El ransomware Gentlemen ataca a Soja de Portugal y filtra 491 GB

El ransomware Gentlemen ataca a Soja de Portugal y filtra 491 GB

El grupo de ransomware Gentlemen se ha atribuido la responsabilidad de un ataque contra Soja de Portugal, una de las principales empresas agrícolas de Portugal, lo que ha provocado la exposición de 491 GB de datos corporativos confidenciales. Según información publicada por DeXpose, los datos comprometidos incluyen registros del sistema SAP, información de empleados y documentos financieros. El artículo original lleva la fecha del 4 de junio de 2026, lo que parece ser un error de publicación o una fecha futura; los lectores deben tener en cuenta que la precisión factual de esa fecha concreta no puede confirmarse de forma independiente, aunque múltiples fuentes de inteligencia de amenazas han corroborado la violación en sí como un hecho reciente.

Este incidente se suma a una larga lista de ataques atribuidos a The Gentlemen, una operación de ransomware como servicio que, según los investigadores, surgió públicamente en la segunda mitad de 2025 y desde entonces ha reivindicado cientos de víctimas en múltiples industrias y países.

Quiénes son The Gentlemen y por qué son efectivos

El grupo The Gentlemen opera como una plataforma de ransomware como servicio (RaaS), lo que significa que los desarrolladores principales licencian su malware e infraestructura a atacantes afiliados que llevan a cabo campañas individuales. Este modelo reduce las barreras de entrada para los ciberdelincuentes y dificulta la atribución para los investigadores.

Lo que distingue a este grupo de operaciones de ransomware más antiguas es su uso sistemático de la doble extorsión: cifran los datos de la víctima y los exfiltran antes de activar el cifrado. Esto implica que incluso las organizaciones con procedimientos de copia de seguridad sólidos se enfrentan a una segunda amenaza: la publicación o venta pública de los datos robados si no se paga un rescate. En el caso de Soja de Portugal, el grupo parece haber cumplido esa amenaza, con cerca de 491 GB publicados o accesibles a través de su infraestructura de filtraciones.

Los investigadores han observado que el conjunto de herramientas de The Gentlemen ataca Windows, Linux, hipervisores ESXi y dispositivos NAS, lo que les permite irrumpir en una amplia gama de entornos empresariales, desde redes de oficina tradicionales hasta centros de datos virtualizados.

Qué datos se expusieron y por qué es importante

Las categorías de datos implicadas en la violación de Soja de Portugal merecen un análisis detenido. Los datos de SAP son especialmente significativos: SAP es una plataforma de planificación de recursos empresariales (ERP) utilizada por grandes organizaciones para gestionar desde cadenas de suministro y compras hasta nóminas y contabilidad. Una violación de los datos de SAP puede exponer contratos con proveedores, estructuras de precios, previsiones financieras internas y detalles sobre la remuneración de los empleados, todo en un mismo lugar.

Los registros de empleados, otra categoría confirmada en esta violación, suelen incluir nombres, números de identificación, datos de contacto y, a veces, información bancaria para la nómina. Cuando estos datos se filtran, generan riesgos posteriores para los trabajadores individuales, no solo para la propia organización.

Este patrón de ataque a los sistemas empresariales no es exclusivo de este incidente. Casos similares, como el ataque del ransomware Play a Ampex Data Systems, han demostrado cómo los atacantes dan prioridad a los almacenes de datos de alto valor, incluidos los datos de identificación personal de los empleados y los registros financieros, precisamente porque combinan la influencia para pedir un rescate con un valor de reventa en los mercados criminales.

Las empresas agrícolas y manufactureras son cada vez más atractivas como objetivo porque a menudo utilizan una combinación de tecnología operativa heredada y software empresarial moderno, lo que crea superficies de ataque más amplias y menos uniformes que las organizaciones que han construido su infraestructura más recientemente.

