El grupo cibercriminal Hellcat ha anunciado públicamente una nueva ofensiva contra la infraestructura corporativa de Telefónica, la multinacional española de telecomunicaciones. A través de su portavoz identificado como «Rey», los atacantes afirman haber sustraído 106 gigabytes de información sensible y amenazan con su divulgación completa si no se cumplen sus demandas económicas.
Cronología y Metodología del Presunto Ciberataque
Según las declaraciones del ciberdelincuente, la intrusión tuvo lugar el 30 de mayo de 2025, manteniéndose activo en los sistemas internos durante más de 12 horas consecutivas antes de ser detectado por los equipos de seguridad. Esta ventana temporal habría permitido a los atacantes realizar una extracción masiva de datos corporativos críticos.
Como evidencia de sus afirmaciones, el grupo ha liberado un archivo comprimido de 2,6 GB que, una vez descomprimido, revela aproximadamente 5 gigabytes de documentación empresarial distribuida en más de 20,000 archivos individuales. Los ciberdelincuentes sostienen que el volumen total de información comprometida asciende a 385,311 archivos con un peso combinado de 106,3 GB.
Análisis de los Datos Comprometidos
El examen preliminar de las muestras divulgadas revela una diversidad preocupante en los tipos de información potencialmente expuesta:
La filtración incluye correspondencia interna entre empleados, tickets de soporte técnico, documentación comercial como órdenes de compra y facturas destinadas a clientes corporativos, registros de actividad de sistemas informáticos y, de manera particularmente grave, datos personales tanto de clientes como de trabajadores de la compañía.
El alcance geográfico del incidente trasciende las fronteras españolas, abarcando operaciones en Alemania, Hungría, Chile, Perú y Argentina, lo que sugiere una penetración profunda en la arquitectura tecnológica global de Telefónica.
Patrón de Ataques Recurrentes
Este incidente representa el segundo ataque documentado de Hellcat contra Telefónica en 2025. En enero, el mismo grupo ya había comprometido un servidor interno de desarrollo y gestión de incidencias basado en la plataforma Jira, estableciendo un patrón preocupante de vulnerabilidades sistemáticas.
Rey ha declarado que esta nueva intrusión también se ejecutó aprovechando una configuración deficiente en sistemas Jira, evidenciando problemas persistentes en la implementación de controles de seguridad en aplicaciones empresariales críticas.
Respuesta Corporativa y Verificación Independiente
La posición oficial de Telefónica niega categóricamente la ocurrencia de un nuevo ciberataque, caracterizando la situación como un intento de extorsión que reutiliza información obsoleta del incidente previo.
Una investigación independiente realizada por especialistas en ciberseguridad ha identificado inconsistencias temporales significativas en las afirmaciones de los atacantes. Los archivos más recientes incluidos en las muestras datan de 2021, contradiciendo las alegaciones sobre una intrusión reciente.
Distribución y Persistencia de la Amenaza
A pesar de las negativas corporativas, los ciberdelincuentes continúan intensificando su campaña de presión mediante la distribución de datos a través de múltiples plataformas. Inicialmente utilizaron PixelDrain, pero tras la eliminación legal del contenido, migraron a Kotizada, un servicio clasificado como potencialmente peligroso por navegadores principales.
La autenticidad parcial de la información se confirma mediante la verificación de direcciones de correo electrónico pertenecientes a empleados activos de Telefónica, validando al menos una porción de los datos comprometidos.
Este caso subraya la necesidad imperativa de implementar auditorías de seguridad regulares en aplicaciones corporativas, especialmente en sistemas de gestión de proyectos y procesamiento de solicitudes. Las organizaciones deben priorizar la configuración adecuada de plataformas como Jira, ya que su compromiso puede resultar en exposiciones masivas de información confidencial con consecuencias operativas y reputacionales devastadoras.
