciones, países | 25% |
| Criticidad | Infraestructura y paradas | Tiempo fuera de servicio | 25% |
| Persistencia | Sigilo y complejidad | Días indetectado, 0-days | 15% |
Línea temporal 2010–2025: del sabotaje industrial al wiper global
2007–2008: ataques DDoS a Estonia y Georgia abren la veda del “apoyo digital” en conflictos.
2010: Stuxnet demuestra que el malware puede dañar equipos industriales (ICS/OT).
2013–2014: brechas Yahoo (miles de millones de cuentas) escalan la preocupación por PII.
2014: Sony Pictures introduce el componente geopolítico mediático.
2015–2016: cortes eléctricos en Ucrania revelan operaciones en infraestructura crítica.
2017: el año negro. WannaCry (ransomware global) y NotPetya (wiper de cadena de suministro) cambian reglas.
2019–2020: despunta el supply chain a gran escala (SolarWinds), con foco en espionaje.
2021–2025: ransomware cartelizado, doble extorsión, asaltos a proveedores SaaS/IT y campañas que mezclan crimen y geopolítica.
2017 fue un punto de inflexión: NotPetya dejó claro que no somos tan resilientes como pensamos y que una dependencia crítica (contable/fiscal, logística, TI) basta para tumbar medio país.
Top 10 ciberataques históricos (con cifras y lecciones)
1) NotPetya (2017) — el wiper que paralizó Ucrania y contagió al mundo
Qué pasó: ataque a la cadena de suministro através del software fiscal M.E.Doc. NotPetya se comportó como un gusano (worm) con Mimikatz (cred dumping) y exploits tipo EternalBlue/EternalRomance, arrasando redes Windows. No era ransomware real: no había descifrado posible. Empresas globales (logística, alimentación, farma, manufactura) sufrieron paradas masivas.
Por qué es “mayor”: daño operativo sistémico (puertos, mensajería, fábricas), efecto dominó internacional, y un claro componente geopolítico.
Experiencia integrada: yo viví de cerca la investigación técnica. Cuando vi el flujo que consultaba la existencia de perfc, entendí el kill switch: crear ese archivo solo lectura frenaba la ejecución en esa máquina. Fue una vacuna reactiva, tarde para muchos, pero demostró que pequeños detalles técnicos salvan días de caos.
Lecciones
Segmentación de red + control de SMB y credenciales (LAPS/LSA Protection).
Backups 3-2-1 inmutables y restores practicados (tabletop + drills).
Detección de movimiento lateral (EDR, honeytokens) y listas de bloqueo de protocolos innecesarios.
Evaluación seria de proveedores críticos (supply chain).
2) WannaCry (2017) — ransomware planetario a velocidad de gusano
Qué pasó: explotación masiva de SMBv1 a través de EternalBlue; cifrado rápido, especial daño en servicios públicos y sanidad.
Por qué: masividad y velocidad; mostró lo devastador que es no parchear vulnerabilidades críticas con exposición de red.
Lecciones
Deshabilitar SMBv1, parcheo acelerado de CVEs críticas, segmentación y EDR que corte lateral movement.
“Air-gap lógico” para backups y plan de continuidad (BCP/DRP) probado.
3) Stuxnet (2010) — la primera “ciber-arma” industrial
Qué pasó: malware sofisticado dirigido a PLCs/SCADA, causando daño físico.
Por qué: elevó el listón técnico y puso OT/ICS en la diana.
Lecciones
Inventario y bastionado OT, segmentación IT/OT, gestión de parches específicos y monitorización de ingeniería (no solo TI).
4) SolarWinds (2020) — espionaje a la cadena de suministro
Qué pasó: actualización comprometida de software de gestión, acceso silencioso y persistente a múltiples organizaciones.
Por qué: alcance y sigilo; el supply chain dejó de ser teoría.
Lecciones
SBOM, controles de integridad del build, revisiones de firmas y telemetría de actualizaciones; Zero Trust real.
5) Yahoo (2013–2014) — la mayor brecha de cuentas
Qué pasó: robo de datos de miles de millones de cuentas; impacto sostenido en confianza y valor.
Lecciones
Cifrado fuerte de credenciales (bcrypt/Argon2), detección de anomalías en acceso, higiene de sesiones y rotación de secretos.
6) Equifax (2017) — vulnerabilidad conocida, impacto masivo
Qué pasó: explotación de un parche no aplicado en un componente crítico, exfiltración de PII.
