El grupo de ransomware SafePay ha lanzado una seria amenaza contra Ingram Micro, asegurando haber robado 3,5 terabytes de datos confidenciales tras un ciberataque ocurrido a principios de este mes. Ahora, los atacantes advierten que filtrarán la información si no se cumplen sus exigencias.
Para quienes no estén familiarizados, Ingram Micro es uno de los mayores distribuidores de tecnología del mundo. La compañía trabaja con revendedores, proveedores de servicios administrados y empresas en más de 160 países, ofreciendo desde hardware y software hasta soluciones en la nube, servicios logísticos y formación especializada.
Aunque los rumores sobre el ataque circulaban desde principios de julio, fue recién esta semana cuando SafePay confirmó públicamente su autoría, añadiendo a Ingram Micro a su sitio de filtraciones en la dark web, como parte de su estrategia de presión.
Entrada de Ingram Micro en el sitio de fugas de SafePay (Fuente: BleepingComputer)
El grupo de ransomware SafePay apareció en escena en septiembre de 2024 y, desde entonces, su actividad no ha hecho más que aumentar. En menos de un año, ya han añadido más de 260 empresas a su sitio de filtraciones en la dark web, aunque es muy probable que el número real de víctimas sea bastante mayor, ya que solo hacen públicas las que se niegan a pagar el rescate.
Su modus operandi sigue un patrón conocido pero efectivo: roban documentos confidenciales antes de cifrar los sistemas, y luego amenazan con publicar esa información si no se les paga. Es la clásica táctica de “doble extorsión” que se ha vuelto común en los últimos años, pero que SafePay ha llevado a otro nivel.
Desde inicios de 2025, SafePay se ha consolidado como uno de los grupos de ransomware más activos y agresivos del momento, aprovechando el vacío dejado por otras bandas desmanteladas o inactivas como LockBit y BlackCat (ALPHV).
Uno de los casos más sonados este mes ha sido el ataque a Ingram Micro, una de las empresas tecnológicas más grandes del mundo. El ataque provocó una interrupción significativa en sus operaciones globales: trabajadores enviados a trabajar desde casa, el portal web fuera de servicio y los sistemas de pedidos completamente desconectados.
Tras el ataque, la empresa actuó con rapidez. Implementó medidas urgentes como restablecimiento de contraseñas a nivel corporativo, refuerzo del acceso con autenticación multifactor (MFA) y trabajó contrarreloj para restaurar el acceso VPN a su personal. En cuestión de días, logró restablecer gran parte de sus sistemas internos, permitiendo que los equipos retomaran sus tareas normales y reactivaran la plataforma de pedidos.
Solo cuatro días después del anuncio oficial del incidente, Ingram Micro emitió un comunicado confirmando que ya estaban operativos en todas las regiones donde hacen negocios. Aseguraron que sus equipos estaban trabajando a toda máquina para seguir brindando soporte a clientes y socios sin interrupciones mayores.
Conoce más sobre: ¿Cómo proteger tu empresa de ataques de ransomware con TecnetProtect?
Aunque todo apunta a que SafePay estuvo detrás del ataque a Ingram Micro (el grupo incluso incluyó a la empresa en su propio sitio de filtraciones), la compañía no ha confirmado públicamente ni la autoría del ataque ni si hubo robo de datos confidenciales.
Esto es una práctica común en estos casos. Las empresas suelen ser cautelosas al compartir información durante una investigación activa, especialmente cuando hay implicaciones legales, riesgos para sus clientes o procesos de recuperación aún en curso.
Lo que está ocurriendo con SafePay es un reflejo claro de cómo el ransomware ha evolucionado: ya no se trata solo de bloquear archivos, sino de extorsionar a las víctimas con la amenaza de exponer públicamente información sensible. Y el problema es que estos grupos operan con métodos cada vez más profesionales, como si fueran empresas criminales organizadas.
Con SafePay ganando terreno, y grandes nombres como Ingram Micro en su lista, el mensaje es claro: ninguna organización está exenta del riesgo.