Los grupos de ransomware como HELLCAT, Cl0p y varios colectivos de extorsión de datos idearon algunos de los ataques de ransomware más costosos de 2025. El año vio el cierre de la fabricación en una importante empresa automotriz, la exposición de millones de registros de pacientes en una gran organización de salud, el abuso a gran escala de OAuth en un CRM en la nube y una campaña de día cero contra un importante proveedor de software empresarial y en la nube que interrumpió los sistemas financieros y de cadena de suministro. Además, un ataque a finales de año a un distribuidor global de TI demostró cuán rápidamente el ransomware puede desestabilizar la logística global.
En estos eventos, hay un hilo común: los atacantes apuntaron a las integraciones y plataformas de las que dependen las operaciones, revelando debilidades sistémicas que abarcan industrias desde la automotriz hasta la salud.
A continuación se presenta un resumen cronológico de los incidentes de ransomware más significativos del año, basado en datos reportados públicamente, análisis de la industria y divulgaciones de organizaciones afectadas.
1. Un importante fabricante de automóviles (marzo–Agosto 2025)
Grupos de ransomware que se atribuyeron la responsabilidad:
- HELLCAT (incursión inicial y robo de datos)
- Scattered Spider, Lapsus$, y ShinyHunters: un colectivo de tres grupos de hackers diferentes que trabajaron en conjunto comunicándose en plataformas en línea para coordinar su ataque
Datos estimados robados: ~350 GB
Industria: Fabricación automotriz
En marzo, el grupo de ransomware HELLCAT hackeó con éxito a un importante fabricante de automóviles en dos oleadas: la primera oleada vio 700 documentos internos robados, seguida de una segunda oleada en la que se tomaron 350 GB de datos sensibles. El material robado incluía credenciales de empleados, datos de seguimiento, registros de desarrollo y código fuente propietario.
A finales del verano, la situación se intensificó. El 31 de agosto, la empresa cerró las operaciones de TI globales para contener una brecha activa que detuvo la producción en India, Eslovaquia, China y el Reino Unido. En los días siguientes, múltiples grupos de amenazas se atribuyeron públicamente la responsabilidad, creando confusión en torno a la atribución. Un colectivo recién renombrado—Scattered Spider, Lapsus$ y ShinyHunters—afirmó en Telegram que estaban detrás del ataque del 31 de agosto, burlándose de la empresa y amenazando a otros objetivos en el Reino Unido. La empresa confirmó más tarde que se habían robado datos sensibles y que el ataque había forzado un cierre prolongado de los sistemas de fabricación y ventas.
La empresa reportó una caída del 49% en las ganancias trimestrales antes de impuestos, y los analistas de la industria estimaron el costo total operativo y de recuperación en aproximadamente $2.5 mil millones, convirtiéndolo en “el ciberataque más costoso en la historia del Reino Unido” según la BBC.
2. Una organización de salud especializada en el cuidado de riñones (Agosto 2025)
Grupo de ransomware: Interlock Ransomware
Datos estimados robados: PHI para 2.7 millones de pacientes
Industria: Salud
En agosto, la empresa confirmó que un ataque de ransomware había comprometido la información de salud protegida (PHI) de aproximadamente 2.7 millones de pacientes, tras el robo de más de 20 terabytes de datos, incluyendo más de 200 millones de filas de registros clínicos y demográficos. La información robada abarcó historiales de tratamiento, detalles de seguros, números de Seguro Social Seguridad y otros identificadores de alto riesgo—categorías que conllevan una exposición significativa regulatoria, legal y de seguridad del paciente.
El ataque interrumpió los sistemas clínicos y obligó a la empresa a activar protocolos de contingencia en su red nacional de centros de diálisis. Aunque la empresa sostiene que la atención al paciente continuó, las consecuencias a largo plazo de los registros médicos robados siguen siendo severas: los pacientes enfrentan riesgos elevados de robo de identidad y actividad crediticia fraudulenta, mientras que los proveedores de salud pueden lidiar con recetas falsificadas, historiales médicos corruptos y problemas de integridad de registros a largo plazo.
