El Grupo Aeroportuario del Centro Norte (OMA), operador de 13 aeropuertos en México, fue víctima de un ciberataque masivo que ha puesto en jaque su infraestructura tecnológica. Aunque el incidente fue admitido el pasado 18 de octubre, hoy el grupo de ransomware RansomHub se adjudicó el ataque y liberó diversos documentos para demostrar la gravedad del la filtración.
De acuerdo con una publicación en su sitio de la deep web, RansomHub logró la exfiltración de más de 3 terabytes de datos confidenciales. Aunque OMA había admitido públicamente el incidente, asegurando que sus operaciones no se habían visto gravemente afectadas, la situación escaló debido a la amenaza directa de los atacantes.
¿Qué información de OMA fue robada por RansomHub?
Según lo publicado,el grupo obtuvo acceso completo a la infraestructura de TI de OMA, encriptando datos críticos y exfiltrando una gran cantidad de información sensible que incluye informes financieros, documentos de ventas, contabilidad, e información de accionistas.
Asimismo, los ciberdelincuentes no se limitaron a la información corporativa, sino que también comprometieron datos personales de empleados, inversionistas y clientes.
Entre los archivos filtrados se encuentran direcciones, contactos, escaneos de pasaportes y correspondencia interna confidencial. Incluso se mencionan datos altamente sensibles como contraseñas, credenciales de acceso y bases de datos SQL que contienen información crítica para las operaciones de la compañía.
La importancia del Grupo Aeroportuario Centro Norte
OMA administra 13 aeropuertos en México, entre los cuales se encuentran los de Monterrey, Acapulco, Mazatlán, Zihuatanejo, Chihuahua, Ciudad Juárez, Culiacán, Durango, San Luis Potosí, Tampico, Torreón, Zacatecas y Reynosa. Estos aeropuertos son clave para el tráfico aéreo en la región centro-norte del país y desempeñan un papel fundamental en la conectividad nacional e internacional.
Según un comunicado emitido previamente, la empresa ha estado operando con sistemas alternativos y de respaldo, mientras colabora con expertos en ciberseguridad para realizar una investigación forense del ataque y sus implicaciones.
El ultimátum a OMA para pagar por el rescate de sus datos
Los ciberdelincuentes han dado a OMA una fecha límite para pagar un rescate: el 2 de noviembre de 2024. De no cumplirse con esta demanda, RansomHub amenazó con liberar públicamente todos los datos robados, comenzando con notificar a los competidores e inversionistas de OMA. La empresa financiera BlackRock sería la primera en ser contactada, según la declaración de los atacantes.
En su publicación, RansomHub reveló que ya se han compartido fragmentos de los datos robados como muestra de la seriedad de sus amenazas; sin embargo, la mayoría de la información sigue sin divulgarse, lo que les permite mantener la presión sobre OMA en esta extorsión.
El contenido exfiltrado no solo incluye información financiera y comercial, sino también evaluaciones y acuerdos confidenciales entre la empresa y sus clientes.
De acuerdo con las publicaciones de RansomHub, la información robada también involucra comunicaciones con terceros, como firmas de ciberseguridad de renombre, entre ellas Hold Security y HSTechnology. Esto sugiere que OMA ya había estado en contacto con expertos en ciberseguridad antes del ataque, pero que, a pesar de las precauciones, los hackers lograron infiltrarse en su sistema.
Acusan a OMA de trabajar con cárteles del narcotráfico
Tras la divulgación del incidente de ciberseguridad, Publimetro México contactó al instructor certificado en seguridad informática y fundador de SILIKN, Víctor Ruiz, quien señaló que entre las principales preocupaciones se encuentran ciertas acusaciones de RansomHub sobre OMA.
“Un aspecto especialmente preocupante es que el grupo afirma tener pruebas de que algunos empleados de OMA colaboran con cárteles criminales, información que también amenazan con hacer pública”
— Víctor Ruiz, especialista en ciberseguridad
“Esperamos que OMA logre implementar las medidas de mitigación mencionadas para evitar que RansomHub divulgue su información. En esta fase, podría ser clave contar con la asesoría de especialistas en gestión de crisis, ya que, incluso si optaran por pagar el rescate —lo cual no es recomendable—, existe la posibilidad de que la información, particularmente la que supuestamente los vincula con células criminales, sea expuesta de todas formas”, añadió Ruiz.
Por su parte, Nicolás Azuara, analista en ciberseguridad también expresó a Publimetro México su preocupación por cómo el grupo de hackers relacionó a OMA con un cártel y añadió que RansomHub tiene 434 de víctimas de conocidas, de las cuales cuatro se encuentran en México.
“Sabemos que normalmente RansomHub no incluye una cantidad a pagar en su nota de rescate, sino que proporciona a la víctima datos de acceso a un chat en la red Tor para la negociación. La víctima no solo enfrenta el cifrado de sus sistemas, sino también el riesgo de una filtración masiva, en este caso de 3 TB”
— Nicolás Azuara, analista en ciberseguridad
Los orígenes del grupo de ransomware RansomHub
RansomHub emergió tras la intervención del FBI que desmanteló las operaciones de ransomware de ALPHV el 19 de diciembre de 2023. Se especula que RansomHub es el sucesor directo de ALPHV, funcionando con el respaldo de antiguos afiliados de dicho grupo.
Su primera víctima conocida fue la empresa brasileña YKP, y para el 22 de agosto de 2024, RansomHub ya había atacado a 190 organizaciones a nivel mundial. Durante los meses de julio y agosto de 2024, encabezó la lista de grupos con más víctimas, lo que señala una rápida escalada en su actividad, probablemente impulsada por la creciente participación de sus afiliados.
El grupo también aprovechó la disrupción de LockBit en febrero de 2024, cuando las autoridades incautaron varios de sus sitios web y herramientas de descifrado, lo que generó incertidumbre entre sus afiliados. Muchos de estos, que dependían de los cifradores de LockBit, migraron hacia nuevos actores en el ecosistema de Ransomware-as-a-Service (RaaS), como RansomHub.
RansomHub opera bajo un modelo de RaaS, donde los afiliados deben respetar los acuerdos establecidos, y quienes incumplen son expulsados del programa. Los afiliados reciben el 90% de los pagos de rescate, mientras que el grupo central se queda con el 10%. Este esquema ha sido clave para su expansión, atrayendo a nuevos participantes y consolidando su posición en el mundo del ransomware.
