La compañía tecnológica enfrentó una interrupción significativa de sus operaciones, atribuida a un ataque del grupo de ransomware SafePay, mientras trabajadores y clientes permanecían en la incertidumbre.
Una de las principales empresas de distribución tecnológica del mundo, Ingram Micro, confirmó el pasado domingo haber sido víctima de un ciberataque de ransomware que afectó a sus sistemas internos y dejó fuera de línea su sitio web y sus plataformas de pedidos durante varios días.
La interrupción comenzó el pasado jueves 3 de julio, cuando clientes y colaboradores notaron que el sitio web de la compañía había dejado de funcionar y los sistemas internos estaban inaccesibles. En un principio, Ingram Micro guardó silencio sobre el origen del incidente, lo que generó especulación y preocupación entre sus usuarios.
Recién el sábado 5 de julio, la empresa entregó una escueta declaración en la que señalaba que “Ingram Micro identificó recientemente ransomware en algunos de sus sistemas internos. Inmediatamente después de conocer el problema, la empresa tomó medidas para proteger el entorno afectado, incluyendo la desconexión proactiva de ciertos sistemas y la implementación de otras medidas de mitigación. La empresa también inició una investigación con la ayuda de destacados expertos en ciberseguridad y notificó a las autoridades.”.
Según los reportes obtenidos por varios medios especializados de ciberseguridad, el ataque fue llevado a cabo por el grupo de ransomware SafePay, una operación cibercriminal relativamente nueva (activa desde noviembre de 2024) y responsable de más de 220 ataques conocidos, incluidos a empresas como Conduent y Microlise. El grupo suele infiltrarse a través de puertas VPN vulnerables o mal configuradas, utilizando credenciales robadas y ataques de fuerza bruta.
En el caso de Ingram Micro, fuentes cercanas al incidente afirmaron a los medios que el acceso inicial se produjo a través de la plataforma GlobalProtect VPN, desarrollada por Palo Alto Networks. Si bien esta empresa confirmó estar al tanto de las afirmaciones y en proceso de investigación, subrayó que “los actores de amenazas suelen intentar explotar configuraciones débiles o credenciales comprometidas”.
Durante los primeros días del incidente, trabajadores de Ingram Micro en distintas regiones recibieron instrucciones de trabajar desde sus casas y se les pidió no utilizar la VPN de la empresa. Sistemas clave como la plataforma de distribución basada en inteligencia artificial Xvantage y la herramienta de licencias Impulse también fueron desactivados.
La incertidumbre creció cuando, según informes internos, comenzaron a aparecer notas de rescate en los dispositivos de los empleados, lo que confirmaría la acción del ransomware. Sin embargo, no se ha precisado el alcance del ciberataque o qué tipo de datos pudieron haber sido comprometidos.
Con operaciones en más de 50 países y ventas que alcanzaron los 48 mil millones de dólares en 2024, el impacto del ataque a Ingram podría ser considerable. La compañía expresó sus disculpas: “Lamentamos profundamente las molestias ocasionadas a nuestros clientes, socios y colaboradores, y seguimos trabajando para restaurar nuestros sistemas lo antes posible”.
Este martes 7 de julio, la empresa entregó una actualización de su situación a través de un comunicado en su sitio web, indicando que habían progresos importantes en la restauración de sus negocios transaccionales.
“Los pedidos de suscripción, incluyendo renovaciones y modificaciones, están disponibles globalmente y se procesan de forma centralizada a través de la organización de soporte de Ingram Micro. Además, ahora podemos procesar pedidos recibidos por teléfono o correo electrónico desde el Reino Unido, Alemania, Francia, Italia, España, Brasil, India, China, Portugal y los países nórdicos”, señaló la compañía, pero advirtió que “aún existen algunas limitaciones con los pedidos de hardware y otras tecnologías, que se aclararán a medida que se realicen los pedidos.”