La Agencia Nacional de Ciberseguridad eleva la alerta por ataque de ransomware al centro comercial de Avinguda Meritxell, que paraliza

La Agencia Nacional de Ciberseguridad de Andorra (ANC-AD) ha elevado el nivel de alerta cibernética nacional de «alto» a «muy alto» tras confirmar que un importante centro comercial de Avinguda Meritxell ha sufrido un ataque de ransomware, probablemente del grupo AKIRA, que ha cifrado gran parte de sus sistemas informáticos. La agencia anunció la escalada el lunes, citando graves incidentes de seguridad en múltiples entidades durante los dos últimos días en medio de un aumento de escaneos de red y vulnerabilidades explotadas contra organizaciones andorranas.

El centro comercial, que no tiene obligación legal de notificar la brecha, informó inicialmente a la ANC-AD de forma informal el lunes a través de canales no oficiales. Lo notificó formalmente el martes, lo que llevó a la ANC-AD a desplegar recursos para apoyar la recuperación. La policía y la Agencia de Protección de Datos (APDA) también fueron informadas a través de quejas de clientes y proveedores afectados preocupados por la exposición de datos personales vinculados a tarjetas de fidelización, incluidos detalles bancarios y matrículas de vehículos para pagos de aparcamiento. La ANC-AD ha advertido a los operadores de infraestructuras críticas que intensifiquen el seguimiento del acceso VPN y RDP, desactiven inicios de sesión remotos innecesarios o los aseguren con autenticación multifactor, actualicen los cortafuegos y busquen indicios de movimiento lateral o copias de seguridad manipuladas.

El ataque se intensificó el viernes por la mañana, paralizando las funciones de las tarjetas de fidelización y causando fallos en los pagos, puntos no registrados, errores en el saldo de la app que mostraba cero euros y barreras de aparcamiento abiertas. Propietarios de negocios españoles informaron de retrasos para recuperar sus vehículos debido a fallos en la facturación, con el personal culpando de un «problema técnico» genérico y recurriendo a lectores de tarjetas de respaldo. Los proveedores sufrieron retrasos en el procesamiento, mientras que algunos clientes tuvieron problemas con suscripciones o consultas de saldo.

Los técnicos trabajaron durante el fin de semana en reparaciones parciales, pero no se esperan servicios automatizados completos hasta finales de esta semana como pronto, con operaciones manuales que generan retrasos. La empresa ha asegurado a los reguladores que, más allá de daños reputacionales, molestias a los clientes y pérdidas financieras, no se conocen más impactos por el momento, aunque casos de ransomware como este suelen retrasar la confirmación de extracciones de datos. Los clientes han expresado frustración por la pobre comunicación y temores sobre la seguridad de los datos, con algunos preguntándose si las barreras abiertas indican una brecha cibernética.

La ANC-AD describe a AKIRA, activo desde 2023 como grupo Ransomware-as-a-Service, como altamente sofisticado en tácticas de extorsión doble: cifrar datos, robarlos para amenazar con filtrarlos y borrar rastros para evadir la forense. Los responsables enfatizan que la alerta aborda un entorno de amenazas más amplio, incluida actividad en España y Francia, en lugar de casos aislados. Las investigaciones continúan, sin detalles aún sobre el alcance de la brecha u otras víctimas.