Dell Technologies ha confirmado una brecha de seguridad en su entorno de demostración para clientes, conocido como Customer Solution Centers. Este espacio está diseñado para pruebas y presentaciones de productos, y, según ha declarado la compañía, está completamente separado de sus redes internas y de clientes. Sin embargo, la brecha sufrida por Dell ha sido suficiente para que el grupo de extorsión World Leaks comience a exigir un rescate, alimentando la creciente ola de ataques dirigidos a la exfiltración de datos en lugar del cifrado tradicional de ransomware.
La información fue confirmada por Dell al medio especializado BleepingComputer, tras ser contactados para comentar sobre la intrusión. La compañía aseguró que los datos comprometidos no incluyen información sensible de clientes ni de la empresa, y que se trata en su mayoría de datos sintéticos, scripts de configuración y archivos de prueba.
“El entorno comprometido está diseñado para demostraciones, pruebas de concepto y simulaciones, y no está conectado a los sistemas de producción ni a las redes que usamos para prestar servicios a nuestros clientes”, explicó Dell.
Una filtración que busca sembrar el miedo
Horas después de que BleepingComputer publicara la historia, World Leaks publicó en su portal de filtraciones muestras de los datos robados. El grupo afirma haber exfiltrado 1,3 terabytes de información. A pesar de que la mayor parte del contenido filtrado corresponde a scripts de configuración, respaldos y datos técnicos asociados con implementaciones de prueba, se han identificado también contraseñas internas utilizadas durante la provisión de equipos.
Aunque no se ha detectado información crítica, el simple hecho de que existan credenciales funcionales en estos entornos ya representa un riesgo potencial: podrían ser reutilizadas o permitir accesos no autorizados a sistemas conectados.
Del ransomware a la extorsión pura
World Leaks es el nuevo alias de un actor ya conocido en la escena del cibercrimen: Hunters International. Esta banda surgió a finales de 2023 tras la caída del grupo Hive, con el cual compartía ciertas similitudes de código. En apenas un año, Hunters International estuvo detrás de más de 280 ataques a organizaciones de todo el mundo. Sin embargo, en enero de 2025 anunciaron su rebranding como World Leaks, abandonando el cifrado de archivos y apostando por la extorsión basada exclusivamente en la sustracción y publicación de datos sensibles.
La motivación del cambio es clara: el modelo de ransomware tradicional se ha vuelto más arriesgado y menos rentable ante el endurecimiento de las políticas gubernamentales, la mejora en los respaldos corporativos y las sanciones a quienes pagan rescates. En cambio, con la extorsión basada en filtraciones, los criminales buscan obtener el pago a cambio de no divulgar información interna, lo que en muchos casos genera un mayor temor reputacional.
El vector de entrada: una incógnita sin resolver
Dell no ha revelado cómo se produjo la intrusión, alegando que la investigación aún está en curso. Sin embargo, se sospecha que podría haber relación con la reciente oleada de ataques contra dispositivos SonicWall SMA 100, ya que varios de los objetivos de World Leaks estaban utilizando estos dispositivos. Dichos equipos, ya considerados obsoletos, han sido vulnerados mediante la instalación de un rootkit personalizado llamado OVERSTEP.
Yutaka Sejiyama, investigador de Macnica, reveló que al menos 10 de las 46 organizaciones cuyas filtraciones fueron publicadas por World Leaks utilizaban SonicWall SMA 100. Aunque en el caso de Dell no se ha confirmado este vector, la coincidencia alimenta las sospechas.
¿Tan vulnerables son los entornos de prueba?
Aunque Dell insiste en que su entorno de demostración está completamente aislado y que los datos son en su mayoría ficticios, este tipo de incidentes pone en entredicho el nivel de seguridad aplicado a plataformas no productivas. En muchas organizaciones, los entornos de prueba o desarrollo son tratados con menos rigor en materia de ciberseguridad, lo que los convierte en un objetivo atractivo para actores maliciosos.
Además, el hecho de que se hayan identificado credenciales internas entre los archivos filtrados indica una posible relajación en los estándares de seguridad dentro del entorno comprometido.
