Grupo ransomware afirma haber robado 11 millones de archivos de Foxconn con datos de Apple, Google y Nvidia

Foxconn confirmó esta semana que sufrió un ataque cibernético que afectó sus instalaciones en América del Norte. La empresa, que fabrica dispositivos y componentes para Apple, Google, Nvidia y Sony, reportó que las fábricas afectadas están reanudando operaciones normales. La calma del comunicado contrasta con lo que el grupo responsable dice haber obtenido.

El grupo ransomware Nitrogen reclamó responsabilidad por el ataque en su sitio de leak en la dark web, la plataforma que utilizan para publicar información de sus víctimas como herramienta de presión. Según TechCrunch, los hackers afirman haber robado más de 11 millones de archivos de los sistemas de Foxconn, incluyendo información confidencial de sus clientes más importantes: Apple, Dell, Google, Intel y Nvidia. Como prueba de sus afirmaciones, Nitrogen publicó imágenes de schematics de productos, guidelines internos y documentos bancarios.

Nitrogen opera con lo que en el sector se conoce como double-extortion: una estrategia que combina dos vías de ataque simultáneas. Primero cifra los archivos de la víctima, haciéndolos inaccesibles. Pero antes de hacerlo, los roba. Eso le da al grupo dos formas de monetizar el ataque: cobrar por la clave de descifrado y cobrar por no publicar la información robada. Si la empresa paga por lo primero pero no por lo segundo, el grupo todavía tiene palanca. Esa doble presión es lo que hace que los ataques de Nitrogen sean especialmente difíciles de gestionar para las organizaciones afectadas.

Para Foxconn, el impacto potencial va más allá de sus propios sistemas. La empresa es una pieza crítica en la cadena de suministro global de electrónica: fabrica componentes para múltiples empresas tecnológicas de forma simultánea, lo que significa que la información robada podría incluir especificaciones técnicas, documentos de negociación y datos de producto de varios de sus clientes al mismo tiempo. Si Nitrogen tiene lo que dice tener, no estamos hablando de un breach que afecta a una sola empresa sino de información confidencial de varios de los mayores tech giants del planeta.

De acuerdo con el reporte de TechCrunch, los archivos publicados como muestra incluyen schematics de productos y documentos bancarios, aunque la verificación independiente de su autenticidad requiere análisis adicional. Es el tipo de divulgación que Nitrogen típicamente hace antes de iniciar negociaciones formales: suficiente para generar presión pública, no tanto como para perder su principal activo de extorsión.

Los ataques ransomware contra fabricantes son estrategia común precisamente porque las empresas de manufactura suelen pagar rápidamente para restablecer operaciones. Cada hora de interrupción en una fábrica de la escala de Foxconn se traduce en pérdidas directas que pueden superar el costo de un rescate. Esa lógica es la que hace que grupos como Nitrogen apunten a proveedores de la cadena de suministro en lugar de ir directamente contra las empresas tecnológicas más visibles.

O al menos esa es la lógica que funciona cuando los proveedores son los que tienen acceso a los archivos más valiosos.

La ironía del ataque es que Foxconn queda en una posición complicada frente a sus clientes. La empresa no solo tiene que gestionar la interrupción operativa y la potencial extorsión: también tiene que comunicar a Apple, Google, Nvidia y el resto qué información fue comprometida, en qué estado están sus datos y cuánto tiempo tardarán en conocer el alcance real del breach. Esas conversaciones son las más incómodas del sector, y generalmente ocurren en privado antes de aparecer en algún filing regulatorio.

Según TechCrunch, Foxconn no respondió de forma inmediata a las preguntas sobre cuáles archivos específicos Nitrogen dice haber obtenido. La empresa confirmó el ataque y que las operaciones están reanudando. El resto, por ahora, permanece en la narrativa de Nitrogen.

Nitrogen ha ejecutado múltiples ataques de alta visibilidad contra infraestructura crítica antes de este caso. Su modelo es conocido: apuntar a proveedores con acceso a información de múltiples clientes grandes, publicar una muestra de datos para validar sus afirmaciones ante el mundo y esperar a que la presión haga el trabajo de negociación. En este ataque, la muestra que eligieron publicar involucra a algunas de las empresas más valiosas del planeta.

Lo que sigue depende de negociaciones que no suceden en público. Pero el hecho de que Foxconn haya confirmado el ataque mientras Nitrogen ya publicó documentos en su sitio de leak sugiere que esa conversación, si está ocurriendo, todavía no llegó a ningún acuerdo. Y que las próximas semanas podrían traer más divulgaciones mientras el grupo espera una respuesta.