Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un empleado introduce código malicioso y roba un millón de euros

Fecha de publicación 24/02/2026
Un empleado introduce código malicioso y roba un millón de euros

¿Qué ha ocurrido?

Se puso en contacto con la Línea de Ayuda de Ciberseguridad de INCIBE, a través del teléfono gratuito y confidencial 017, una empresa internacional notificando que habían descubierto que uno de sus empleados habría modificado las pasarelas de pago de su web, apropiándose ilegalmente de casi un millón de euros

Nos comentaron que, a raíz de detectar el incidente, se propusieron reforzar la seguridad de sus sistemas, encontrando evidencias de código malicioso y modificaciones no autorizadas tanto en el CMS como en las copias de seguridad alojadas en la nube. Remontándose varios años atrás.

Sospechan que hay vídeos que contienen la inyección de código malicioso, pero ninguno de los sistemas de almacenamiento en la nube detecta anomalías en sus sistemas de seguridad.

Por otra parte, nos contaron que también han detectado un comportamiento errático e inusual en sus dispositivos móviles y estaciones de trabajo, presentando acciones y movimientos de forma autónoma, lo cual puede ser un indicio de una intrusión.

Debido a la situación, dieron de baja el dominio y crearon uno nuevo con la esperanza de solucionar la situación. Pero inmediatamente, regresaron las modificaciones no autorizadas.

Se pusieron en contacto con nosotros para saber cómo proceder.

¿Qué pautas le hemos dado?

Desde la Línea de Ayuda le ofrecimos las siguientes pautas reactivas: 

  • Actualizar el gestor de contenido CMS.
  • Instalar soluciones antivirus/antimalware y firewall y mantenerlas actualizadas.
  • Notificar del incidente al soporte del hosting y de la plataforma.
  • Recopilar todas las evidencias posibles.
  • Interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
  • Usar de copias de seguridad desde soportes físicos internos.
  • Valorar solicitar servicios de un perito informático, remitiéndole el Catálogo de Ciberseguridad de INCIBE.
  • Para los dispositivos que se reconozcan como infectados:
    • Aislar de la red.
    • Realizar análisis y limpieza con antivirus/antimalware.
  • Si el malware persistiera:
    • Restaurar el sistema a un momento en el que funcionara correctamente.
    • Realizar un análisis en modo seguro.
    • Arrancar el equipo desde un CD/DVD/USB de rescate.
  • Valorar formatear los equipos a valores de fábrica.
  • Si en esos equipos infectados hubiera datos de carácter personal o sensible, notificar a la Agencia Española de Protección de Datos.

Por último le recordamos que ante cualquier duda que le pueda surgir, puede volver a contactar con el servicio de Tu Ayuda en Ciberseguridad, de INCIBE todos los días del año de 08:00 am a 23:00 pm..

Tu Ayuda en Ciberseguridad

Etiquetas