SafePay: El ransomware que está golpeando fuerte a empresas como Ingram Micro

85

SafePay es un grupo criminal que busca ganancias económicas rápidas mediante ataques sofisticados.

Desde su aparición en noviembre de 2024, SafePay se ha convertido en uno de los grupos de ransomware más activos y peligrosos en 2025, con más de 220 víctimas confirmadas, incluyendo grandes empresas como Ingram Micro. Este grupo criminal cibernético se especializa en atacar redes corporativas aprovechando vulnerabilidades en plataformas VPN y robando credenciales mediante ataques de fuerza bruta o compra en mercados oscuros.

Principales ataques de SafePay y sus resultados

• Microlise (octubre-noviembre 2024): Uno de los primeros ataques de alto perfil. SafePay robó 1.2 terabytes de datos y exigió un rescate rápido. Este ataque puso al grupo en el radar internacional.
• Laboratorio de patología en Carolina del Norte (enero 2025): Se filtraron datos sensibles de más de 200,000 pacientes, incluyendo información personal y médica, causando un grave impacto en la privacidad y operación del laboratorio.
• Olas de ataques en EE.UU. y Alemania (2025): SafePay lanzó ataques masivos, con más de 10 ataques diarios en algunos casos, afectando sectores como salud, educación y servicios profesionales. En Alemania, SafePay representó el 24% de los ataques de ransomware reportados en el primer trimestre de 2025, la cifra más alta para un solo grupo en cualquier país.

¿Qué pasó con Ingram Micro?

El 03 de julio de 2025, Ingram Micro, uno de los gigantes globales en distribución tecnológica, sufrió un ataque de SafePay que causó una interrupción significativa en sus operaciones. Los atacantes accedieron a través de la plataforma VPN GlobalProtect, cifraron datos críticos y amenazaron con filtrar información confidencial si no se pagaba el rescate.

¿Qué podría pasar ahora?

Basándonos en los patrones de SafePay, es probable que:

• Ingram Micro enfrente presión para pagar un rescate debido a la doble extorsión: cifran datos y amenazan con publicar información robada.
• La empresa podría experimentar interrupciones prolongadas en sus servicios y operaciones globales.
• Se espera que SafePay continúe explotando vulnerabilidades en VPN y credenciales robadas para atacar más empresas, especialmente en sectores críticos.

¿Quién es SafePay y cómo actúa?

SafePay es un grupo criminal que busca ganancias económicas rápidas mediante ataques sofisticados. Su modus operandi incluye:

• Acceso inicial por VPN y RDP usando credenciales robadas o vulnerabilidades.
• Rápida propagación y cifrado de datos en menos de 24 horas.
• Exfiltración de datos sensibles para extorsionar a las víctimas.
• Eliminación de copias de seguridad para dificultar la recuperación sin pagar.

SafePay no ofrece ransomware como servicio (RaaS), sino que opera de forma directa, lo que indica un equipo experimentado posiblemente vinculado a grupos como LockBit o ALPHV.

¿Por qué debes conocer SafePay?

Este grupo representa la nueva generación de ransomware que está creciendo en 2025, aprovechando la fragmentación del ecosistema criminal tras la caída de grandes bandas. Su impacto afecta a empresas, gobiernos y sectores clave, poniendo en riesgo datos personales y la continuidad de servicios que usamos a diario.

SafePay y el ataque a Ingram Micro son un llamado de alerta para que las empresas refuercen su seguridad en VPN, credenciales y monitoreo de redes. La prevención es clave para evitar que este tipo de ataques sigan creciendo y afectando a más personas.