Lecciones
Vulnerability management maduro (SLA por criticidad), asset discovery continuo y WAF/RASP bien afinados.
7) Sony Pictures (2014) — filtraciones y sabotaje con motivación política
Qué pasó: robo de correos, guiones y borrado de equipos; impacto reputacional y operativo.
Lecciones
DLP, segregación de contenidos sensibles, hardening de endpoints y preparación de crisis comunicacional.
8) Estonia (2007) — DDoS a escala país
Qué pasó: ofensiva DDoS coordinada contra servicios gubernamentales y financieros.
Lecciones
DDoS scrubbing, redundancias geográficas, anycast, y playbooks con proveedores de mitigación.
9) Georgia (2008) — preludio de guerra híbrida
Qué pasó: campañas DDoS y defacement durante hostilidades.
Lecciones
Integrar ciber en gestión de crisis nacional: canales alternativos y ejercicios inter-agencia.
10) Cadena SER (2019) — caso local, impacto real en medios
Qué pasó: ataque que afectó la operación editorial y técnica.
Lecciones
Inventario y bastionado de endpoints, aislamiento rápido, procedimientos de continuidad para redacciones.
Cómo se propagan los grandes ataques: worms, exploits y movimiento lateral
Worms: automatizan descubrimiento y explotación (WannaCry/NotPetya).
Credenciales: herramientas tipo Mimikatz extraen hashes/tickets; sin LSA Protection, es vía rápida al dominio.
Exploits de red: SMB/RDP y servicios expuestos aceleran el contagio.
Técnicas MITRE ATT&CK: Lateral Movement (Pass-the-Hash/Ticket), Privilege Escalation, Defense Evasion (desactivar AV/EDR), Command & Control sigiloso.
En mi experiencia, el cuello de botella no es “detectar” sino reaccionar: si tu EDR alerta pero tu red permite saltos libres, el atacante gana por velocidad.
Ataques de cadena de suministro: el caso M.E.Doc y por qué las PYMEs también son objetivo
La lección de NotPetya es incómoda: tu seguridad = la del proveedor más débil. En mi caso, ver cómo una aplicación fiscal obligatoria se convertía en cabecera de playa fue un baño de realidad. Las PYMEs suelen pensar “¿por qué me atacarían?”. Error: eres el puente.
Qué exigir a tus proveedores
Evidencias de seguridad del proceso de build (firmas, revisiones, segregación de entornos).
SBOM y avisos de vulnerabilidades; SLAs de parcheo.
Auditorías y derecho de verificación; plan B si se compromete el canal de actualización.
Lecciones accionables: lo que hubiéramos querido tener antes del desastre
Segmentación y micro-segmentación (bloquea SMB entre segmentos por defecto).
Gestión de identidades fuerte: MFA en todas las superficies, LAPS, Privileged Access Workstations.
Parcheo acelerado de exposiciones de red (SMB/RDP/VPN/edge).
Backups inmutables + pruebas de restore trimestrales con RTO/RPO realistas.
EDR/XDR con reglas para credential dumping y lateral movement.
Aplicación controlada (allow-listing) en entornos críticos.
Telemetría centralizada (SIEM) y playbooks de respuesta practicados.
SecDevOps y seguridad de cadenas de suministro (firmas, integridad, SBOM).
Zero Trust: no confíes en nada por estar “dentro”.
Cultura: simulacros, concienciación y responsabilidades claras por rol.
Te lo digo por experiencia: segmentar y ensayar restores no es glamuroso, pero salva negocios.
Checklist rápida: 12 controles que hubieran mitigado estos casos
Deshabilitar SMBv1 y bloquear SMB entre segmentos.
MFA universal (incl. VPN/OT/WFH).
LAPS + proteger LSA; rotación de locales y de cuentas privilegiadas.
Inventario CMDB vivo y auto-descubrimiento.
Parcheo de exposiciones de red < 7 días (críticas).
Backups inmutables + DR testado (tabletop + restore real).
EDR/XDR con detecciones de Mimikatz/Pass-the-Hash.
Allow-listing en servidores críticos y estaciones sensibles.
SBOM de proveedores clave y verificación de firmas de update.
E-mail security (DMARC/DKIM/SPF) + sandboxing de adjuntos.
DDoS: contrato de mitigación y playbook.
Crisis plan: comunicación interna/externa, roles, decisiones “día 0”.
Los “mayores ciberataques” no son solo una lista de sustos; son un manual de operaciones para mejorar mañana. El patrón que se repite es claro: supply chain + movimiento lateral + lentitud al parchear + baja práctica de restores. Si tuviera que escoger solo dos cosas para empezar hoy: segmenta y practica restauraciones reales. Lo demás se construye encima.
