El pasado julio, una intrusión informática en Ingram Micro, uno de los mayores distribuidores y proveedores de servicios B2B del mundo, desencadenó no solo un ataque de ransomware sino también una filtración de datos que ha terminado afectando a más de 42.000 personas. La compañía, con decenas de miles de empleados y miles de clientes en todo el planeta, reconoció que los ciberdelincuentes lograron extraer documentos sensibles de sus repositorios internos, según las notificaciones oficiales presentadas ante la fiscalía general de Maine y enviadas a quienes resultaron comprometidos.
En esas comunicaciones —publicadas por la oficina del fiscal general de Maine— Ingram Micro explica que detectó la intrusión el 3 de julio de 2025 y que los atacantes accedieron a archivos entre el 2 y el 3 de julio. Los datos exfiltrados incluyen registros laborales y de candidatos con información personal como nombres, datos de contacto, fechas de nacimiento y números de identificación gubernamental, incluyendo números de Seguro Social, licencias de conducir y pasaportes. Puede consultarse la documentación oficial en la notificación publicada por la fiscalía de Maine: notificación de la fiscalía de Maine y en el visor de expedientes gubernamentales: registro público.
El incidente no se limitó a la pérdida de información: el ataque provocó una caída masiva de los sistemas internos de la empresa y de su página web, obligando a la organización a pedir a sus empleados que trabajaran desde casa mientras recuperaban operaciones. Ese tipo de apagones operativos realzan el coste real de un ciberataque: interrupciones, pérdida de productividad y daño reputacional, además del riesgo para las personas cuyos datos quedan expuestos.
Aunque Ingram Micro no ha confirmado públicamente la vinculación con un grupo concreto, medios especializados empezaron a señalar a la banda conocida como SafePay apenas días después de la detección. BleepingComputer informó los primeros indicios del uso de ransomware y, semanas más tarde, investigadores observaron cómo los atacantes incluyeron a la compañía en un portal de fugas donde afirmaron haber robado 3,5 TB de documentos.
SafePay emergió a finales de 2024 y, en cuestión de meses, se ha convertido en uno de los operadores más activos del ecosistema delictivo del ransomware. Su modus operandi es la doble extorsión: primero copia datos sensibles y luego cifra sistemas, exigiendo rescate y amenazando con publicar la información si no se paga. Un análisis del crecimiento y las tácticas de este grupo puede consultarse en estudios especializados, como el informe de Acronis: SafePay: la amenaza en alza.
El caso de Ingram Micro subraya varias tendencias preocupantes que están marcando la ciberseguridad empresarial en 2025. Por un lado, los ataques se dirigen con frecuencia a empresas proveedoras y distribuidores con largas cadenas de clientes y partners, porque comprometer esos nodos multiplica el impacto. Por otro, los grupos de ransomware se profesionalizan: organizan portales de filtración, negocian rescates y explotan fallos humanos y técnicos con rapidez.
Para las personas afectadas por la fuga de Ingram Micro, las consecuencias inmediatas son claras: riesgo de robo de identidad, intentos de fraude y suplantaciones de identidad. Ante una exposición de números de identificación y datos personales tan sensibles, las medidas urgentes incluyen monitorizar el crédito, considerar la congelación de informes crediticios, revisar alertas bancarias y desconfiar de correos o llamadas sospechosas que pidan información adicional. Recursos oficiales para víctimas de robo de identidad y recomendaciones prácticas están disponibles en sitios como IdentityTheft.gov.
Desde el punto de vista corporativo, incidentes de este calibre obligan a reforzar controles en varios frentes: segmentación de redes, copias de seguridad aisladas y verificadas, autenticación multifactor en accesos críticos, gestión de parches y programas de concienciación para empleados. También es imprescindible la preparación para la respuesta a incidentes y la transparencia con reguladores y afectados, tanto por responsabilidad legal como para mantener la confianza de clientes y partners. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) mantiene guías prácticas sobre cómo mitigar y responder a ataques de ransomware: CISA: ransomware.
Más allá de las medidas técnicas, hay un debate abierto sobre la gestión de la extorsión: pagar o no pagar un rescate. Pagar puede detener la publicación inmediata de datos y restaurar servicios, pero alimenta un mercado criminal y no garantiza la eliminación de copias filtradas. Por eso, muchas organizaciones y gobiernos recomiendan invertir en prevención y resiliencia antes que ceder ante las demandas.
El incidente en Ingram Micro también tiene implicaciones regulatorias y contractuales. Empresas que actúan como intermediarias tecnológicas manejan grandes volúmenes de datos de empleados y clientes; un fallo en su seguridad puede disparar obligaciones de notificación, multas y responsabilidades ante clientes afectados. La rendición de cuentas y la claridad en la comunicación tras un incidente son piezas clave para limitar el daño legal y reputacional.
Finalmente, este episodio recuerda que la ciberseguridad es un problema colectivo. Los criminales no respetan fronteras ni tamaños empresariales: atacan vectores de oportunidad. La respuesta requiere inversión sostenida, colaboración entre sector privado, autoridades y proveedores de ciberseguridad, y una cultura organizacional que priorice la protección de datos sensibles. Para seguir la evolución del caso y acceder a la información oficial de la empresa, puede consultarse la web corporativa de Ingram Micro: ingrammicro.com, así como las coberturas y análisis de prensa especializada.
Mientras tanto, las personas que hayan recibido notificaciones de la compañía deben tomar las medidas preventivas recomendadas y mantener un registro de comunicaciones sobre el incidente; las empresas, por su parte, tienen ante sí la oportunidad —y la obligación— de revisar y endurecer sus defensas antes de que el próximo ataque vuelva a golpear.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...