Ataque cibernético a empresa del sector BPO expone vulnerabilidad de organizaciones clave en Colombia
El ransomware Abyss Locker habría comprometido los sistemas de uno de los principales operadores BPO de Colombia. Aún se desconocen las posibles consecuencias sobre la información manejada por la empresa, que presta servicios a sectores sensibles como salud, banca, energía y gobierno.
En una fecha sin precisar de inicios de Julio de 2025, una empresa del sector BPO habría sufrido un ciberataque tipo Ransomware atribuido a Volt Typhoon.
La amenaza tiene el potencial de afectar las operaciones de múltiples empresas en sectores críticos. Hasta ahora, la única entidad que ha informado públicamente sobre un plan de contingencia por ciberataque en sus canales de atención es Nueva EPS. Por su parte, la empresa afectada no ha confirmado el incidente a través de su sitio web ni redes sociales, limitándose a comunicar la situación directamente a sus clientes.
Una de las mayores firmas de outsourcing en Colombia, habría sido víctima de un ataque ransomware según conoció MuchoHacker.lol gracias a una fuente anónima que compartió una sección de un informe técnico que evalúa la afectación y que fue enviado en la mañana del día de hoy.
“Se realizó el análisis técnico y se confirmó que la variante detectada corresponde a la cepa de ransomware conocida como Abyss Locker, asociada con la campaña activa del grupo Volt Typhoon – alias Bronze Silhouette, vinculada a actividades de amenazas persistentes avanzadas APT contra infraestructuras críticas.”, indica la parte del informe privado que fue compartido con este portal.
¿Qué es una APT (Amenaza Persistente Avanzada)?
Una Amenaza Persistente Avanzada (APT) es un tipo de ataque cibernético sofisticado, diseñado para infiltrarse silenciosamente en una red durante un largo periodo de tiempo. Su objetivo no es causar daño inmediato, sino espiar, robar datos o sabotear sistemas clave.
Estas amenazas son ejecutadas, en muchos casos, por grupos organizados o respaldados por Estados, y se dirigen a sectores estratégicos como el gobierno, la salud, la energía o la defensa.
Su peligrosidad radica en que pueden permanecer ocultas durante meses sin ser detectadas, mientras recopilan información crítica o preparan acciones más graves.
Al conocer la gravedad del asunto, MuchoHacker.lol se comunicó con la empresa afectada para tratar de confirmar la evaluación técnica y no obtuvo respuesta. Igualmente, es importante precisar que no ha sido posible confirmar las conclusiones del informe filtrado que permita tener plena seguridad de lo que verdaderamente está pasando.
El incidente, solo es confirmado por uno de sus clientes : Nueva EPS. Conocidos los hechos esta organización se vio obligada a activar planes de contingencia.
Toda esta situación, la falta de transparencia y la ausencia de una política pública revela cuán frágiles son las infraestructuras tecnológicas en empresas que prestan servicios críticos de forma tercerizada.
Un ataque sofisticado
Según parte del informe que conoció MuchoHacker.lol la amenaza fue identificada como una variante del ransomware Abyss Locker. El ataque se atribuye al grupo de amenazas persistentes avanzadas (APT) Volt Typhoon, vinculado a operaciones de ciberespionaje estatal.
Este grupo ha sido rastreado por agencias como la CISA y Microsoft, que lo describen como altamente sigiloso y especializado en infiltración prolongada en redes sensibles.
La organización opera desde Bogotá, Medellín, Cali y Pereira, con más de 5.000 empleados. Atiende cerca de 50 clientes en sectores como salud, banca, energía, educación, gobierno y tecnología.
Entre sus servicios figuran atención al cliente, help desk, soporte técnico, back office, y administración comercial.
La compañía informó a sus clientes que la amenaza fue detectada en uno de sus entornos virtuales, lo que obligó a aislar servidores, validar respaldos y reforzar controles.
