Los hackeos famosos que han marcado la historia de la ciberseguridad comparten un patrón incómodo: empresas multimillonarias con equipos de seguridad enormes cayeron por errores que, vistos en retrospectiva, parecen absurdos. Desde filtraciones masivas de datos personales hasta ataques a infraestructuras críticas, los mayores ciberataques de las últimas décadas nos han enseñado más sobre lo que NO hay que hacer que cualquier manual técnico. Esta es una revisión de las peores brechas de seguridad que cambiaron las reglas del juego, con nombres, cifras y las lecciones que —spoiler— muchas organizaciones siguen sin aplicar. Si te interesa la historia del hacking, prepárate: algunos de estos hackeos históricos parecen sacados de una película mala, pero ocurrieron de verdad.
Yahoo (2013-2014): la madre de todas las filtraciones
Tres mil millones de cuentas comprometidas. Sí, 3.000.000.000. Yahoo tardó tres años en reconocer públicamente la brecha de 2013, y cuando lo hizo en 2016, la cifra inicial de mil millones se corrigió al alza hasta cubrir la totalidad de sus usuarios. Nombres, emails, fechas de nacimiento, preguntas de seguridad y hashes de contraseñas MD5 —un algoritmo que ya entonces se consideraba débil— acabaron en manos de atacantes vinculados, según el FBI, a agentes del servicio de inteligencia ruso (FSB).
El impacto fue directo: Verizon rebajó su oferta de compra de Yahoo en 350 millones de dólares. La CEO Marissa Mayer perdió su bonus anual. Y millones de personas descubrieron que reutilizar contraseñas entre servicios era una pésima idea. Si quieres comprobar si tus datos aparecieron en esta o cualquier otra filtración, Have I Been Pwned sigue siendo la referencia.
Lección: el hash MD5 sin sal (salt) para almacenar contraseñas era negligencia pura incluso en 2013. Si gestionas un sistema con autenticación, bcrypt o Argon2 son el mínimo aceptable.
Equifax (2017): cuando ignoras un parche durante dos meses
En septiembre de 2017, Equifax —una de las tres grandes agencias de crédito de EE.UU.— reveló que atacantes habían accedido a datos de aproximadamente 147 millones de personas: números de la Seguridad Social, fechas de nacimiento, direcciones y números de carnet de conducir. El vector de ataque fue una vulnerabilidad conocida en Apache Struts (CVE-2017-5638), para la cual existía un parche publicado dos meses antes del inicio de la intrusión.
Equifax sabía que debía parchear. Tenía un proceso interno para hacerlo. Simplemente no lo hizo a tiempo. Los atacantes entraron en mayo, se movieron lateralmente durante semanas sin ser detectados, y exfiltraron datos hasta julio. El CISO de la empresa en aquel momento tenía formación en música, no en seguridad informática —un detalle que la prensa repitió hasta la saciedad, aunque el problema real fue sistémico, no individual.
La multa de la FTC alcanzó los 700 millones de dólares. Pero el daño a las personas afectadas —robo de identidad, fraude crediticio— es difícil de cuantificar. Este caso es un recordatorio brutal de que la gestión de vulnerabilidades no es opcional: aplicar parches de seguridad críticos con rapidez separa a las organizaciones competentes de las que acaban en portada por las razones equivocadas. Si te interesan los mecanismos que usan los atacantes para automatizar este tipo de intrusiones, en nuestro artículo sobre kits de ataque automatizados lo explicamos con detalle.
SolarWinds (2020): el ataque que nadie vio venir
Si hay un caso que define los hackeos famosos de la última década, es SolarWinds. En diciembre de 2020, la firma de seguridad FireEye (hoy Mandiant) descubrió que su propia red había sido comprometida. La investigación reveló algo mucho peor: los atacantes —atribuidos al grupo APT29, vinculado al SVR ruso— habían insertado código malicioso en una actualización legítima de SolarWinds Orion, una plataforma de monitorización de redes usada por miles de organizaciones.
El malware, bautizado como SUNBURST, se distribuyó a través del canal oficial de actualizaciones entre marzo y junio de 2020. Aproximadamente 18.000 organizaciones descargaron la actualización troyanizada. Entre las víctimas confirmadas: el Departamento del Tesoro de EE.UU., el Departamento de Comercio, el Departamento de Seguridad Nacional y Microsoft. Un ataque a la cadena de suministro de manual.
Lo que hizo especialmente sofisticado este ataque fue su paciencia. Los atacantes permanecieron en las redes durante meses, moviéndose con sigilo, usando credenciales legítimas y evitando activar alertas. Tenemos un análisis completo del caso SolarWinds donde desgranamos las técnicas empleadas y las contramedidas que surgieron a raíz del incidente.
Lección: confiar ciegamente en el software de tus proveedores es un riesgo. El modelo de zero trust no es marketing: verificar cada conexión, segmentar redes y monitorizar anomalías internas son medidas que habrían limitado el alcance del ataque.
