El operador de la red eléctrica nacional de Suecia, Svenska kraftnät, ha confirmado que sufrió una violación de datos tras una reclamación de la banda de ransomware Everest, vinculada a Rusia. Los piratas informáticos dicen que obtuvieron 280 gigabytes de datos del operador, aunque se desconoce el contenido exacto del robo.
Según el jefe de seguridad de la información del operador, la violación se descubrió después de que un investigador de seguridad alertara a la compañía de que Everest había publicado datos en su plataforma de filtración. El operador dijo que está investigando el incidente y enfatizó que su suministro de electricidad no se ve afectado.
La compañía declaró que una solución de transferencia de archivos externa se vio comprometida. Los funcionarios enfatizaron que, si bien se accedió a los datos, no hay indicios de que los sistemas operativos vitales se hayan visto afectados. La investigación está en curso y las autoridades no han revelado públicamente qué tipo de registros fueron expuestos.
Mientras tanto, Everest afirmó en su sitio de filtraciones que accedió a cientos de gigabytes de datos de Svenska kraftnät y amenazó con publicar más a menos que se cumplan sus demandas. Sin embargo, el operador no ha confirmado si los datos son genuinos o cuál puede ser el impacto total.
Por qué se atacan las organizaciones de infraestructuras críticas
Los operadores de redes nacionales y otras infraestructuras son objetivos atractivos porque gestionan grandes volúmenes de datos sensibles y forman parte de servicios esenciales. Los atacantes pueden usar información robada para extorsionar, obtener una ventaja estratégica o causar interrupciones indirectamente.
En este caso, el hecho de que los sistemas operativos no se vieran afectados muestra cómo los atacantes pueden centrarse en el robo de datos en lugar del sabotaje directo. El rápido reconocimiento del incidente por parte del operador y la cooperación con las autoridades refleja el creciente enfoque en la respuesta y la transparencia en las violaciones de la infraestructura.
Lo que esto significa para los usuarios y la seguridad nacional
Si bien actualmente no existe una amenaza para el suministro de electricidad de Suecia, la violación plantea preguntas sobre la seguridad de los sistemas no centrales que respaldan la infraestructura crítica. Las herramientas externas de transferencia de archivos, los portales de acceso y los almacenes de datos son vectores de ataque comunes. Las organizaciones deben tratarlos como parte de la superficie de ataque.
Desde una perspectiva de seguridad nacional, el ataque ilustra las tácticas en evolución de los grupos de ciberdelincuencia y ransomware. En lugar de apuntar directamente a las operaciones, los adversarios buscan cada vez más datos para aprovecharlos, ya sea a través de un rescate o una publicación. Ese cambio complica los esfuerzos de detección y mitigación, especialmente cuando los datos se convierten en un producto básico.
Lo que Svenska kraftnät está haciendo a continuación
Svenska kraftnät dijo que está trabajando con las agencias suecas de aplicación de la ley y ciberseguridad para determinar el alcance total de la violación. La compañía está revisando la herramienta afectada, evaluando los datos expuestos y fortaleciendo su postura de seguridad en consecuencia. La compañía también se comprometió a proporcionar actualizaciones a medida que avanza la investigación.
El operador también aclaró que las operaciones de transmisión de electricidad permanecen estables y no se ven afectadas en este momento. Esa garantía tiene como objetivo mantener la confianza pública y asegurar a las partes interesadas que el incidente no ha comprometido la confiabilidad de la red.