🙌 ¡Gracias por contactarnos!
📩 Te hemos enviado un correo con los siguientes pasos, no olvides revisar tu buzón
¡Ups! Algo salió mal al enviar el formulario.
Análisis de sector

The Gentlemen ataca a una filial de Indra

Josue Guerrero
Publicado
08 Jul 2026
3 min
de lectura

El pasado 1 de julio, Indra confirmó que una de sus filiales fue víctima de un ataque de ransomware perpetrado por The Gentlemen, un grupo de extorsión de habla rusa activo desde mediados de 2025. El colectivo incluyó a la multinacional española en su portal de filtraciones de la dark web y le dio un plazo de 236 horas (poco más de 9 días) para negociar el pago del rescate, cuyo monto no ha trascendido. Indra asegura que el incidente quedó contenido a un entorno no crítico, que no se propagó al resto del grupo y que la prestación de sus servicios continuó con normalidad.

Cómo ocurrió el ataque

Indra detectó la presencia del ransomware en la filial afectada y activó de inmediato a su Equipo de Respuesta ante Incidentes de Seguridad (CSIRT), que ejecutó las fases de contención, erradicación y recuperación. La compañía no ha revelado públicamente el vector de acceso inicial y mantiene abierta una investigación forense. Lo que sí se sabe es cómo opera The Gentlemen en general: el grupo prioriza el robo y la exfiltración de datos sobre el cifrado de archivos, apoyándose en herramientas impulsadas por IA y técnicas de evasión adaptables para pasar desapercibido durante la fase de reconocimiento y movimiento lateral, un patrón consistente con tácticas de acceso inicial (TA0001) y exfiltración (TA0010) del framework MITRE ATT&CK antes de activar la extorsión.

Por qué importa

The Gentlemen no ataca al azar: según reportes de seguridad, acumula más de 300 víctimas a nivel internacional en lo que va del año, con foco en organizaciones de alto valor en sectores como TIC, manufactura, servicios empresariales, salud, energía y logística —el mismo perfil de riesgo que enfrentan muchas empresas medianas y grandes en LATAM—. Indra, además, es un proveedor tecnológico con operación extendida en la región en sectores estratégicos como defensa, transporte e infraestructura pública, lo que ilustra un punto clave: cuando un proveedor tecnológico de alcance regional sufre una brecha, el riesgo no se queda en su matriz, se hereda a cada cliente y operación que depende de sus sistemas. La lección de negocio es clara: el riesgo de terceros y la exposición de proveedores tecnológicos deben formar parte de cualquier estrategia de ciberseguridad, no ser una preocupación secundaria.

Qué puedes hacer

  • Evalúa tu superficie de ataque real antes que un actor como The Gentlemen lo haga. Un ejercicio de pentesting con dAttack identifica los puntos de entrada explotables en tu infraestructura y en la de tus proveedores críticos.
  • Formaliza la gestión de riesgo de terceros dentro de tu SGSI. Marcos como ISO 27001, que impulsamos con dStandard, exigen evaluar y monitorear a los proveedores con acceso a tus sistemas y datos.
  • Detecta el compromiso antes de que se convierta en extorsión. Un dSOC con monitoreo 24/7 reduce el tiempo de detección y contención frente a grupos que, como The Gentlemen, pueden permanecer semanas dentro de un entorno antes de activar el ataque.

En Delta Protect acompañamos a empresas en LATAM a mapear su exposición real —incluyendo la de sus proveedores tecnológicos— y a construir una postura de ciberseguridad que resista este tipo de amenazas.

Fuente externa

Contenido relacionado