Telefónica Tech detectó en el primer semestre del año un total de 82 millones de eventos de ciberseguridad en España con la nueva versión de Aristeo, su solución de ciberseguridad para la captura y análisis de amenazas en entornos industriales (OT), lo que refleja un volumen significativo de actividad potencialmente maliciosa.  

Esta cifra parece menor respecto a la del mismo periodo de 2024, donde se detectaron 313 millones de amenazas, pero se debe a los novedosos procesos de inteligencia que refuerzan la nueva versión de Aristeo y que permiten asociar acciones y detectar eventos complejos (es decir, amenazas potencialmente más peligrosas porque juntas consiguen un impacto mayor en el sistema atacado).  

• ¿Qué beneficios aportan los procesos de inteligencia en Aristeo?  Un actor suele ejecutar varias acciones para asaltar un sistema, pero repetir una acción varias veces no la convierte en otro ataque, sino que a menudo se trata de parte de un mismo ataque.
• Los procesos de inteligencia de la nueva versión de Aristeo dejan de contar cada acción contra el sistema como un ataque, ya que permite relacionar las acciones que provienen del mismo actor y generar con ello una visión multidimensional sobre el atacante con todas sus acciones y TTP (tácticas, técnicas y procedimientos).
• Esta evolución refuerza la inteligencia de Aristeo a la hora de reconocer al actor entre los distintos eventos y ayuda al analista a estudiar las relaciones más complejas. 

En términos comparativos, sin tener en cuenta el impacto de estos procesos de inteligencia incorporados en la nueva versión de Aristeo, la cifra alcanza los 369 millones de eventos, lo que supone un aumento del 17,9% con respecto a los datos del mismo periodo de 2024.  

¿Cómo funciona Aristeo?

Aristeo despliega una red de señuelos que simulan ser sistemas industriales reales para atraer a los atacantes, lo que permite la identificación temprana de tendencias y vulnerabilidades en el sector industrial para que las empresas puedan analizar sus fallos de seguridad y reforzar su protección de forma preventiva.

Su principal particularidad es que esos señuelos están diseñados con hardware real, en vez de entornos virtualizados, con el objetivo de confundir a los ciberdelincuentes y poder capturar sus ciberamenazas para generar ciberinteligencia de la máxima calidad.

De esta forma, las organizaciones pueden saber cuáles son sus puntos fuertes y debilidades, y analizar el comportamiento que tienen los ciberdelincuentes en los sistemas -supuestamente reales- a los que van accediendo. 

La nueva versión de Aristeo, además de incorporar procesos de inteligencia más completos, mejora la información relacionada con el ámbito de la investigación gracias a su reconocimiento automatizado de las tácticas, técnicas y procedimientos (TTP) de las amenazas registradas.

Esto permite a Aristeo situar esta inteligencia de alto nivel en un marco internacional y de referencia como las matrices de la corporación MITRE, que. constituyen una de las bases de conocimiento abierto más completas y utilizadas por analistas de todo el mundo para clasificar las amenazas y entender los comportamientos de los atacantes. 

El balance semestral de Aristeo muestra un aumento generalizado de la actividad en todo el mundo y demuestra que los incidentes más frecuentes detectados con Aristeo fueron los relacionados con intentos de acceso por RDP (escritorio remoto) por fuerza bruta.