El grupo de ransomware Nova, una operación cibercriminal que utiliza un modelo de ransomware como servicio, ha reivindicado la responsabilidad de un ciberataque contra KPMG Países Bajos, la filial holandesa de la firma global de servicios profesionales KPMG International Cooperative. La afirmación fue publicada en un sitio de filtraciones de la dark web el 23 de enero de 2026, acompañada de un temporizador de cuenta atrás que da a KPMG un plazo de 10 días para interactuar con el grupo o la publicación de datos de riesgo.
El anuncio de Nova menciona específicamente a KPMG Países Bajos e implica que se exfiltraron datos durante el supuesto incidente. La inclusión del grupo en el sitio de filtraciones refleja una táctica común en operaciones de ransomware y extorsión conocida como doble extorsión, donde los atacantes combinan amenazas de divulgación de datos con un posible cifrado de sistemas para obligar a las víctimas a negociar. La entrada del sitio de la filtración incluía un temporizador de 10 días que normalmente indica cuándo los atacantes podrían empezar a publicar datos si no se cumplen sus demandas.
KPMG ha emitido una respuesta pública a la afirmación, afirmando que su infraestructura de TI gestionada y sus sistemas de seguridad no han sido comprometidos y enfatizando que se toma en serio la ciberseguridad y la monitorización. La declaración de la empresa no confirma ninguna pérdida o brecha de datos y refleja una postura cautelosa mientras se evalúa la situación. En esta fase, no existe una verificación independiente de que la afirmación de Nova corresponda a una brecha real de los sistemas de KPMG.
Los detalles sobre el presunto ataque, incluidos los tipos de datos involucrados o si se produjo alguna exfiltración de datos, no han sido publicados por Nova ni corroborados por investigadores externos en ciberseguridad. La ausencia de muestras publicadas o pruebas técnicas significa que la afirmación no está verificada y sujeta a evaluación continua. En algunos casos de extorsión por ransomware, los actores amenazantes listan públicamente organizaciones en sitios de filtraciones antes de aportar pruebas o antes de que una negociación posterior tenga éxito, lo que dificulta evaluar las afirmaciones iniciales sin confirmación forense.
Empresas de servicios profesionales como KPMG son consideradas objetivos atractivos para los actores de ransomware porque poseen una amplia información corporativa y de clientes que abarca documentos de auditoría, declaraciones fiscales y registros de asesoramiento. Los actores amenazantes pueden percibir estos datos como de alto valor en las negociaciones si logran demostrar la posesión. Sin embargo, sin verificación de la afirmación del grupo Nova ni divulgación pública de datos comprometidos, el estado actual de los sistemas e información de KPMG Países Bajos sigue siendo incierto.
La situación sigue evolucionando, y las declaraciones públicas de KPMG, junto con la monitorización por parte de los servicios de ciberseguridad, informarán si surgen nuevas acciones, como hallazgos de investigaciones o avisos regulatorios en respuesta a la reclamación. Las autoridades y los observadores del sector suelen tratar estas listas de extorsión como desencadenantes para auditorías internas y búsquedas de amenazas, incluso cuando las afirmaciones no están verificadas inicialmente.