Anthony Cusimano, director de Soluciones en Object First. Foto: cortesía. Portal ERP México.
En 2025, diversos grupos ciberdelincuentes y colectivos de extorsión de datos orquestaron algunos de los ataques de ransomware más costosos de la historia, en diferentes industrias. En estos eventos, el hilo conductor fue que los atacantes se enfocaron en las integraciones y plataformas de las que dependen las operaciones.
A continuación, presentamos un resumen cronológico de 3 de los incidentes más importantes del 2025, con base en datos públicos, análisis del sector y revelaciones de los afectados:
- 1 - Fabricante de autos protagoniza el ataque más costoso en la historia de Reino Unido
En marzo pasado, HellCat filtró y robó datos en un fabricante de autos de Reino Unido, logrando hackearlo en dos oleadas: en la primera, ultrajo 700 documentos internos, y en la segunda, 350 GB de datos sensibles. El material incluía código fuente propietario, registros de desarrollo y datos de seguimiento, entre otros.
Después, la situación se agravó: el 31 de agosto, la empresa cerró sus operaciones globales de TI para contener una filtración activa que detuvo la producción de la empresa en India, China, Eslovaquia y Reino Unido. Aunque varios grupos de amenazas se atribuyeron públicamente la responsabilidad, un colectivo formado por Scattered Spider, Lapsus$ y ShinyHunters afirmó en Telegram estar detrás del ataque, burlándose de la empresa y amenazando a otros objetivos en el mismo país. Entonces, la empresa víctima confirmó el robo de datos sensibles y admitió que esto les obligó a un cierre prolongado de sus sistemas de fabricación y ventas.
La empresa reportó que sus ganancias trimestrales cayeron 49% (antes de impuestos). Analistas del sector estimaron el costo total operativo y de recuperación en $2,500 millones de dólares, lo que lo convierte en "el ciberataque más costoso en la historia de Reino Unido".
Fuentes de información: PKWARE, SOCRadar, Motor Trend, Automotive Manufacturing Solutions y BBC.
Más del autor: La anatomía del ransomware: las 6 fases de un ataque
- 2 - Pedidos de todo el mundo pausados e información personal de 42,000 clientes vulnerada
Un gran distribuidor de TI sufrió un ataque de ransomware que lo llevó a apagar los sistemas centrales de su red global. Los empleados vieron por primera vez ventanas emergentes con notas de rescate el 3 de julio, poco antes de que sus sistemas de procesamiento de pedidos, sitios web y plataformas Xvantage e Impulse comenzaran a fallar. SafePay se atribuyó la responsabilidad. Informes indicaron que los atacantes probablemente ingresaron por la VPN de la empresa, GlobalProtect, usando credenciales filtradas o débiles.
La interrupción del servicio detuvo el procesamiento de pedidos en todo el mundo por días. Con los sistemas de cumplimiento offline, los clientes y socios distribuidores se enfrentaron a retrasos en la carga de trabajo y envíos, y a una visibilidad limitada del inventario. Los fabricantes y proveedores de servicios que dependían de los plazos de distribución del proveedor debieron recurrir a distribuidores de respaldo o usar sus existencias de reserva para mantener las operaciones en marcha.
Aunque la nota de rescate de SafePay alegaba el robo de datos, no hubo evidencia temprana de la filtración de registros de clientes, proveedores o empleados, y la empresa continuó investigando el alcance de cualquier exposición.
El distribuidor global de TI respondió aislando los sistemas afectados, desconectando su VPN y contactando a equipos externos de respuesta a incidentes. La empresa emitió actualizaciones públicas periódicas, ofreció soluciones alternativas para hacer pedidos por teléfono o email y estableció canales de escalamiento para solicitudes urgentes. La recuperación progresó por etapas: los sitios web se reactivaron el 7 de julio, el procesamiento parcial de pedidos se reanudó el 8 de julio y las operaciones globales se restablecieron por completo el 9 de julio.
