RansomHub libera 2.2 TB de datos confidenciales del Grupo Aeroportuario OMA, comprometiendo la seguridad de 13 aeropuertos en México. La filtración incluye datos financieros y contratos, lo cual podría ser aprovechado por competidores y afectar la estabilidad de la empresa.

El grupo de ransomware RansomHub ha cumplido su amenaza al liberar 2.2 de los 3 terabytes de datos robados al Grupo Aeroportuario del Centro Norte (OMA), que gestiona 13 aeropuertos en México. Esta liberación masiva de información se produce después de que la compañía, al parecer, no cumpliera con el pago de rescate, exponiendo datos altamente sensibles que abarcan múltiples áreas críticas de la operación de OMA.

Esta filtración no solo representa un grave riesgo operativo, sino que también plantea serias implicaciones legales y reputacionales para OMA, un actor fundamental en el sector aeroportuario de México.

¿Qué datos filtró RansomHub?

Un análisis preliminar de los archivos revela que la información liberada es extremadamente diversa y crítica, abarcando desde auditorías hasta datos financieros y contratos clave.

1. Auditorías Internas: Documentos que incluyen auditorías de aeropuertos como Monterrey, Ciudad Juárez y Mazatlán, mostrando vulnerabilidades y posibles debilidades en los controles internos de OMA. La filtración de estas auditorías expone las políticas de transparencia y cumplimiento de la empresa.

2. Información Financiera y Bancaria: Hojas de cálculo y estados financieros, con detalles sobre ingresos y costos específicos, ofrecen una vista clara de la situación económica de OMA. Esta información podría ser utilizada por competidores para evaluar su estabilidad financiera, lo cual afectaría la posición de OMA en el mercado.

3. Contratos y Recursos Humanos: Se liberaron documentos con contratos de servicios, datos de personal y acuerdos de seguridad privada, incluyendo el de Provetecnia. Esto expone tanto a los empleados de OMA como a sus proveedores, abriéndolos a posibles riesgos legales.

4. Documentación Legal y Juicios: La información incluye juicios laborales y contratos legales que detallan conflictos y obligaciones contractuales, especialmente en el aeropuerto de Torreón. La exposición de estos documentos podría tener un impacto negativo en la imagen de la empresa y abrir puertas a nuevos litigios.

5. Controles SOX: Documentos relacionados con auditorías bajo el marco de la Ley Sarbanes-Oxley muestran los controles internos de OMA diseñados para proteger a los inversionistas. Sin embargo, esta exposición podría disminuir la confianza de los socios y dejar vulnerables áreas críticas en el sistema financiero.

6. Contratos de Seguridad y Mantenimiento: La información filtrada también incluye contratos de mantenimiento y control de calidad, exponiendo detalles sobre la infraestructura de seguridad en los aeropuertos, lo cual podría ser aprovechado por actores malintencionados para identificar puntos débiles.

7. Información Bancaria y Usuarios: Datos sobre cuentas y transacciones bancarias, mencionando usuarios como “HSBC” y transferencias de auditoría, exponen a OMA a un grave riesgo financiero y de ciberseguridad.

8. Aspectos de Seguridad y Privacidad: Se ha encontrado información confidencial, como datos biométricos y logs de acceso, exponiendo los sistemas informáticos de OMA. Esto convierte la filtración en una vulneración significativa de la privacidad de sus empleados y de la seguridad de sus operaciones.

¿Por qué OMA decidió no pagar el rescate?

Especialistas en ciberseguridad suelen recomendar que no se pague rescate a los grupos de ransomware. Según Víctor Ruiz, fundador de SILIKN, al pagar, las víctimas se vuelven más susceptibles a futuros ataques. Los ciberdelincuentes pueden incluso vender el acceso o la información robada a otros atacantes, generando un efecto de “bola de nieve” en el riesgo.

La decisión de no pagar recae en los ejecutivos y en el consejo administrativo, quienes deben evaluar si es menos riesgoso enfrentar la filtración que realizar un pago. No obstante, la recomendación general sigue siendo no ceder ante las demandas.

Supuestos vínculos con el Narcotráfico

En sus primeras amenazas, RansomHub alegó que entre los datos robados había evidencia de nexos entre empleados de OMA y cárteles de narcotráfico. Sin embargo, hasta ahora no se ha encontrado evidencia que respalde esta afirmación, lo cual deja en duda la veracidad de estas declaraciones.

Implicaciones para OMA y el sector Aeroportuario

La filtración de datos críticos compromete la seguridad de los aeropuertos operados por OMA y podría impactar la confianza de los pasajeros y socios. Este incidente subraya la necesidad de fortalecer la ciberseguridad en el sector aeroportuario y adoptar políticas proactivas para proteger la información sensible.