Nuevo ciberataque de calado el que tuvo lugar el pasado viernes 9 de enero, cuando la empresa de distribución de combustibles líquidos, lubricantes y gas Copec detectó un acceso no autorizado en parte de su infraestructura tecnológica.
Este suceso es otro hecho más de los riesgos que cada vez más enfrentan las organizaciones del sector energético y cuya operación depende de sistemas digitales altamente interconectados, así como de la protección de grandes volúmenes de información sensible.
Este hecho se enmarca en un contexto global de aumento de ataques de ransomware dirigidos a empresas estratégicas.
En este caso, el grupo cibercriminal Anubis se atribuyó la autoría del ataque y afirmó haber comprometido servidores vinculados al grupo empresarial.
Según su versión, el ciberataque a Copec se originó a partir de una debilidad detectada en una VPN corporativa, que habría servido como punto de entrada inicial a los sistemas internos.
Origen y alcance del ciberataque a Copec
De acuerdo con la información difundida por los atacantes, durante la intrusión se habrían extraído cerca de seis terabytes de datos corporativos.
Aunque Anubis reconoció que no logró cifrar la totalidad de la red, sí aseguró haber tenido acceso suficiente para realizar una exfiltración masiva de información. Este tipo de ataques combina presión operativa y reputacional, ya que el valor del rescate se sustenta en la amenaza de publicación de los datos sustraídos.
Un elemento relevante del caso es que los propios atacantes reconocieron el alto nivel de madurez del esquema defensivo de la compañía.
Según su relato, Copec contaba con sistemas avanzados de detección y prevención de intrusiones, herramientas EDR de última generación y un equipo especializado dedicado a la monitorización constante de amenazas.
La rápida reacción del equipo de seguridad habría sido determinante para evitar el cifrado completo de la infraestructura tecnológica.
Información comprometida y nivel de sensibilidad
El análisis posterior realizado por el portal SuspectFile apuntó a que los datos extraídos incluyen información de carácter especialmente delicado.
Entre los archivos afectados se encontrarían documentos administrativos y laborales, reportes financieros internos, comunicaciones corporativas y datos relacionados con socios comerciales.
La filtración también alcanzaría información personal de empleados, como copias de documentos de identidad, certificados civiles y antecedentes académicos.
La gravedad del ciberataque aumenta al considerar la presencia de datos financieros, información bancaria y registros médicos vinculados a evaluaciones laborales y licencias de salud.
Asimismo, se habría accedido a contratos de trabajo con detalles salariales y a documentación sindical, lo que incrementa el impacto potencial desde el punto de vista legal y reputacional.
El tratamiento de este tipo de información exige estándares de protección especialmente elevados, dado su uso en ámbitos fiscales, administrativos y personales.
Proceso de negociación y presión externa
Tras la obtención de los datos, el grupo Anubis habría iniciado un proceso de negociación de rescate. Según su versión, la exigencia inicial fue de seis millones de dólares a cambio de no divulgar la información sustraída.
Posteriormente, siempre de acuerdo con el relato de los atacantes, la empresa habría realizado ofertas muy por debajo de esa cifra, que fueron rechazadas por el grupo criminal.
El estancamiento de las conversaciones derivó en una escalada de presión. Anubis afirmó haber contactado con socios comerciales, competidores y medios de comunicación chilenos, anunciando su intención de hacer públicos los archivos en su poder.
Esta estrategia busca aumentar el impacto reputacional y elevar el riesgo asociado a la negativa de pago, incrementando así el coste reputacional de la crisis.
Respuesta oficial y situación operativa
Ante la difusión del incidente, Copec emitió una declaración pública en la que confirmó la detección de un acceso no autorizado a un sistema de almacenamiento de uso interno.
La compañía señaló que los sistemas que gestionan datos personales de clientes y plataformas operativas no se vieron comprometidos, por lo que la atención a clientes y la operación cotidiana continuaron con normalidad.
La empresa indicó además que activó de forma inmediata sus protocolos de seguridad, bloqueó el acceso afectado y reforzó sus medidas de protección para contener el incidente y reducir la probabilidad de recurrencia.
En su comunicado, también confirmó la notificación a las autoridades competentes y el mantenimiento de un monitoreo permanente de sus sistemas. La continuidad operativa y la contención rápida fueron presentadas como ejes centrales de su gestión del incidente.
