La multinacional neerlandesa de pinturas y recubrimientos AkzoNobel ha confirmado un incidente de ciberseguridad que ha afectado a uno de sus centros operativos en Estados Unidos.
La compañía ha señalado que el ataque informático fue detectado y contenido por sus equipos de seguridad, limitando su alcance a una instalación concreta de la organización.
El incidente ha salido a la luz después de que el grupo de ransomware conocido como Anubis publicara información sobre una presunta filtración de datos relacionada con la empresa.
Según diversas fuentes del sector de la ciberseguridad, el grupo afirma haber obtenido una gran cantidad de documentos internos durante la intrusión.
AkzoNobel ha asegurado que la intrusión ya ha sido controlada y que el impacto ha sido limitado, aunque continúa evaluando las posibles consecuencias del ataque.
Una compañía global con presencia en más de 150 países
AkzoNobel es uno de los mayores fabricantes de pinturas y recubrimientos del mundo. La empresa cuenta con aproximadamente 35.000 empleados y desarrolla actividades industriales y comerciales en más de 150 países.
Sus ingresos anuales superan los 12.000 millones de dólares y su catálogo incluye algunas de las marcas más conocidas del sector, como Dulux, Sikkens, International e Interpon. Estas marcas se utilizan tanto en proyectos industriales como en aplicaciones domésticas, desde pintura decorativa hasta recubrimientos especializados para infraestructuras, automoción o industria naval.
La empresa opera centros de producción, investigación y distribución en múltiples regiones del mundo, lo que la convierte en un objetivo atractivo para actores del cibercrimen que buscan acceder a información estratégica o confidencial.
Un ataque vinculado al ransomware Anubis
La filtración relacionada con el incidente ha sido atribuida al grupo de ransomware Anubis, una organización criminal que opera bajo el modelo conocido como ransomware como servicio. Este sistema permite que desarrolladores de malware proporcionen herramientas a otros grupos afiliados que ejecutan los ataques.
El grupo asegura haber obtenido alrededor de 170 gigabytes de información procedente de los sistemas de la empresa, lo que equivaldría a cerca de 170.000 archivos. En su portal de filtraciones han publicado una pequeña muestra de los documentos supuestamente sustraídos, incluyendo capturas de pantalla y listados de archivos.
Entre los datos que se han difundido de forma parcial aparecen acuerdos con clientes, direcciones de correo electrónico, números de teléfono, correspondencia interna y documentos técnicos relacionados con materiales y procesos industriales.
También se mencionan archivos con documentación de pruebas de laboratorio y hojas de especificaciones internas, información que podría resultar sensible desde el punto de vista empresarial.
El funcionamiento del modelo ransomware como servicio
Anubis comenzó a operar a finales de 2024 y rápidamente adoptó el modelo de ransomware como servicio, una modalidad que ha proliferado en el ecosistema del cibercrimen en los últimos años.
En este sistema, los desarrolladores del malware crean la infraestructura tecnológica y el software malicioso, mientras que los afiliados se encargan de llevar a cabo las intrusiones en redes corporativas. A cambio, los operadores reciben una parte del dinero obtenido en los rescates.
En el caso de Anubis, el reparto de beneficios anunciado por el grupo asigna hasta el 80 del pago a los afiliados responsables de ejecutar el ataque.
En febrero de 2025 el grupo lanzó un programa de afiliación en el foro clandestino RAMP, uno de los espacios más utilizados por actores vinculados al cibercrimen para coordinar operaciones y reclutar colaboradores.
Nuevas herramientas para aumentar la presión sobre las víctimas
Las operaciones de ransomware han evolucionado considerablemente en los últimos años. Además de cifrar archivos para impedir el acceso a los sistemas, muchos grupos utilizan ahora estrategias de doble extorsión.
Este método consiste en robar previamente información confidencial de la empresa atacada. Si la organización se niega a pagar el rescate, los delincuentes amenazan con publicar los datos robados.
Anubis ha añadido recientemente otra herramienta a su arsenal: un borrador de datos diseñado para destruir los archivos de las víctimas. Esta herramienta elimina la información almacenada en los sistemas afectados, lo que dificulta su recuperación incluso si la empresa dispone de copias de seguridad.
Este tipo de estrategias incrementa la presión sobre las organizaciones atacadas y aumenta el impacto potencial de las intrusiones.
