Como “Rey” fue identificado el atacante que asegura haber accedido a información interna de la compañía española durante 12 horas sin ser detectado. Telefónica no ha reconocido el incidente, pese a que el actor de amenaza indicó haber filtrado unos 5 GB como prueba de la brecha.
Un actor de amenaza aseguró haber robado más de 100 GB de información confidencial de la empresa española Telefónica el pasado 30 de mayo. El atacante, conocido como «Rey», miembro del grupo de ransomware HellCat, afirma que logró exfiltrar 106,3 GB de archivos sin ser detectado durante 12 horas debido a una mala configuración en un servidor Jira.
Según declaraciones de “Rey” al medio especializado de ciberseguridad bleepingcomputer, los archivos robados incluyen comunicaciones internas como correos electrónicos y tickets, órdenes de compra, registros internos, información de empleados y datos de clientes. Para respaldar sus afirmaciones, “Rey” filtró un archivo de 2,6 GB que, al descomprimirse, alcanza los 5 GB y contiene más de 20 mil documentos.
“Desde que Telefónica ha estado negando una reciente filtración de 106 GB que contiene datos de su infraestructura interna, estoy publicando 5 GB como prueba. Pronto publicaré el árbol completo de archivos, y si Telefónica no coopera, liberaré todo el archivo en las próximas semanas ;)”, amenazó “Rey” a través de una cuenta en X que posteriormente fue suspendida.
No es la primera vez que HellCat apunta a la multinacional española. En enero, la misma agrupación se atribuyó otro ataque a través de un servidor interno de desarrollo y tickets basado en Jira. El nuevo incidente, según Rey, habría sido posible precisamente por fallas de seguridad persistentes tras ese evento.
Entre los archivos compartidos por el atacante se encuentran facturas dirigidas a clientes empresariales en países como Hungría, Alemania, España, Perú y Chile. También se detectaron direcciones de correo electrónico pertenecientes a empleados en España, Alemania, Argentina, Perú y nuestro país. Sin embargo, la mayoría de los archivos datan de 2021, lo que plantea dudas sobre si el material corresponde a una brecha reciente o de información reutilizada.
Telefónica no hizo un comentario oficial sobre el supuesto incidente y la única reacción fue entregada por un funcionario de O2 -Telefónica en Reino Unido y Alemania-, quien desestimó la autenticidad del incidente y señaló que se trata de un intento de extorsión basado en datos antiguos.
El archivo fue compartido inicialmente a través del servicio PixelDrain, pero fue retirado por motivos legales. Posteriormente, Rey utilizó otra plataforma llamada Kotizada, que ha sido marcada por Google Chrome como un sitio potencialmente peligroso.
HellCat, el grupo detrás de esta amenaza tiene historial en ataques dirigidos a servidores Jira. Entre sus víctimas anteriores figuran compañías de renombre como Jaguar Land Rover, Orange Group, Schneider Electric, Affinitiv y la suiza Ascom.