La multinacional neerlandesa AkzoNobel ha confirmado haber sufrido una intrusión informática en la red de uno de sus centros en Estados Unidos, una situación que ha captado la atención del sector por el volumen y la naturaleza de los datos que el grupo detrás del incidente asegura haber exfiltrado. Según la información divulgada por medios especializados, el actor responsable, conocido como el grupo Anubis, publicó en su sitio de filtraciones una muestra de lo sustraído y reivindica haber obtenido alrededor de 170 GB y casi 170.000 archivos, entre los que figurarían contratos confidenciales con clientes, correos privados, escaneos de pasaportes y documentación técnica interna.
Desde AkzoNobel —empresa con presencia global y marcas reconocidas en pinturas y recubrimientos— han transmitido que el incidente fue localizado en una instalación concreta de Estados Unidos y que las medidas de contención se ejecutaron para limitar su alcance. La compañía asegura que el impacto es acotado y que están notificando y apoyando a las partes afectadas, además de cooperar con las autoridades competentes, según declaraciones recogidas por medios que cubren ciberseguridad. En su comunicado, AkzoNobel no detalló si se entabló negociación o algún tipo de contacto con los atacantes.
La relevancia del caso no reside solo en el tamaño del volcado presunto, sino en la composición de los ficheros publicados: contratos con clientes de alto perfil, datos de contacto, correspondencia interna y documentación sensible sobre materiales y especificaciones técnicas. Esa combinación convierte la filtración no solo en un riesgo para la privacidad de personas concretas, sino en un posible daño reputacional, comercial y operativo para la empresa y sus socios.
El grupo Anubis, identificado en los últimos meses como una operación tipo “ransomware-as-a-service” (RaaS), se presentó a finales de 2024 ofreciendo a sus afiliados una parte mayoritaria de los rescates cobrados, y desde entonces ha ido ganando visibilidad en foros del cibercrimen. Informes sobre su evolución señalan que en 2025 expandieron su programa de afiliados y, más recientemente, incorporaron herramientas destructivas —un “wiper” que borra datos—, lo que eleva el riesgo de pérdida irreversible de información si un incidente deriva en sabotaje además de exfiltración. Para quienes quieran profundizar en el origen y las tácticas de esta amenaza, hay análisis públicos que documentan su aparición y evolución, como los publicados por especialistas en inteligencia de amenazas (KELA) y seguimientos en medios dedicados a seguridad informática (BleepingComputer).
Este episodio sirve como recordatorio de que incluso organizaciones grandes y con controles establecidos no son inmunes a campañas dirigidas. Cuando los atacantes combinan exfiltración masiva de datos con tácticas de presión y extorsión, la respuesta exige tanto acciones técnicas inmediatas como una gestión coordinada de comunicación y cumplimiento normativo. La contención en un único emplazamiento puede minimizar la afectación operativa, pero no elimina el riesgo derivado de la divulgación pública de información sensible.
Para las empresas del sector industrial y de fabricación, las implicaciones son varias: la divulgación de especificaciones técnicas o resultados de ensayos puede erosionar ventaja competitiva; los datos personales expuestos obligan a activar protocolos de notificación a afectados y autoridades; y las filtraciones de contratos pueden generar disputas comerciales. Además, la existencia de un wiper en el arsenal del atacante convierte la recuperación en un reto mayor si las copias de respaldo no están segregadas, desconectadas y verificadas.
En el plano más amplio, ataques como este alimentan la presión regulatoria y amplían la responsabilidad de los responsables de seguridad. Organismos como la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos ofrecen guías prácticas sobre prevención y respuesta ante ransomware que son útiles para cualquier organización preocupada por estos escenarios (CISA - Ransomware Guidance).
Mientras algunas preguntas permanecen abiertas —por ejemplo, el alcance real de los datos comprometidos, si hubo pago de rescate o si el actor lanzó más piezas de información—, el caso de AkzoNobel ilustra dos realidades del panorama actual: por un lado, la profesionalización y especialización de las bandas de ransomware que operan mediante modelos RaaS; por otro, la necesidad de que las empresas combinen medidas técnicas con planes de respuesta y comunicación preparados de antemano. La ciberseguridad, hoy, es tanto una cuestión de tecnología como de procesos y relaciones con clientes, proveedores y reguladores.
Para los usuarios y trabajadores vinculados a compañías potencialmente afectadas, la recomendación habitual es mantener una postura vigilante: verificar comunicaciones oficiales de la empresa, extremar precauciones ante correos inesperados que pidan información y cambiar contraseñas si existe sospecha de exposición. Para los responsables de TI, el aprendizaje es claro: segmentación de la red, copias de seguridad offline, pruebas de recuperación y monitorización constante siguen siendo las mejores defensas frente a la creciente sofisticación de los ataques.
El episodio está aún en desarrollo y probablemente veremos más detalles en las próximas horas y días. Mientras tanto, quienes sigan este caso pueden encontrar cobertura y actualizaciones en medios de referencia en ciberseguridad y en los canales oficiales de la compañía afectada; y para entender la naturaleza técnica y organizativa de este tipo de amenazas, es útil consultar los análisis especializados disponibles en la red.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
YellowKey El fallo de BitLocker que podría permitir a un atacante desbloquear tu unidad con solo acceso físico
Microsoft ha publicado una mitigación para una vulnerabilidad de omisión de seguridad de BitLocker conocida como YellowKey (CVE-2026-45585), después de que su prueba de concepto...