El incidente, atribuido al grupo de ransomware Play, expuso datos sensibles de trabajadores y exempleados, entre los que se incluyen números de seguridad social, licencias de conducir, información bancaria y datos médicos, entre otros.
La reconocida cadena de donas Krispy Kreme ha confirmado que más de 161 mil personas en los Estados Unidos se vieron afectadas por un ciberataque ocurrido en noviembre de 2024, luego de concluir una investigación interna que duró varios meses. La compañía, con sede en el estado de Carolina del Norte, reveló que la mayoría de los perjudicados son trabajadores actuales, así como exempleados y sus familiares.
En cartas de notificación enviadas esta semana a las víctimas, la empresa indicó que los datos comprometidos incluyen información altamente sensible, como números de seguridad social, licencias de conducir, datos bancarios, credenciales de acceso, firmas digitales, datos biométricos, números de pasaporte, identificaciones militares y registros de salud e información de seguros médicos.
El ataque fue descubierto el 29 de noviembre de2024 y provocó interrupciones operativas en múltiples tiendas de Estados Unidos, especialmente en el sistema de pedidos en línea. En su momento, la empresa advirtió a la Comisión de Bolsa y Valores de ese país (SEC) que este incidente “probablemente tendría un impacto material en las operaciones comerciales hasta que concluyeran las tareas de recuperación”.
En su reporte sobre el primer trimestre fiscal de 2025, Krispy Kreme estimó pérdidas cercanas a los 5 millones de dólares a raíz del incidente. La mayor parte de esa cifra, unos 4,4 millones, se destinó a la contención del ataque y la contratación de especialistas en ciberseguridad. La empresa ha señalado que cuenta con seguros que podrían compensar parcialmente los costos asociados.
El grupo de cibercriminal de ransomware “Play” se adjudicó la autoría del ataque en diciembre del año pasado. Esta banda, que utiliza tácticas de doble extorsión, afirmó haber robado archivos confidenciales y, tras no llegar a un acuerdo con la empresa, publicó cientos de gigabytes de información robada en su sitio en la dark web el 21 de diciembre.
Play es considerado uno de los grupos de ransomware más activos y peligrosos desde su aparición en 2022. Según informes del FBI y agencias internacionales, han lanzado más de 900 ataques contra organizaciones a nivel mundial, incluyendo gobiernos locales, empresas tecnológicas y del sector salud.
Pese a la magnitud del ataque, Krispy Kreme aseguró que actualmente todas sus operaciones están plenamente restablecidas, y no se ha reportado un uso indebido directo de los datos robados. Aun así, la empresa recomienda a las personas afectadas monitorear su información financiera y utilizar los servicios de protección de identidad ofrecidos.