Otros hackeos históricos que merecen mención
La lista de mayores ciberataques no se limita a los tres anteriores. Aquí va una selección rápida de casos que cambiaron la industria:
| Ataque | Año | Impacto | Técnica principal |
|---|---|---|---|
| Stuxnet | 2010 | Centrifugadoras nucleares de Irán dañadas | Malware dirigido (worm + exploits zero-day) |
| Target | 2013 | 40 millones de tarjetas de crédito robadas | Acceso a través de proveedor HVAC |
| Sony Pictures | 2014 | Filtración masiva de emails y películas inéditas | Spear phishing + wiper malware |
| WannaCry | 2017 | Más de 200.000 equipos en 150 países cifrados | Exploit EternalBlue (CVE-2017-0144) |
| NotPetya | 2017 | Pérdidas estimadas en 10.000 millones de dólares | Supply chain (M.E.Doc) + EternalBlue |
| Colonial Pipeline | 2021 | Desabastecimiento de combustible en costa este de EE.UU. | Ransomware (DarkSide) vía VPN sin MFA |
Stuxnet merece párrafo aparte porque fue, probablemente, el primer ciberarma desplegada por un estado contra una infraestructura física. Desarrollado —según múltiples fuentes— por EE.UU. e Israel, usó cuatro exploits zero-day simultáneos para sabotear las centrifugadoras de enriquecimiento de uranio de Irán. Eso no es un hackeo: es una operación militar encubierta con código en lugar de misiles.
WannaCry y NotPetya explotaron la misma vulnerabilidad del protocolo SMB de Windows (EternalBlue), filtrada del arsenal de la NSA por el grupo Shadow Brokers. Microsoft había publicado el parche MS17-010 dos meses antes de WannaCry. De nuevo, el patrón se repite: el parche existía, pero miles de organizaciones no lo habían aplicado. Los ataques de canal lateral como Spectre y Meltdown demostraron poco después que ni siquiera el hardware estaba a salvo.
Patrones comunes: por qué se repiten los mismos errores
Después de analizar los peores hackeos de la historia, los fallos se reducen a una lista sorprendentemente corta:
- Parches no aplicados a tiempo: Equifax, WannaCry, NotPetya. El exploit era conocido y el parche, disponible.
- Credenciales débiles o reutilizadas: Colonial Pipeline cayó por una contraseña de VPN sin autenticación multifactor (MFA).
- Cadena de suministro sin verificar: SolarWinds, NotPetya (vía M.E.Doc), Target (vía proveedor de climatización).
- Detección tardía: Yahoo tardó años. Equifax, meses. SolarWinds, más de medio año. La media de detección de una brecha ronda los 200 días según datos de IBM Security.
- Segmentación de red inexistente: una vez dentro, los atacantes se mueven lateralmente sin obstáculos.
Si proteges dispositivos conectados en casa —routers, cámaras, asistentes de voz—, los principios son los mismos a menor escala. En el blog de DomóticaYA cubren la seguridad de dispositivos IoT domésticos, un vector de ataque en plena expansión.
Preguntas frecuentes
¿Cuál ha sido el mayor hackeo de la historia por número de afectados?
La brecha de Yahoo en 2013, con 3.000 millones de cuentas comprometidas, sigue siendo la mayor filtración de datos registrada. Afectó a la totalidad de sus usuarios en aquel momento.
¿Qué es un ataque a la cadena de suministro y por qué es tan peligroso?
Consiste en comprometer un proveedor de software o servicio legítimo para llegar a sus clientes. SolarWinds es el ejemplo más conocido. Es peligroso porque las víctimas instalan el malware voluntariamente, pensando que es una actualización oficial.
¿Cómo puedo saber si mis datos se han filtrado en un hackeo?
Usa Have I Been Pwned (haveibeenpwned.com) para comprobar si tu email aparece en filtraciones conocidas. Si aparece, cambia la contraseña de ese servicio y de cualquier otro donde la hayas reutilizado. Activa MFA en todos los servicios que lo permitan.
¿Por qué siguen ocurriendo hackeos masivos si las soluciones son conocidas?
Porque aplicar parches, segmentar redes y forzar MFA requiere inversión, personal y voluntad organizativa. Muchas empresas priorizan funcionalidad sobre seguridad hasta que el incidente les obliga a reaccionar. La seguridad tiene un problema de incentivos: el coste de no hacer nada es invisible hasta que se materializa.
El siguiente paso
Abre Have I Been Pwned ahora mismo y comprueba todos tus emails. Si apareces en alguna filtración —y probablemente así sea—, cambia esa contraseña, activa la autenticación en dos pasos y usa un gestor de contraseñas. Es lo mínimo que puedes hacer después de leer sobre los hackeos famosos que afectaron a miles de millones de personas. Si quieres evaluar la fortaleza de tus contraseñas actuales, pásalas por nuestro verificador de seguridad de contraseñas antes de decidir cuáles cambiar primero.