La empresa ya ha incurrido en $13.5 millones en costos directos relacionados con la investigación, remediación y la interrupción operativa, una cifra que excluye pérdidas por interrupción de negocios y posibles sanciones regulatorias. El incidente también ha desencadenado múltiples demandas colectivas (Reid v. Davita Inc., y Jenkins et al v. DaVita), con demandantes alegando el uso indebido de datos robados y salvaguardias inadecuadas. Juntos, estos factores han intensificado el escrutinio sobre la ciberseguridad en salud, particularmente para los proveedores cuyos servicios son esenciales para la supervivencia del paciente.
3. Una plataforma de datos basada en la nube (septiembre–octubre de 2025)
Grupo de ransomware: ShinyHunters (afiliado al ecosistema de Scattered Spider / Lapsus$)
Datos estimados robados: Casi 1 mil millones de registros de clientes a través de inquilinos afectados ~800 organizaciones
Industria: CRM en la nube / SaaS
En el otoño temprano, un conjunto coordinado de ataques barrió organizaciones que utilizaban un conocido ecosistema de CRM en la nube. Los atacantes no violaron la empresa en sí; en cambio, se movieron a través del terreno circundante—campañas de vishing que convencieron a los empleados de instalar una versión maliciosa del Data Loader de la empresa, y una operación paralela que abusó de tokens de OAuth robados vinculados a una de las integraciones de Drift de la empresa. Una campaña tocó 39 empresas, mientras que la actividad basada en OAuth alcanzó a 760 organizaciones.
El grupo—operando bajo nombres que incluyen Scattered Lapsus$ Hunters y ShinyHunters—afirma haber tomado casi 1 mil millones de registros de clientes, incluyendo grandes volúmenes de PII y datos comerciales vinculados a CRM. La empresa ha declarado que su plataforma no fue comprometida y que no hubo ningún defecto en su tecnología central involucrado.
Para los inquilinos afectados, las repercusiones se han medido en millones de dólares por organización, impulsadas por investigaciones forenses, notificaciones a clientes y la presión ejercida sobre las relaciones con los clientes. Los atacantes también experimentaron con nuevas tácticas de presión, ofreciendo a los suscriptores de Telegram $10 en Bitcoin para que enviaran correos electrónicos a ejecutivos y exigieran pagos—un intento inusual de ampliar el esfuerzo de extorsión.
La campaña muestra cómo los atacantes se mueven lateralmente identificando caminos, integraciones y herramientas de terceros en lugar de las plataformas SaaS en sí. Buscan acceso por puerta trasera, donde la seguridad puede no ser tan rigurosa.
4. Un importante proveedor de software empresarial y en la nube (finales de 2025)
Grupo de ransomware: Cl0p (con actividad vinculada a Scattered Lapsus$ Hunters)
Datos estimados robados: Grandes volúmenes de datos ERP a través de múltiples empresas
Industria: ERP empresarial / multi-industria
A finales de 2025, Cl0p comenzó a explotar CVE‑2025‑61882, un defecto de ejecución remota de código en un componente de integración de BI Publisher de un importante proveedor de software empresarial y en la nube. El error permitió acceso no autenticado a través de HTTP, dando a los atacantes un camino directo hacia el motor de Procesamiento Concurrente de la empresa. El Grupo de Inteligencia de Amenazas de Google y Mandiant observaron la explotación el 2 de octubre; la empresa emitió un aviso y un parche el 4 de octubre. Un segundo defecto de EBS, CVE‑2025‑61884, fue parcheado días después.
Los investigadores encontraron que los atacantes encadenaron cinco debilidades separadas—algunas recién descubiertas, otras parcheadas anteriormente en el año—para lograr acceso previo a la autenticación. Un proof-of-concept publicado por Scattered Lapsus$ Hunters confirmó el camino de explotación, permitiendo que múltiples grupos de amenazas lo adoptaran. Una vez dentro, Cl0p desplegó un script malicioso, server.py, que actuó como un canal de comando y control para el robo de datos y el movimiento lateral.
