Indra confirma un ciberatac de ransomware: el grup The Gentlemen dona 236 hores abans de filtrar les dades robades
Eric Serrano Bustos
El 30 de juny de 2026, la firma d'intel·ligencia d'amenaces Hackmanac va alertar a les xarxes socials que el grup de ransomware The Gentlemen afirmava haver vulnerat els sistemes d'Indra Group, la tecnologica espanyola present en sectors estrategics com defensa, sistemes electorals, administracions publiques i transport. Indra va confirmar posteriorment a mitjans especialitzats que havia detectat la presencia de ransomware en una de les seves filials i que va activar de seguida el seu Equip de Resposta a Incidents de Seguretat Informatica (CSIRT). Segons la companyia, l'incident ha tingut un impacte minim, limitat a un entorn no critic, sense propagacio a la resta de societats del grup i sense afectar la prestacio de serveis. Els atacants, pero, han activat un compte enrere d'aproximadament 236 hores (uns 9-10 dies) abans de publicar o vendre les dades que asseguren haver sostret si no es compleixen les seves exigencies.
Que se sap del ciberatac a Indra?
Deteccio: Indra va detectar la presencia de ransomware en una de les seves filials i va activar de seguida el CSIRT per a l'analisi, verificacio i revisio de seguretat dels entorns potencialment afectats.
Abast segons la companyia: Indra ha descartat la propagacio del risc a la resta de societats del grup i ha confirmat que l'activitat i la prestacio de serveis s'han mantingut amb normalitat en tot moment.
Resposta tecnica: el CSIRT va desplegar mesures de contencio, erradicacio i recuperacio, i la companyia ha reforcat addicionalment els seus controls de seguretat.
Actor d'amenaca: el grup The Gentlemen, un col·lectiu de parla russa sorgit a mitjans de 2025 que ja s'ha convertit en un dels grups de ransomware mes actius a nivell mundial, amb mes de 250 victimes reivindicades segons WeLiveSecurity.
Compte enrere d'extorsio: The Gentlemen va incloure Indra a la seva pagina de filtracions a la dark web amb un termini de 236 hores per al pagament del rescat.
Estat de verificacio: Hackmanac qualifica l'estat de l'incident com "pendent de verificacio" quant a l'abast real de les dades compromeses.
Sectors potencialment exposats: Indra opera en sectors sensibles com defensa, sistemes electorals, administracions publiques i transport terrestre i aeri.
Per que Indra es un objectiu de primer nivell per a un grup de ransomware
Opera en sectors estrategics amb acces a informacio sensible de l'Estat.
The Gentlemen es un actor amb capacitat demostrada d'operar a escala. Amb mes de 250 victimes reivindicades en menys d'un any.
La segmentacio de sistemes es la variable que determina l'abast real del dany.
La incertesa sobre l'abast real es en si mateixa un risc reputacional.
Com operen grups com The Gentlemen: de la intrusio a l'extorsio amb termini
Acces inicial als sistemes de la victima.
Exfiltracio d'informacio sensible abans del xifratge.
Desplegament del ransomware i activacio del compte enrere.
Doble pressio: xifratge operatiu i amenaca de publicacio.
Lliçons clau per a empreses i directius
No pagar el rescat continua sent la recomanacio oficial de l'INCIBE.
La segmentacio entre filials i entorns es una defensa que pot marcar la diferencia.
Activar el CSIRT de forma immediata redueix la finestra d'exposicio.
La comunicacio transparent amb mitjans i clients gestiona el risc reputacional.
Les organitzacions en sectors estrategics son objectius prioritaris independentment de la seva mida.
La ciberseguretat com a prioritat estrategica
El ciberatac a Indra confirma que cap sector, per critic o sofisticat que sigui tecnicament, esta exempt del risc d'extorsio mitjancant ransomware. The Gentlemen ha demostrat en menys d'un any capacitat per comprometre mes de 250 organitzacions amb una metodologia repetible i disciplinada.
Apolo Cybersecurity: preparacio i resposta davant incidents de ransomware
A Apolo Cybersecurity ajudem organitzacions a preparar-se davant amenaces de ransomware com The Gentlemen: disseny i auditoria de plans de resposta a incidents, avaluacio de la segmentacio de xarxa entre filials i entorns critics, simulacres de contencio i recuperacio, i assessorament en la gestio de comunicacio durant un incident de seguretat actiu.