La compañía británica Colt Technology Services, uno de los principales proveedores de telecomunicaciones y servicios de red en Europa, Asia y Norteamérica, atraviesa una grave crisis tras un ciberataque que ha afectado a varios de sus servicios durante varios días consecutivos. El ataque, reclamado por el grupo de ransomware WarLock, ha derivado en el robo de documentos internos y confidenciales que ahora se ofrecen en foros clandestinos por 200.000 dólares.
Un “problema técnico” que resultó ser un ciberataque
El incidente comenzó el pasado 12 de agosto de 2025, cuando Colt notificó a sus clientes la existencia de un “problema técnico” que afectaba a sus operaciones. Horas después, y tras la persistencia de la caída de servicios como Colt Online, Voice API y plataformas de hosting y portabilidad, la compañía confirmó que se trataba de un ciberataque dirigido.
La empresa se vio obligada a desconectar sistemas internos como medida de protección, lo que ha complicado la comunicación con los clientes, que actualmente solo pueden contactar con Colt por teléfono o correo electrónico, con tiempos de respuesta más lentos de lo habitual.
La firma subrayó que la infraestructura principal de red y telecomunicaciones no se ha visto comprometida, aunque los servicios de soporte permanecen inoperativos sin fecha estimada de recuperación.
El robo de documentos: un millón de archivos en venta
El ataque fue reivindicado en foros clandestinos por un actor bajo el alias cnkjasdfgd, que asegura pertenecer a la banda de ransomware WarLock. Según sus declaraciones, han sustraído varios cientos de gigabytes de datos, incluyendo:
- Información financiera y contable.
- Datos de empleados, clientes y directivos.
- Correos electrónicos internos.
- Documentación técnica y de desarrollo de software.
Para demostrar la veracidad del robo, los atacantes publicaron muestras de archivos. Además, ofrecen a la venta el supuesto paquete completo —con un millón de documentos— por un precio de 200.000 dólares.
Una vulnerabilidad en Microsoft SharePoint como posible vía de entrada
Aunque Colt no ha revelado detalles técnicos sobre la intrusión, expertos en ciberseguridad señalan que los atacantes podrían haber explotado la vulnerabilidad crítica en Microsoft SharePoint (CVE-2025-53770), catalogada como de ejecución remota de código.
El investigador británico Kevin Beaumont explicó que esta vulnerabilidad llevaba siendo explotada como zero-day desde el 18 de julio. Microsoft lanzó un parche el 21 de julio, pero no todas las organizaciones lograron aplicar la actualización a tiempo, lo que abrió la puerta a múltiples ataques.
Según Beaumont, WarLock habría utilizado este fallo para infiltrarse en los sistemas de Colt y extraer varios cientos de gigabytes de información sensible.
La respuesta de Colt y la investigación en curso
Un portavoz de Colt confirmó a BleepingComputer que están al tanto de las reclamaciones realizadas en foros de la darknet y que trabajan con equipos internos y expertos externos para contener el incidente.
“Nuestro equipo técnico está centrado en restaurar los sistemas internos afectados y colaboramos estrechamente con expertos en ciberseguridad de terceros. Agradecemos la comprensión de nuestros clientes mientras trabajamos en una resolución”, señaló un representante de la compañía.
Asimismo, Colt ha notificado a las autoridades competentes, aunque por el momento no se han ofrecido más detalles sobre la investigación oficial ni sobre si se contempla el pago del rescate.
Un golpe a un gigante de las telecomunicaciones
Fundada en 1992 como City of London Telecommunications (COLT) y adquirida en 2015 por Fidelity Investments, la compañía gestiona 75.000 kilómetros de fibra óptica y conecta 900 centros de datos en 30 países. Su papel como proveedor clave de infraestructura de red convierte este incidente en un episodio de especial relevancia para el sector de telecomunicaciones europeo.
La brecha pone de manifiesto, una vez más, la creciente exposición de las grandes compañías a ataques dirigidos que combinan ransomware con robo y filtración de datos.
El auge de WarLock y la amenaza del ransomware 2025
WarLock es un grupo emergente en el panorama del cibercrimen que ha ganado notoriedad en 2025 por ataques a infraestructuras críticas y empresas de servicios. Su estrategia sigue el patrón de la “doble extorsión”: primero cifran sistemas o roban datos, y después amenazan con publicarlos o venderlos si no se paga el rescate.
El caso de Colt pone de relieve un riesgo aún mayor: la venta de información empresarial sensible en foros clandestinos, lo que multiplica el valor del ataque para terceros interesados, ya sean competidores o grupos criminales.
Preguntas frecuentes (FAQ)
1. ¿Qué servicios de Colt se han visto afectados por el ataque?
Los principales sistemas de soporte, incluyendo Colt Online, Voice API y servicios de portabilidad y hosting. La red principal de telecomunicaciones no ha sido comprometida, según la compañía.
2. ¿Quién está detrás del ataque?
El grupo de ransomware WarLock, que asegura haber robado cerca de un millón de documentos y varios cientos de gigabytes de datos.
3. ¿Cómo accedieron los atacantes a los sistemas de Colt?
Expertos apuntan a la vulnerabilidad CVE-2025-53770 en Microsoft SharePoint, explotada como zero-day en julio. Colt no lo ha confirmado oficialmente.
4. ¿Qué consecuencias puede tener para Colt y sus clientes?
Desde pérdida de confianza y posibles sanciones regulatorias hasta el riesgo de filtración de datos financieros y personales que podrían ser usados para fraudes o ataques posteriores.
vía: bleepingcomputer