Nueva EPS, por su parte, habilitó líneas de WhatsApp y app móvil para mitigar el impacto sobre sus usuarios.
Este tipo de ataques a empresas de BPO representan una amenaza estructural: al estar integradas a múltiples operaciones críticas, cualquier vulnerabilidad en su infraestructura se convierte en un riesgo multiplicador.
Este caso evidencia una realidad subestimada: tercerizar servicios sin garantías sólidas de ciberseguridad puede convertirse en un punto de entrada para amenazas que impactan directamente a millones de usuarios finales.
Volt Typhoon ha sido vinculado a operaciones de espionaje sobre infraestructura crítica en Asia y Estados Unidos.
Sus técnicas incluyen el uso de herramientas del sistema (LOLBins) para pasar desapercibidos, acceso mediante credenciales válidas, y eliminación de rastros en los registros del sistema.
El objetivo: permanecer en la red el mayor tiempo posible para extraer información o activar sabotajes.
En Colombia, entidades financieras, EPS, ministerios, empresas de energía y universidades dependen de operadores BPO.Un incidente como el ocurrido pone en jaque la continuidad de servicios esenciales.
Desde el punto de vista legal, este tipo de incidentes podría estar cobijado por la Ley 1581 de 2012 sobre protección de datos personales y la Ley 1266 de 2008 en el ámbito financiero. Además, la Ley 1273 de 2009, que tipifica delitos informáticos, establece penas para quienes accedan, sustraigan o dañen información sin autorización.
En caso de filtración o afectación de datos personales, tanto el responsable del tratamiento como el encargado (el cliente) podrían enfrentar sanciones de la Superintendencia de Industria y Comercio.
Polémica internacional sobre el origen del ataque
El grupo Volt Typhoon, vinculado al ataque mediante el ransomware Abyss Locker, ha sido identificado por agencias de ciberseguridad de Estados Unidos como un actor patrocinado por el Estado chino, especializado en ciberespionaje y sabotaje digital contra infraestructuras críticas. Según Microsoft y la CISA, Volt Typhoon utiliza técnicas avanzadas para infiltrarse de forma silenciosa y prolongada en redes de sectores estratégicos.
Sin embargo, desde el gobierno de China y entidades como el 360 Digital Security Group, se ha negado esta atribución y se acusa a Estados Unidos de fabricar una narrativa para justificar su propia actividad ofensiva en el ciberespacio. Beijing sostiene que el grupo ha sido exagerado por razones geopolíticas y afirma que Washington utiliza empresas tecnológicas y análisis falsos para encubrir sus propias campañas de vigilancia y ciberataques a nivel global.
Este cruce de acusaciones forma parte de una disputa más amplia por el control del relato sobre la ciberseguridad internacional, en la que los ataques a infraestructuras civiles se convierten en un nuevo campo de tensión entre potencias. Mientras tanto, los países del sur global, como Colombia, quedan en medio de estas operaciones, expuestos a amenazas cuya autoría es difícil de probar con certeza.
Hasta el momento, Nueva EPS es la única empresa que ha confirmado afectaciones visibles en sus canales de atención como consecuencia del incidente. Sin embargo, dado el perfil y la cartera de clientes , no se descarta que en los próximos días otras entidades reporten impactos similares.
Un rastreo preliminar no ha permitido identificar datos filtrados públicamente ni evidencia de extorsión directa, por lo que se desconoce si hubo robo de información o contacto por parte de los atacantes. La falta de lineamientos claros, protocolos unificados y monitoreo preventivo por parte del Ministerio TIC ha dejado al sector privado expuesto a amenazas cada vez más sofisticadas, sin una estrategia nacional robusta que proteja a las infraestructuras críticas del país.
Correción, 10 de julio de 2025. Hora 2:56 pm.
Empresa Carvajal nos informó que desde el 30 de mayo no pertenece a la organización atacada. Por tal motivo se precisó la información y se corrigió.
