700.000 euros. Esa es la cifra que una empresa donostiarra vio reflejada en su factura de Amazon Web Services tras apenas una semana de infarto. El mayor ciberataque registrado en Gipuzkoa no buscó robar datos ni pedir un rescate: los hackers querían minar criptomonedas, y lo hicieron a costa de la cuenta bancaria de la víctima. El episodio, que ha saltado ahora al debate público, expone la vulnerabilidad del tejido empresarial vasco frente a amenazas que ya no distinguen entre grandes corporaciones y pymes.
Claves de la operación
- Un ‘superusuario’ fantasma con contraseña débil abrió la puerta. Una cuenta de administrador creada para pruebas técnicas y olvidada sin desactivar fue el vector de entrada. Los atacantes descifraron la clave mediante fuerza bruta.
- Minado de criptomonedas con infraestructura ajena. En lugar de robar información, los ciberdelincuentes levantaron máquinas virtuales en AWS para generar activos digitales, trasladando el coste de computación a la empresa.
- El ataque se prolongó siete días porque la víctima no podía apagar sus propios servidores. Los hackers vincularon las máquinas a cuentas externas, lo que bloqueaba las órdenes de parada. Un especialista en ciberseguros logró detenerlo tras una semana de facturas diarias de 100.000 euros.
El caso, que se remonta a 2024 pero cuyos detalles afloran ahora, tiene todos los ingredientes de un fallo evitable. La empresa, alojada en la nube de AWS, mantenía una cuenta con permisos de administración que había sido creada para pruebas y nunca fue desactivada. La contraseña era tan elemental que un ataque automatizado de fuerza bruta —prueba masiva de combinaciones— la descifró en poco tiempo. Una vez dentro del panel de control, los atacantes demostraron un conocimiento profundo de los sistemas de Amazon: lanzaron múltiples máquinas virtuales, las pusieron a minar criptomonedas y las vincularon a otras cuentas externas. Así, cuando la empresa intentó apagarlas tras recibir una alerta por un consumo que había pasado de 300 euros mensuales a 100.000 euros diarios, la plataforma le respondió que no era la propietaria de esas conexiones.
La paradoja es demoledora: dueños de su infraestructura pero incapaces de detenerla. Durante siete días, el departamento de sistemas vivió una agonía técnica y económica. La factura se disparó en en apenas unas horas a 700.000 euros. El bloqueo solo se resolvió gracias a un técnico especializado vinculado al seguro de ciberriesgos, que en el séptimo jornada localizó los comandos precisos para forzar el apagado.
A posteriori, la empresa inició una reclamación legal contra AWS, argumentando que la plataforma no había gestionado el incidente adecuadamente y que existía un fallo de programación que permitía a un tercero vincular cuentas sin autorización. El gigante tecnológico acabó reconociendo el error y asumió la práctica totalidad de la factura, salvo los primeros 1.000 euros. El atacante, en cambio, se evaporó tras una maraña de servidores y VPN en países sin colaboración judicial.
El caso pone sobre la mesa una realidad incómoda: la ciberseguridad de las pymes vascas no está a la altura de las amenazas. Las grandes corporaciones del Ibex 35, como las energéticas, ya auditan a sus proveedores. Quien no pase el corte, pierde el contrato.
La ciberseguridad ya no es una partida de gasto operativo: es el nuevo seguro de crédito de la industria vasca.
De 300 euros al mes a 100.000 al día: la factura desbocada que paralizó una empresa
Lo que convierte este incidente en un caso de manual es la desconexión entre la alerta temprana y la imposibilidad de actuar. Los sistemas de monitorización detectaron el incremento del 300% en el consumo, pero la arquitectura del ataque anuló la capacidad de respuesta. El atacante no fue más listo: fue más rápido y conocía los resquicios del proveedor. La lección para las pymes guipuzcoanas es clara: una configuración de seguridad laxa en la nube convierte un error administrativo en una ruina financiera en cuestión de horas.
Ziur, el centro de ciberseguridad industrial de Gipuzkoa, ha advertido recientemente que los ataques cibernéticos se están triplicando a nivel global y que la industria vasca está en el punto de mira. Según sus análisis, las pymes manufactureras y de servicios digitales se han convertido en el eslabón más débil de la cadena de suministro. El coste medio de una brecha para una pyme oscila entre los 50.000 y los 150.000 euros, una horquilla que compromete la viabilidad del ejercicio fiscal para muchas de ellas.
Criptominería en la nube: el nuevo botín de la ciberdelincuencia industrial
El minado ilegal de criptomonedas con recursos ajenos no es nuevo, pero su sofisticación ha dado un salto cualitativo. Los atacantes ya no necesitan infectar miles de ordenadores personales: les basta con colarse en una cuenta de AWS bien aprovisionada. El verdadero daño no es el robo de datos, sino el secuestro de la capacidad de cómputo, que se traduce en facturas estratosféricas para la víctima. Y, como demuestra el caso donostiarra, la trazabilidad del criptominero se diluye entre jurisdicciones opacas, dejando a la empresa con el marrón financiero y sin responsable penal.
Para las compañías vascas, que en muchos casos dependen de contratos con grandes fabricantes de automoción, aeronáutica o energía, un ataque de este calibre puede suponer la exclusión inmediata de las cadenas de suministro. La directiva europea NIS2, ya en vigor, obliga a las grandes corporaciones a auditar la ciberseguridad de sus proveedores. Una pyme que no garantice la integridad de sus datos puede perder contratos estratégicos de la noche a la mañana.
NIS2 y el nuevo filtro comercial: sin ciberresiliencia no hay pedido
La regulación europea ha convertido la ciberseguridad en un requisito contractual de primer orden. Ya no basta con ofrecer calidad y precio: la resiliencia digital es la nueva barrera de entrada. En Gipuzkoa, donde el tejido productivo está profundamente imbricado con multinacionales tractoras, este cambio normativo puede ser tan disruptivo como lo fue la implantación de las normas ISO en los años noventa. Las pymes que no inviertan en higiene cibernética se quedarán fuera de los concursos, no por decisión del cliente, sino por imperativo legal.
Desde esta redacción, observamos un patrón preocupante: el caso de los 700.000 euros no es una anomalía, sino un anticipo. Los cuerpos de seguridad y las consultoras de ciberriesgos coinciden en que los incidentes de criptominería en infraestructuras cloud se multiplicarán mientras las empresas sigan confiando en configuraciones por defecto y en la falsa sensación de seguridad que da la nube. El error no fue tecnológico: fue organizativo. Y se repite.
El incidente también deja una paradoja incómoda para los proveedores de servicios en la nube. AWS asumió la factura, pero solo tras meses de reclamación y la constatación de un fallo de programación propio. ¿Qué habría pasado si la empresa no contaba con un seguro cibernético y un abogado especializado? Probablemente, la quiebra técnica. La nube ofrece escalabilidad, pero también escala las consecuencias de un despiste. El impacto económico de un ataque exitoso va mucho más allá del posible pago de un rescate: se mide en el lucro cesante, las posibles sanciones por incumplimiento de la protección de datos y sobre todo la pérdida de confianza de los inversores.
Gipuzkoa cuenta con un ecosistema de ciberseguridad industrial, con Ziur como referente, pero la sensibilización de las pymes aún es insuficiente. Los programas de ayudas públicas deben acelerar la adopción de arquitecturas de seguridad desde el diseño y, sobre todo, la formación de los equipos internos. Porque la próxima factura de 700.000 euros puede llegar a una empresa que no tenga un seguro que la respalde, ni un técnico que sepa cómo apagar sus propias máquinas.