La campaña alcanzó organizaciones en los sectores de medios, aviación, educación superior e industrial, incluyendo The Washington Post, la Universidad de Harvard, Envoy Air, Schneider Electric y Emerson. Las víctimas recibieron correos electrónicos de extorsión—frecuentemente enviados desde cuentas de correo electrónico comerciales comprometidas—ofreciendo “evidencia” de datos ERP robados e instrucciones para el pago.
Muchas organizaciones se dieron cuenta de que habían sido comprometidas solo cuando actores vinculados a Cl0p iniciaron correos electrónicos de extorsión haciendo referencia a datos tomados de la plataforma del proveedor de software empresarial y en la nube. El análisis de Google y Mandiant muestra que el marco de implante de múltiples etapas de los atacantes les permitió alcanzar componentes de aplicación más profundos, incluyendo BI Publisher y Procesamiento Concurrente—áreas que el proveedor advierte pueden exponer registros comerciales sensibles cuando se accede sin autorización.
El incidente mostró cuán rápidamente los actores de amenazas pueden escalar privilegios una vez que se exponen los servicios ERP accesibles de forma remota, permitiendo la interacción con datos financieros y operativos de los que las empresas dependen para sus funciones diarias.
5. Un Distribuidor Global de Tecnología (Finales de 2025)
Grupo de ransomware: SafePay (vinculado a la actividad derivada de LockBit)
Datos estimados robados: Datos operativos, logísticos y relacionados con proveedores (alcance aún en revisión)
Industria: Distribución y logística global
A principios de julio, uno de los distribuidores de tecnología más grandes del mundo fue golpeado por un ataque de ransomware que los obligó a cerrar sistemas centrales en su red global. Los empleados vieron por primera vez ventanas emergentes de notas de rescate el 3 de julio, poco antes de que los sistemas de procesamiento de pedidos, sitios web y las plataformas Xvantage e Impulse de la empresa comenzaran a fallar. SafePay—un grupo de extorsión de rápido crecimiento vinculado a más de 220 víctimas anteriores—más tarde reclamó la responsabilidad. Los informes iniciales indicaron que los atacantes probablemente ingresaron a través de la VPN GlobalProtect de la empresa utilizando credenciales filtradas o débiles en lugar de una falla de software.
La interrupción detuvo el procesamiento de pedidos en todo el mundo durante varios días. Con los sistemas de cumplimiento fuera de línea, los clientes y socios revendedores enfrentaron acumulaciones, envíos retrasados y visibilidad limitada del inventario. Los fabricantes y proveedores de servicios que dependían de los plazos de distribución del proveedor tuvieron que recurrir a distribuidores de respaldo o agotar el stock de reserva para mantener las operaciones en marcha. Aunque la nota de rescate de SafePay afirmaba robo de datos, no hubo evidencia temprana de filtraciones de registros de clientes, proveedores o empleados, y la empresa continuó investigando el alcance de cualquier exposición.
El distribuidor global de TI respondió aislando los sistemas afectados, desconectando su VPN y contratando equipos externos de respuesta a incidentes. La empresa emitió actualizaciones públicas regulares, proporcionó soluciones alternativas para realizar pedidos por teléfono o correo electrónico, y estableció canales de escalación para solicitudes urgentes. La recuperación progresó en etapas: los sitios web volvieron el 7 de julio, el procesamiento parcial de pedidos se reanudó el 8 de julio y las operaciones globales completas se restauraron para el 9 de julio.
Se comprometió la información personal de más de 42,000 clientes, incluidos números de seguro social, fechas de nacimiento, registros de empleo y nombres.
Aunque la empresa nunca divulgó un informe formal, los costos estimados se situaron en el rango bajo a medio de millones, impulsados por la restauración del sistema, el apoyo a socios y la carga operativa creada por la interrupción. Incluso sin una exposición de datos a gran escala confirmada, el evento mostró cuán rápidamente una intrusión de ransomware puede repercutir en una cadena de suministro global cuando las plataformas centrales de un distribuidor se desconectan.