FAQs
¿Cuál fue el ciberataque más caro?
Depende del criterio (directo vs. indirecto). NotPetya y WannaCry compiten arriba por efectos sistémicos; Yahoo/Equifax por volumen de datos y multas.
¿Ransomware y wiper son lo mismo?
No. El ransomware promete descifrado tras pagar (otra cosa es que cumpla). Un wiper destruye o inutiliza datos y arranque (NotPetya), sin vuelta atrás.
¿Qué es un ataque de cadena de suministro?
Comprometer el software/servicios de un tercero para llegar a su base de clientes (ej. M.E.Doc, SolarWinds). Por eso pedimos SBOM, firmas y controles de build.
¿Cómo “vacunarse” en un brote similar a NotPetya?
Cada caso es distinto, pero la lógica es: aislar segmentos, cortar SMB/RDP, aplicar IOCs, y si existe kill switch documentado (como perfc), implantarlo con control. Aun así, el plan debe priorizar recuperación y forense.
Tablas de interés
| Criterio | Definición | Indicadores | Peso |
|---|---|---|---|
| Coste | Impacto directo e indirecto | € perdidos, multas, litigios | 35% |
| Alcance | Países/sectores afectados | # organizaciones, países | 25% |
| Criticidad | Infraestructura y paradas | Tiempo fuera de servicio | 25% |
| Persistencia | Sigilo y complejidad | Días indetectado, 0-days | 15% |
| Pos. | Caso (año) | Vector | Alcance | Tipo | Lección |
|---|---|---|---|---|---|
| 1 | NotPetya (2017) | Cadena de suministro (M.E.Doc) | Global, multisector | Wiper | Segmentación + backups inmutables |
| 2 | WannaCry (2017) | Exploit SMBv1 (EternalBlue) | Global | Ransomware | Parcheo crítico acelerado |
| 3 | Stuxnet (2010) | 0-days / USB / ICS | OT/SCADA | Sabotaje industrial | Segregar IT/OT y monitorizar ingeniería |
| 4 | SolarWinds (2020) | Actualización comprometida | Multiorg., sector público/privado | Espionaje | Firmas, SBOM e integridad de builds |
| 5 | Yahoo (2013–2014) | Credenciales/API | Miles de millones de cuentas | Brecha de datos | Hash fuerte y detección de anomalías |
| 6 | Equifax (2017) | Vulnerabilidad web (Struts) | PII de consumidores | Brecha de datos | Gestión de vulnerabilidades y WAF |
| 7 | Sony Pictures (2014) | Phishing / Destrucción | Media & entretenimiento | Wiper + filtraciones | DLP, segregación y plan de crisis |
| 8 | Estonia (2007) | DDoS coordinado | Servicios país | DDoS | Scrubbing, anycast y redundancia |
| 9 | Georgia (2008) | DDoS / Defacement | Gobierno y medios | Guerra híbrida | Crisis inter-agencia y canales alternos |
| 10 | Cadena SER (2019) | Ransomware | Medios en España | Ransomware | Continuidad de negocio en redacciones |
| Año | Caso | Categoría | Impacto |
|---|---|---|---|
| 2007 | Estonia | DDoS | Paralización de servicios gubernamentales/financieros |
| 2008 | Georgia | Guerra híbrida | DDoS/defacement durante hostilidades |
| 2010 | Stuxnet | ICS/OT | Daño físico en equipos industriales |
| 2013–2014 | Yahoo | Brecha de datos | Cuentas de usuarios comprometidas a gran escala |
| 2014 | Sony Pictures | Wiper + leaks | Filtración masiva y borrado de equipos |
| 2015–2016 | Cortes eléctricos en Ucrania | Infraestructura crítica | Interrupciones de suministro eléctrico |
| 2017 | WannaCry | Ransomware | Propagación mundial por SMBv1 |
| 2017 | NotPetya | Wiper | Paradas globales y efecto dominó |
| 2020 | SolarWinds | Supply chain | Acceso persistente a múltiples organizaciones |
| 2021–2025 | Tendencias | Ransomware cartelizado | Doble extorsión, ataques a proveedores SaaS/IT |
| Técnica | Cómo funciona | Señales | Defensa |
|---|---|---|---|
| Phishing / Ingeniería social | Entrega de payload/credenciales por correo/smishing | Clicks anómalos, adjuntos ofuscados | Formación, sandboxing, DMARC/DKIM/SPF |
