La empresa española de defensa y tecnología Indra Group está investigando un incidente de ransomware después de que un grupo cibercriminal afirmara haber robado datos de la empresa y amenazara con publicarlos si no se iniciaban negociaciones.
La banda de ransomware conocida como The Gentlemen añadió Indra a su sitio de filtraciones en la dark web el 30 de junio, dando a la empresa varios días para establecer contacto antes de que se liberen los supuestos datos robados. En esta fase, ni los atacantes ni la empresa han revelado qué información supuestamente se tomó.
Indra es uno de los mayores contratistas de defensa de Europa y un proveedor clave para la OTAN y las fuerzas armadas españolas. La empresa desarrolla comunicaciones militares, sistemas de radar, tecnologías de defensa aérea, soluciones de ciberseguridad e infraestructuras críticas utilizadas por gobiernos y organizaciones de defensa en todo el mundo.
En un comunicado, Indra confirmó que una de sus filiales había sufrido un ciberataque relacionado con ransomware. La empresa informó que su Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) activó inmediatamente los procedimientos de contención y determinó que el incidente se limitó a un entorno no crítico. Según Indra, no hay pruebas de que el ataque se haya extendido a otras empresas dentro del grupo, y los servicios de atención al cliente han seguido funcionando con normalidad durante toda la investigación.
La empresa afirmó haber implementado medidas de contención, erradicación y recuperación, mientras reforzaba los controles de seguridad en toda su infraestructura. Los investigadores continúan examinando el incidente para determinar cómo los atacantes accedieron y si se exfiltraron datos.
The Gentlemen es una operación activa de ransomware que sigue el modelo cada vez más común de doble extorsión. En lugar de depender únicamente del cifrado de archivos, el grupo también afirma robar datos corporativos sensibles y amenaza con publicarlos si las víctimas se niegan a negociar. Esta táctica permite a los atacantes presionar a las organizaciones incluso cuando las copias de seguridad les permiten recuperar sistemas cifrados.
Dado que Indra trabaja extensamente con gobiernos, agencias de defensa, operadores de transporte y proveedores de infraestructuras críticas, cualquier exposición confirmada de datos podría tener implicaciones más allá de la propia empresa. Sin embargo, actualmente no existe evidencia pública de que la información clasificada o los sistemas de clientes hayan sido comprometidos.