Indra respondió con rapidez, activó su equipo de respuesta a incidentes (CSIRT), contuvo el incidente en una filial y emitió un comunicado tranquilizador, donde hablaban de un impacto mínimo, con operaciones sin afectación y la situación bajo control. Sin embargo, hechos como este, ponen de manifiesto la necesidad de las compañías de analizar cualquier posible fisura en sus sistemas, para estar prevenidos ante posibles ataques.
The Gentlemen surgió a mediados de 2025 como una ramificación del programa Qilin, con apenas 20 miembros. En enero de 2026 ejecutó 48 ataques documentados. En febrero, ya eran un equipo de 91 personas. Prácticamente el doble en un mes. Su modelo es el del ransomware como servicio. De esta forma, los desarrolladores proveen la infraestructura, los afiliados ejecutan los ataques y todos se reparten el beneficio. Es una franquicia del crimen organizado, y escala como tal, lo que demuestra el avance y la sofisticación de los ciberatacantes.
España cerró 2025 como el segundo país del mundo más afectado por ransomware. La frecuencia de siniestros cibernéticos declarados creció un 143% ese año. No son datos que hablen de pymes sin recursos, sino de un ecosistema en el que grupos criminales con capacidad operativa creciente van un paso por delante de grandes organizaciones que, en muchos casos, siguen tratando la ciberseguridad como un gasto a optimizar y no como una función crítica de negocio.
Casos como el de Indra ponen de manifiesto las implicaciones que un incidente cibernético puede tener cuando afecta a empresas que trabajan con infraestructuras críticas, gobiernos o entidades como la OTAN. En un escenario como este, el impacto potencial trasciende lo reputacional, llegando a implicar sectores críticos como seguridad nacional, responsabilidad contractual y, bajo la directiva NIS2, exposición legal directa para la alta dirección. Esta norma establece un cambio fundamental, demostrando que la gestión del riesgo cibernético ya no es solo competencia del área tecnológica, sino responsabilidad explícita del consejo de administración.
Según nuestro Informe de Siniestros Cibernéticos de 2025, el tiempo medio de permanencia de los atacantes dentro de los sistemas de una empresa antes de activar el cifrado fue de 6 días y medio, con un máximo de 22 días. Durante ese tiempo no están esperando: se mueven lateralmente por la red, elevan privilegios, identifican los activos más valiosos y filtran información antes de que nadie haya detectado nada. Así, en muchos casos, cuando el incidente se hace visible, ya llevan semanas dentro.
El mismo informe revela que el 40% de los incidentes de ransomware del año pasado tuvieron su origen en credenciales comprometidas, frecuentemente obtenidas mediante phishing, y que el 20% de los casos podrían haberse evitado si las organizaciones afectadas hubieran actuado sobre las vulnerabilidades que sus propias herramientas de análisis ya habían identificado. El desafío no está en la falta de visibilidad, sino en cerrar la brecha entre detección y acción.
Las empresas grandes cuentan con más recursos que nunca para detectar puntos débiles, pese a ello, siguen sin cerrarse con la velocidad que requiere el entorno actual. La superficie de ataque de una corporación moderna es enorme, dispersa y en constante expansión, pudiendo afectar a filiales, cadenas de suministro, integraciones con terceros y sistemas heredados que conviven con infraestructura cloud. Cada uno de esos nodos es un posible vector de entrada. Y los atacantes pueden intentar penetrarlos de manera indefinida.
El incidente de Indra terminará, previsiblemente, sin consecuencias graves gracias a una respuesta eficaz. Sin embargo, este hecho nos deja una gran lección para todas las grandes corporaciones. La pregunta que toda empresa debe hacerse no es cómo responderían si les pasara lo mismo, sino cuánto tiempo pueden llevar los atacantes dentro de la corporación y si se podría haber detectado antes. Porque en ciberseguridad, cada día de ventaja cuenta.