Por qué la seguridad perimetral por sí sola no es suficiente

Una de las lecciones más importantes de incidentes como este es que las defensas perimetrales tradicionales —cortafuegos, software antivirus y monitorización de red— son necesarias pero insuficientes. Se sabe que el grupo The Gentlemen y operaciones similares obtienen acceso inicial mediante campañas de phishing, puertos de protocolo de escritorio remoto (RDP) expuestos y credenciales comprometidas. Una vez dentro de la red, se mueven lateralmente, a menudo durante días o semanas, antes de desplegar el ransomware.

Por eso los profesionales de la seguridad abogan cada vez más por un enfoque de seguridad organizativa por capas. Algunas de las capas más eficaces son:

• Acceso a la red con confianza cero: En lugar de confiar en cualquier dispositivo o usuario dentro del perímetro de la red, la arquitectura de confianza cero exige una verificación continua de la identidad y el estado del dispositivo antes de conceder acceso a cualquier recurso.
• Acceso remoto cifrado: Las VPN y herramientas similares protegen los datos en tránsito y reducen el riesgo de interceptación de credenciales en conexiones no protegidas, especialmente para los trabajadores remotos e híbridos que acceden a sistemas sensibles.
• Segmentación de la red: Mantener sistemas como SAP aislados de las estaciones de trabajo de los empleados en general limita la capacidad del atacante para moverse lateralmente tras conseguir un punto de apoyo inicial.
• Detección y respuesta en endpoints (EDR): A diferencia del antivirus tradicional, las herramientas EDR monitorizan las anomalías de comportamiento que pueden indicar que un atacante está operando dentro de la red, incluso antes de que se despliegue el malware.

El ataque de ransomware a ChipSoft en los Países Bajos ilustró un patrón de fallo similar: los atacantes pudieron acceder y exfiltrar grandes volúmenes de datos porque los sistemas internos no estaban suficientemente segmentados y los controles de acceso no eran lo bastante detallados para contener la violación una vez logrado el acceso inicial.

Qué significa esto para usted

Independientemente de que su organización sea una multinacional o una empresa regional como Soja de Portugal, el cálculo del riesgo ha cambiado. Los grupos de ransomware con modelos RaaS pueden desplegar ataques a escala y dirigirse a cualquier sector donde existan datos valiosos. Las empresas agrícolas, las compañías logísticas y los fabricantes quizá no se hayan considerado históricamente objetivos de alto valor, pero los datos que almacenan en los sistemas ERP y RRHH cuentan una historia diferente.

Estas son algunas medidas concretas que las organizaciones pueden tomar para reducir su exposición:

• Auditar los puntos de acceso remoto: Identifique todos los servicios expuestos a Internet, especialmente las puertas de enlace RDP y VPN, y asegúrese de que estén protegidos con autenticación multifactor y credenciales actualizadas periódicamente.
• Implementar el principio de privilegio mínimo: Los empleados y los sistemas solo deben tener acceso a los datos y aplicaciones que realmente necesiten. Los derechos de acceso amplios aceleran el movimiento lateral tras una violación.
• Probar las copias de seguridad: Las copias de seguridad sin conexión o inmutables son una defensa fundamental contra el ransomware basado en cifrado, pero solo si se prueban regularmente y se confirma que se pueden restaurar.
• Clasificación de datos y cifrado en reposo: Saber qué datos son los más sensibles y asegurarse de que estén cifrados incluso cuando se almacenan internamente limita el valor de los archivos exfiltrados para los atacantes.

La violación de Soja de Portugal es un caso de estudio útil no por ser excepcional, sino porque es cada vez más habitual. A medida que los ataques de ransomware siguen exponiendo grandes volúmenes de datos corporativos en todos los sectores, las organizaciones que mejor se desenvuelven son aquellas que tratan la seguridad como un proceso continuo y no como una inversión puntual. Revisar ahora los controles de acceso, la arquitectura de red y el plan de respuesta ante incidentes es significativamente menos costoso que gestionar una filtración de 491 GB después de los hechos.