Lo Que Estos Ataques Revelan Sobre las Campañas Modernas de Ransomware
Por Qué Múltiples Grupos Reclaman el Mismo Ataque
Los grupos de ransomware a menudo compiten por atención, credibilidad y ventaja. Cuando un incidente afecta a un objetivo de alta visibilidad (ya sea un gran fabricante de automóviles, una organización de salud especializada en el cuidado de riñones, una plataforma de datos basada en la nube, un gran proveedor de software empresarial y en la nube, o un distribuidor global de tecnología), varios grupos pueden reclamar responsabilidad. Algunos lo hacen para inflar sus reputaciones, otros para confundir a los investigadores, y algunos para presionar a las víctimas a pagar rápidamente. Todo es parte de la estrategia de extorsión.
Por Qué las Empresas Divulgan Tan Poco, Tan Lento
Las organizaciones rara vez tienen una imagen completa de un ataque en las primeras horas o incluso días. La exposición legal, las obligaciones regulatorias y el riesgo de divulgar información inexacta moldean cómo y cuándo comunican. Muchas empresas comparten solo lo que pueden verificar, lo que a menudo significa detalles limitados durante el evento y declaraciones cuidadosamente redactadas después. Esto crea brechas en la comprensión pública, pero refleja la realidad de la respuesta a incidentes: los equipos aún están descubriendo lo que sucedió mientras el mundo pide respuestas.
Dicho esto, las corporaciones tienen la obligación de mantener la transparencia cuando se ha comprometido la PHI y otros datos sensibles de los clientes. Las noticias no deberían tardar semanas o meses en ser divulgadas. Las empresas en el sector de salud, SLED y servicios financieros, específicamente, se mantienen a un estándar más alto por esta razón: el tipo de información que albergan es especialmente vulnerable y necesita ser protegida con la mejor protección disponible.
Lo Que Podría Haber Previsto Estas Filtraciones
Brechas Arquitectónicas Que Dieron a los Atacantes Espacio para Moverse
En los cinco incidentes, los puntos de entrada diferían—credenciales de VPN en un distribuidor global de tecnología, un zero-day en un gran proveedor de software empresarial y en la nube, abuso de integración en un CRM en la nube, y compromiso impulsado por identidad en una empresa de salud especializada en el cuidado de riñones. Pero una vez dentro, los atacantes tuvieron éxito por las mismas razones:
- Demasiada confianza implícita entre sistemas
- Backup rutas que podían ser alcanzadas o manipuladas
- Almacenes de datos que podían ser modificados o exfiltrados
- Entornos donde el movimiento lateral era posible mucho antes de la detección
Estas debilidades convirtieron los puntos de apoyo en filtraciones a gran escala.
Elementos Que Hubieran Limitado el Radio de Explosión
Un enfoque arquitectónico diferente habría cambiado la trayectoria de cada ataque.
- Los principios de Zero Access habrían cerrado los puntos de entrada de uso indebido de credenciales y de capa de integración que dieron a los atacantes su punto de apoyo.
- La segmentación entre software de respaldo y almacenamiento de respaldo habría cortado los caminos de control de los que dependen los atacantes, impidiendo que llegaran o alteraran las copias de seguridad incluso después de haber violado los sistemas primarios.
- Zero-trust resiliencia de datos habría restringido el movimiento lateral y contenido la intrusión a su punto de entrada inicial.
- Inmutabilidad Absoluta habría asegurado que incluso si los atacantes alcanzaban los sistemas centrales, no pudieran alterar o cifrar los datos de los que las organizaciones dependen para recuperarse.
Estas estrategias son la diferencia entre una filtración que se convierte en una crisis operativa de varios millones de dólares durante meses y una que termina en el punto de entrada. Para entender cómo es un ataque de ransomware y cómo prepararse para él, descarga nuestra Guía de Supervivencia de Ransomware.
¿Interesado en hacer que tu empresa sea a prueba de ransomware? Habla con uno de nuestros Ingenieros de Ventas y reserva una demostración hoy.