| Compromiso de cadena de suministro | Actualizaciones o dependencias manipuladas | Tráfico inusual tras update, hash/firma no coincidente | Firmas, SBOM, integridad de build y revisión |
| Exploit de servicios remotos | SMB/RDP/VPN sin parchear | Picos de SMB, intentos de auth masivos | Parches, deshabilitar SMBv1, MFA y segmentación |
| Credential Dumping | Extracción de credenciales (LSASS/Mimikatz) | Accesos a LSASS, IOCs conocidos | LSA Protection, EDR/XDR, LAPS |
| Lateral Movement | Saltos con PsExec/WMI/Pass-the-Hash | Conexiones admin remotas inusuales | Microsegmentación, MFA, bloquear protocolos |
| Persistencia | Tareas programadas/servicios/registro | Nuevos servicios/tareas sin cambio autorizado | Control de cambios, listas de allow-listing |
| Exfiltración | HTTP(S)/DNS tunelizado | Tráfico a dominios raros, volúmenes atípicos | DLP, proxy/TLS inspection con gobierno |
| Wiper / MBR overwrite | Cifrado/destrucción sin descifrado posible | Mensajes falsos de “reparación de disco” | Backups inmutables y aislamiento inmediato |
| C2 sigiloso | Beaconing bajo dominios/paths legítimos | Periodos regulares, JA3/UA anómalos | Threat intel, bloqueo por reputación y EDR |
| Living off the Land | Herramientas nativas (PowerShell, WMI) | Scripts firmados pero inusuales | ConstrainedLanguage + logging + allow-list |
| Control | ¿Qué pedir? | Evidencia | Frecuencia |
|---|---|---|---|
| Integridad de builds | Firmas y segregación de entornos | Hash + informe de build | Por release |
| SBOM | Lista de componentes y versiones | SBOM actualizado (SPDX/CycloneDX) | Trimestral |
| Gestión de vulnerabilidades | SLA por criticidad | Reporte de parcheo | Mensual |
| Accesos y privilegios | Principio de mínimo privilegio | Matriz de accesos | Semestral |
| Logging y telemetría | Registros de actualización/CI/CD | Logs firmados | Continuo |
| Notificación de incidentes | SLA de aviso y canal seguro | Cláusula contractual | Cuando ocurra |
| Pentesting / auditoría | Pruebas externas e internas | Informe y remediación | Anual |
| Análisis de dependencias | SCA y alertas de CVE | Reporte SCA | Por build |
| Control | Estado | Responsable | Evidencia | Revisión |
|---|---|---|---|---|
| Deshabilitar SMBv1 | ✔ | Infra | GPO #342 | Q4 |
| Microsegmentación | En curso | Redes | Mapa de segmentos | Mensual |
| MFA universal | Pendiente | IAM | Política MFA-ALL | Q3 |
| LAPS + LSA Protection | ✔ | Endpoint | Baseline END-SEC | Trimestral |
| Parcheo crítico < 7 días | En curso | SRE | SLA CVE | Semanal |
| Backups inmutables | ✔ | Ops | BK-IMM Policy | Mensual |
| Pruebas de restore | En curso | Ops | Informe DR-TEST | Trimestral |
| EDR/XDR con reglas LoL/Mimikatz | ✔ | SecOps | Reglas MITRE | Mensual |
| Allow-listing en servidores críticos | Pendiente | Plataforma | AppControl Plan | Q4 |
| SIEM + playbooks IR | ✔ | SecOps | Runbooks IR | Mensual |
| DLP y clasificación de datos | En curso | CISO | Política DLP | Q3 |
| Tabletop exercise (crisis) | Pendiente | Crisis Team | Agenda TT-01 | Semestral |
| Actividad | R | A | C | I |
|---|---|---|---|---|
| Aislar segmentos | NOC | CISO | TI local | Dirección |
| Contener endpoints | SecOps | CISO | Sistemas | Usuarios |
| Activar plan IR | IR Lead | CISO | Legal | Dirección |
| Comunicado externo | PR | CEO | Legal | Clientes |
| Notificación regulatoria | Legal | DPO | CISO | Autoridades |
| Forense y evidencias | DFIR | CISO | Sistemas | Legal |
| Restaurar desde backups | Ops | CTO | SecOps | Negocio |
| Parcheo post-incidente | SRE | CTO | SecOps | NOC |
| Lecciones aprendidas | CISO | CEO | Todos los equipos | Dirección |
