En una importante escalada de las hostilidades cibernéticas, el grupo de ransomware Hunters International ha filtrado públicamente 570 gigabytes de datos robados a través de un ciberataque a Servicios CCOO, la federación de servicios del sindicato Comisiones Obreras (CCOO) de España.

La brecha fue revelada por primera vez en la dark web el 3 de marzo de 2025. El ataque se produjo tras un intento fallido de negociación de rescate, después de que el grupo infiltrara los servidores del sindicato y exfiltrara 689.764 archivos que contenían registros financieros, datos de empleados y comunicaciones internas.

Este incidente pone de manifiesto la creciente audacia de las operaciones de ransomware-as-a-service (RaaS), que apuntan a organizaciones de alto perfil con defensas cibernéticas limitadas.

Ciberataque al sindicato más importante de España

Según expertos, Hunters International (un grupo con presuntos vínculos con ciberdelincuentes rusos) empleó una estrategia de doble extorsión. Cifrando sistemas críticos y amenazando con publicar los datos robados a menos que se realizara un pago.

Los atacantes probablemente explotaron vulnerabilidades en la infraestructura de trabajo remoto de CCOO. Esta ya había sido objeto de escrutinio en relación con el cumplimiento del RGPD tras una brecha de datos en 2021 que afectó a correos electrónicos personales de empleados.

El modus operandi del grupo se alinea con su uso de amenazas persistentes avanzadas (APT). Incluido el remote access trojan (RAT) SharpRhino, para eludir las defensas de red y establecer movimiento lateral.

La exfiltración de datos se produjo durante un período no especificado. Hunters International fueron capaces de robar 570,8 GB en archivos cifrados antes de publicarlos en su sitio de filtraciones.

Los archivos filtrados incluirían detalles de nóminas, registros de afiliados y correspondencia sensible relacionada con negociaciones laborales. Todo fue parte de un movimiento estratégico para maximizar el daño reputacional.

A pesar de la victoria legal previa de CCOO, que obligó a las empresas a utilizar correos corporativos para proteger la privacidad de los trabajadores. La dependencia del sindicato de herramientas híbridas de trabajo remoto podría haber introducido vectores de ataque explotados por los actores de la amenaza.

Impacto en Servicios CCOO y consecuencias más amplias

La brecha interrumpe las operaciones de CCOO en un momento crítico, mientras el sindicato navega por reformas laborales a nivel nacional.

Con más de 689.000 archivos circulando ahora en foros de la dark web, la exposición de estrategias internas y datos de afiliados pone en riesgo la confianza en la mayor organización sindical de España.

Los analistas de ciberseguridad advierten que podrían seguir campañas de phishing que aprovechen las credenciales robadas de empleados, dirigidas a los 11 millones de miembros de CCOO.

El cumplimiento del RGPD se presenta como otro desafío.

La Agencia Española de Protección de Datos (AEPD) podría investigar si CCOO respetó los principios de minimización de datos del Artículo 5(1)(c). Especialmente tras la sentencia de la Audiencia Nacional de 2022 que exigía a los empleadores proporcionar canales de comunicación seguros.

Las sanciones podrían alcanzar los 20 millones de euros o el 4 % de los ingresos globales si se demuestra negligencia.

El ciberataque al sindicato de España es parte de una guerra con Europa

Este ciberataque refleja el patrón de Hunters International de dirigirse a entidades con altas apuestas políticas o financieras. Este ataque a España es solo un objetivo más dentro de Europa.

En septiembre de 2024, el grupo extrajo 6,6 TB de datos del ICBC en Londres, amenazando la estabilidad financiera global, mientras que una brecha en 2024 contra el Servicio de Alguaciles de EE. UU. demostró su capacidad para comprometer redes policiales.

Su modelo RaaS, que arrienda infraestructura de malware a afiliados, permite una escalabilidad rápida; Barracuda informa de más de 134 víctimas en los sectores sanitario, financiero y de infraestructura crítica solo en 2025.

Cabe destacar que el grupo evita objetivos rusos, alineándose con la tolerancia tácita del Kremlin hacia los ciberdelincuentes que actúan en el extranjero.

Los analistas atribuyen su auge al colapso del sindicato de ransomware Hive en 2023, del que Hunters adquirió algoritmos de cifrado y repositorios en la dark web.

Respuesta y estrategias de mitigación

CCOO aún no ha emitido una declaración pública, pero los protocolos de respuesta probablemente incluyan auditorías forenses por parte del Instituto Nacional de Ciberseguridad (INCIBE).

Para sindicatos y ONG, fusionar los marcos de seguridad TI y OT resulta crítico para salvaguardar los datos de las partes interesadas.

La brecha en Servicios CCOO destaca los crecientes riesgos que los operadores de RaaS suponen para las organizaciones de la sociedad civil.

A medida que Hunters International sigue perfeccionando su oficio, los mecanismos de defensa proactivos (y no las negociaciones reactivas) son imprescindibles para interrumpir el ciclo de vida del ciberdelito.