Se vulneró la información personal de más de 42,000 clientes, incluyendo registros laborales y números de Seguridad Social. Si bien no hay un informe formal, se estima que los costos fueron de entre uno y varios millones de dólares, debido a la restauración del sistema, el soporte a socios y la ralentización operativa causada por la interrupción.
Fuentes de información: Blackfog y SecurityWeek.
3 - Información médica de casi 3 millones de pacientes renales queda comprometida
En agosto, una organización de atención médica especializada en salud renal confirmó que un ataque de ransomware había comprometido la información médica protegida (PHI, por sus siglas en inglés) de aproximadamente 2.7 millones de pacientes, tras el robo de más de 20 TB de datos, incluyendo más de 200 millones de archivos de historiales clínicos y demográficos. La información robada abarcaba historiales de tratamiento, detalles de seguros, números de Seguridad Social y otros identificadores de alto riesgo, categorías que conllevan una importante exposición regulatoria legal y para la seguridad del paciente.
El ataque, perpetrado por Interlock Ransomware, interrumpió los sistemas clínicos y obligó a la empresa a activar protocolos de contingencia en su red nacional de centros de diálisis. Si bien la compañía sostiene que la atención al paciente continuó, las consecuencias del robo de historiales médicos a largo plazo siguen siendo graves: los pacientes se enfrentan a un mayor riesgo de robo de identidad y fraude crediticio, mientras que los profesionales de la salud pueden enfrentarse a recetas falsificadas, historiales médicos alterados y problemas de integridad de los historiales.
La compañía ya ha incurrido en $13.5 millones de dólares en costos directos relacionados con la investigación, remediación e interrupción operativa, una cifra que excluye las pérdidas por interrupción del negocio y las posibles sanciones regulatorias.
Fuentes de Información: Reuters, The Hipaa Journal, SOCRadar y Top Class Actions.
Los aprendizajes
Las organizaciones rara vez tienen una visión completa de un ataque en las primeras horas o incluso días. La exposición legal, las obligaciones regulatorias y el riesgo de divulgar información inexacta determinan cómo y cuándo se comunican. Muchas empresas comparten sólo lo que pueden verificar, lo cual suele implicar detalles limitados durante el evento y declaraciones cuidadosamente redactadas posteriormente. Esto genera lagunas en la comprensión pública, pero refleja la realidad de la respuesta a incidentes: los equipos aún están descubriendo lo sucedido mientras el mundo busca respuestas.
Las empresas tienen la obligación de mantener la transparencia cuando la PHI y otros datos confidenciales de los clientes se han visto comprometidos. La publicación de noticias no debería tardar semanas o meses.
Ahora bien, ¿qué podría haber evitado estas brechas? En los 3 incidentes, los puntos de entrada diferían, pero una vez dentro, los atacantes tuvieron éxito por las mismas debilidades, que convirtieron las intrusiones en brechas a gran escala:
- Demasiada confianza implícita entre sistemas
- Rutas de respaldo que podían ser alcanzadas o manipuladas
- Almacenes de datos que podían ser modificados o exfiltrados
- Entornos donde el movimiento lateral era posible mucho antes de la detección
Un enfoque arquitectónico de su protección de datos diferente habría cambiado la trayectoria de cada ataque:
- Los principios de acceso cero (Zero Access) habrían bloqueado el uso indebido de credenciales y los puntos de entrada de la capa de integración que permitieron a los atacantes su incursión.
- La segmentación entre el software de respaldo y el almacenamiento de respaldo habría cortado las rutas de control de las que dependen los atacantes, impidiéndoles acceder o modificar los respaldos, incluso después de vulnerar los sistemas principales.
- La resiliencia de datos de confianza cero (Zero Trust Data Resilience) habría restringido el movimiento lateral y contenido la intrusión hasta su punto de entrada inicial.
- La inmutabilidad absoluta habría garantizado que, aunque los atacantes alcanzarán los sistemas principales, no habrían podido alterar ni cifrar los datos respaldados que los negocios requieren para recuperarse.
Estas estrategias marcan la diferencia entre una vulnerabilidad que se convierte en una crisis operativa multimillonaria que dura meses y otra que termina en el punto de entrada.
