Desde el jueves pasado, Ingram Micro, una de las empresas de tecnología más grandes del mundo, ha estado lidiando con una fuerte interrupción en sus sistemas. Su sitio web y plataforma de pedidos en línea dejaron de funcionar de un momento a otro, y la compañía, hasta ahora, no había explicado públicamente qué estaba ocurriendo.
Sin embargo, se ha sabido que todo se debe a un ataque de ransomware, específicamente de una variante llamada SafePay. El ciberataque habría comenzado en la mañana del jueves, y fue tan repentino que varios empleados se toparon con notas de rescate directamente en sus dispositivos, notificándoles que sus archivos habían sido cifrados.
Ingram Micro, que ofrece soluciones de hardware, software, servicios en la nube, logística y formación a miles de empresas y proveedores de servicios en todo el mundo, se ha visto obligada a cerrar varios de sus sistemas internos como parte de su respuesta al incidente.
La situación aún está en desarrollo, pero lo cierto es que se trata de un ataque grave que ha afectado el funcionamiento global de una de las piezas clave en la cadena de suministro tecnológica.
La nota de rescate que dejaron los atacantes está relacionada con SafePay, una de las bandas de ransomware más activas de 2025. Aunque el mensaje afirma que robaron una gran cantidad de información, ese tipo de amenaza suele ser parte del mismo texto genérico que usan en todos sus ataques, así que no necesariamente significa que lo hayan hecho en este caso.
Tampoco está del todo claro si los archivos de los dispositivos afectados llegaron a ser cifrados, o si solo fue una advertencia para meter presión.
Nota de rescate de SafePay encontrada en dispositivos (Fuente: BleepingComputer)
Según se ha podido saber, todo apunta a que los atacantes habrían entrado al sistema de Ingram Micro a través de su plataforma de acceso remoto VPN GlobalProtect, una herramienta que muchas empresas usan para que sus empleados trabajen desde fuera de la oficina de forma segura.
Una vez que se detectó el ataque, a varios equipos en distintas sedes se les pidió que trabajaran desde casa, mientras la compañía apagaba varios de sus sistemas internos por precaución. También se les indicó a los empleados que no usaran más la VPN, ya que aparentemente había sido uno de los puntos vulnerables aprovechados por los atacantes.
Entre los sistemas que se vieron afectados están Xvantage, la plataforma de distribución inteligente de Ingram impulsada por inteligencia artificial, y Impulse, su herramienta para el aprovisionamiento de licencias. Sin embargo, algunos servicios clave como Microsoft 365, Teams y SharePoint siguieron funcionando con normalidad, lo cual permitió mantener cierto nivel de comunicación interna.
Hasta el día anterior a que se confirmara oficialmente el ataque, la empresa no había comunicado a su personal ni al público que se trataba de un ransomware. Lo único que se había dicho en ese momento era que había problemas técnicos en curso, según mensajes internos que circularon dentro de la organización.
La banda SafePay es relativamente nueva; se sabe de su existencia desde noviembre de 2024, pero en poco tiempo ha logrado hacer bastante daño: más de 220 víctimas en distintos sectores, especialmente empresas grandes.
Lo preocupante es que esta operación suele aprovechar credenciales robadas o configuraciones erróneas en las redes VPN, justo como se cree que sucedió en este caso. Su forma de actuar no es muy sofisticada, pero sí efectiva: prueban combinaciones de contraseñas filtradas y, cuando logran acceder a una red, se mueven rápidamente dentro del sistema para cifrar archivos y, en algunos casos, robar datos antes de lanzar el chantaje.
Conoce más sobre: Ransomware en Mayo de 2025: SafePay y DevMan Principales Amenazas
Finalmente, el domingo 6 de julio, Ingram Micro rompió el silencio y confirmó públicamente que sufrió un ataque de ransomware. En un breve comunicado, dijeron lo siguiente:
"Ingram Micro identificó recientemente ransomware en algunos de sus sistemas internos. Tan pronto como nos enteramos, tomamos medidas para proteger el entorno afectado, incluyendo desconectar ciertos sistemas y aplicar otras medidas de contención. También iniciamos una investigación con la ayuda de expertos en ciberseguridad y notificamos a las autoridades competentes."
Además, aseguraron que están trabajando con urgencia para restaurar sus sistemas y retomar el procesamiento de pedidos, y ofrecieron disculpas por los inconvenientes que esto está causando a clientes, socios y proveedores.
Hoy 7 de julio, la empresa Palo Alto Networks, creadora del software VPN que supuestamente fue la puerta de entrada del ataque, también emitió un comunicado. Si bien no confirmaron ni negaron el uso específico de su plataforma en este incidente, dijeron lo siguiente:
"Estamos al tanto del incidente de seguridad que afecta a Ingram Micro y de los reportes que mencionan el uso de nuestra VPN GlobalProtect. Actualmente estamos investigando estas afirmaciones. Cabe destacar que los ciberdelincuentes suelen aprovechar credenciales robadas o configuraciones incorrectas para entrar a través de puertas de enlace VPN."
En otras palabras, no hay una confirmación directa de que el fallo haya sido responsabilidad del software, pero sí reconocen que este tipo de accesos remotos son blancos frecuentes para los atacantes cuando no están bien configurados o protegidos.
Conoce más sobre: ¿Cómo proteger tu empresa de ataques de ransomware con TecnetProtect?
Este caso deja una lección clara: con proteger el perímetro ya no alcanza. Un solo acceso comprometido por VPN fue suficiente para que los atacantes se metieran y se movieran dentro de la red como en su casa.
Cosas como autenticación multifactor (MFA), control de accesos, segmentación de red y visibilidad con herramientas tipo EDR ya no son un “plus” — son lo mínimo necesario.
Y ojo, SafePay no es un grupo cualquiera. Desde que apareció en noviembre de 2024, ya ha afectado a más de 220 organizaciones. Hasta ahora, Ingram Micro es su víctima más grande.
Esto no va solo de aplicar parches o poner firewalls.
Necesitamos tomarnos en serio el modelo de confianza cero y realizar pruebas de intrusión realistas de forma constante. Porque si algo así le puede pasar a una empresa del tamaño y nivel de Ingram Micro, ¿qué tan expuestos están entornos más pequeños o con infraestructura antigua?
Algunas preguntas incómodas (pero necesarias):
¿Tu VPN está protegida con MFA?
¿Estás monitoreando lo que ocurre dentro de tu red, no solo lo que entra o sale?
¿Tienes claro qué harías si mañana amaneces con todos los sistemas caídos?
Este incidente no es una simple noticia de ciberseguridad. Es una advertencia. Un espejo en el que muchos deberían mirarse.
Por eso, en TecnetOne nos enfocamos en ayudarte a que no llegues a vivir una situación como esta. Sabemos que cada empresa es diferente, así que te acompañamos para armar una estrategia de ciberseguridad que realmente se adapte a tu negocio.
Contamos con soluciones como SOC as a Service, EDR, MFA, TecnetProtect, monitoreo 24/7, Zero Trust y análisis de vulnerabilidades, pero lo importante no es solo la tecnología, sino cómo la usamos para proteger lo que de verdad importa: tu operación, tus datos y la confianza de tus clientes. ¿Te gustaría saber cómo proteger mejor tu entorno?