El grupo de ciberdelincuentes Everest ha publicado en foros de la dark web un comunicado en el que afirma haber comprometido sistemas de TI vinculados al fabricante estadounidense Chrysler, parte del grupo Stellantis. Según los atacantes, lograron exfiltrar alrededor de 1.088 GB de información, que describen como “la base completa” de la actividad operativa de varios años.
Presunta filtración masiva de datos de Chrysler y Stellantis
De acuerdo con el comunicado de Everest, el conjunto de datos abarcaría el periodo comprendido entre 2021 y 2025. El elemento más llamativo es un bloque de más de 105 GB de información procedente de Salesforce, una de las plataformas CRM (Customer Relationship Management) más extendidas en grandes corporaciones para gestionar ventas, concesionarios y relación con clientes.
Datos de Salesforce y clientes: valor crítico para el fraude
Los atacantes aseguran que esta base incluye registros detallados de clientes, concesionarios y equipos internos. Como prueba han difundido capturas de pantalla de estructuras de bases de datos, tablas internas, árboles de directorios y exportaciones de la propia CRM Salesforce.
En las imágenes se aprecian, según Everest, fichas de clientes con nombre completo, teléfonos, direcciones de correo electrónico, direcciones postales, datos de vehículos, participación en campañas de recall y registros de interacción con el servicio de atención. Estos logs recogen el estado de las llamadas (por ejemplo, “buzón de voz”, “número incorrecto”, “devolver llamada programada”), lo que ofrece a un atacante un contexto perfecto para campañas de phishing altamente dirigidas.
Algunas capturas muestran además diarios de actividad de agentes y operadores: intentos de contacto, coordinación de campañas de retirada de vehículos, citas de servicio y estados de los automóviles (como “vendido”, “reparado” o “propietario no localizado”). Este tipo de información contextualiza de forma muy precisa la relación entre clientes, concesionarios y fabricante, aumentando de forma notable la eficacia de posibles ataques de ingeniería social por correo, teléfono o SMS.
Información de RR. HH. e infraestructura interna de Stellantis
Otra parte del material publicado apunta a la posible exposición de datos de recursos humanos (HR). En las capturas se observan listados de empleados con estados del tipo “activo” o “despedido permanentemente”, marcas de tiempo de modificaciones y direcciones de correo corporativo asociadas a dominios de Stellantis, grupo que engloba marcas como Jeep, Chrysler, Dodge y FIAT.
Asimismo, se muestran estructuras de directorios relacionadas con redes de concesionarios, marcas de vehículos, campañas de recall, rutas FTP y utilidades internas. Este nivel de detalle sugiere, si se confirmara, que los atacantes no se limitaron a la capa CRM, sino que habrían accedido también a segmentos de la infraestructura interna y sistemas de intercambio de archivos, con impacto potencial en la cadena de suministro digital de la compañía.
Estrategia de doble extorsión del grupo Everest
Everest afirma estar dispuesto a publicar la totalidad de los datos exfiltrados si la empresa no establece contacto con ellos. Además, anuncian la posible divulgación de grabaciones de llamadas al servicio de atención al cliente, lo que incrementaría todavía más el riesgo reputacional y de cumplimiento normativo (por ejemplo, en materia de privacidad y protección de datos personales).
Esta táctica encaja con el modelo de “doble extorsión”, hoy dominante en el ecosistema de ransomware: los atacantes no solo cifran o roban la información, sino que presionan a la víctima con la amenaza de publicación. Informes como el Cost of a Data Breach de IBM y el Verizon Data Breach Investigations Report señalan que la filtración o venta de datos forma parte ya de la mayoría de los grandes incidentes de seguridad a nivel corporativo.
Riesgos potenciales para clientes, concesionarios y empleados
1. Clientes y propietarios de vehículos. La combinación de datos personales de contacto, información de los vehículos y el historial de interacciones facilita ataques de phishing, vishing (fraude telefónico) y otros fraudes de suplantación. Un ciberdelincuente puede hacerse pasar por un concesionario oficial o por el servicio técnico de Chrysler, citando datos reales del coche y de visitas previas al taller, lo que aumenta significativamente la credibilidad ante la víctima.
2. Red de concesionarios y socios. Los datos sobre concesionarios, rutas FTP y utilidades internas pueden utilizarse para comprometer infraestructuras de terceros: desde la distribución de malware hasta el robo de credenciales de empleados de concesionarios. Este escenario amplifica el efecto de “reacción en cadena” típico de los ataques a la cadena de suministro (supply chain).
3. Empleados actuales y antiguos. La exposición de información de RR. HH. favorece ataques dirigidos contra el personal, como intentos de Business Email Compromise (BEC), suplantaciones internas o ataques de fuerza bruta y relleno de credenciales (password stuffing) basados en datos personales.
Hasta la fecha, Chrysler y Stellantis no han confirmado públicamente la brecha de seguridad ni han emitido declaraciones sobre el comunicado del grupo Everest. En ausencia de resultados oficiales de una investigación forense, la información debe considerarse como una afirmación no verificada, pero potencialmente grave por su alcance y naturaleza.
Lecciones de ciberseguridad y medidas recomendadas para el sector automotriz
Los estudios de IBM estiman el coste medio global de una brecha de datos en varios millones de dólares, sin contar el daño reputacional y regulatorio. En un sector cada vez más dependiente de servicios conectados, telemática y CRM en la nube, resultan clave varias líneas de defensa:
Refuerzo de la seguridad en CRM y nubes como Salesforce. Implementar autenticación multifactor (MFA) obligatoria, aplicar el principio de mínimo privilegio, revisar periódicamente roles y permisos, y monitorizar logs de acceso y actividad anómala son prácticas esenciales para reducir el riesgo de acceso no autorizado.
Segmentación de red y control estricto de accesos a FTP y utilidades internas. Limitar la exposición directa a Internet, exigir VPN con autenticación fuerte, desplegar soluciones de EDR/XDR, y realizar pruebas de penetración periódicas ayuda a contener movimientos laterales en caso de compromiso.
Protección de datos personales de clientes y empleados. Cifrar la información sensible, aplicar técnicas de mascarado y pseudonimización en entornos de pruebas, desplegar soluciones DLP (Data Loss Prevention) y mantener programas continuos de formación en ciberseguridad para todo el personal son medidas que reducen de forma tangible el impacto de una filtración.
Plan de respuesta a incidentes y simulacros regulares. Disponer de un Incident Response Plan probado, con roles claros y procedimientos de notificación, es determinante para acortar el tiempo de detección y respuesta, un factor directamente vinculado al coste final de un incidente.
El incremento de ciberataques dirigidos al sector de la automoción y a sus ecosistemas de concesionarios y proveedores es una tendencia consolidada. Ante casos como el comunicado del grupo Everest, tanto las organizaciones como los usuarios finales deberían revisar sus prácticas de seguridad: fortalecer contraseñas y MFA, desconfiar de comunicaciones no solicitadas que se presenten como “servicio oficial” y exigir a las empresas mayores garantías de protección de datos. Invertir hoy en ciberseguridad, procesos y formación es la forma más eficaz de reducir el impacto de la próxima brecha.
