Saltar al contenido
>_ITDITDPlataforma de seguridad web

Incidentes y vulnerabilidades

Ransomware de Capcom (2020) — por qué un viejo dispositivo VPN fue la vía de entrada, y la defensa ante la doble extorsión

En 2020, Capcom sufrió el ransomware Ragnar Locker: datos de hasta ~390.000 personas potencialmente expuestos y sistemas internos cifrados. La entrada fue un viejo dispositivo VPN de respaldo dejado en marcha en una filial norteamericana, con doble extorsión: robar datos y luego cifrar.

Publicado 2026-07-07 Actualizado 2026-07-07 10 min de lectura

Leemos brechas reales y públicas no como noticias repetidas, sino como «¿cómo te defiendes de esto?». Este artículo se basa en el registro público (declaraciones de la empresa, reportajes fiables). Las fuentes se listan al final y no se incluye ninguna guía de ataque.

~390.000
Personas cuyos datos quedaron potencialmente expuestos
Vieja VPN
Un dispositivo de respaldo en marcha fue la vía de entrada
Doble extorsión
Robar y luego cifrar; amenazar con filtrar
Se negó a pagar
Restauró desde copia de seguridad; divulgó abiertamente
Ficha del caso
Objetivo
Sistemas internos del Grupo Capcom y datos personales de clientes, socios y empleados (operadora: Capcom Co., Ltd.)
Detectado
2 de noviembre de 2020 (se advirtió y divulgó un problema en los sistemas)
Patrón
Entrada mediante un viejo dispositivo VPN de respaldo en una filial norteamericana → robo de datos → cifrado con ransomware (doble extorsión)
Escala
Datos personales de hasta ~390.000 personas potencialmente expuestos (el robo confirmado fue un subconjunto; sin datos de tarjetas de crédito)
Causa raíz
Un viejo dispositivo VPN dejado en marcha (superficie de ataque) + defensa insuficiente del dispositivo de borde + controles débiles para frenar el movimiento lateral y la exfiltración internos
La solución real
Retirar el equipo sin uso / inventario de activos; parchear los dispositivos VPN/de borde + MFA; segmentación, privilegios mínimos, detección de exfiltración masiva; copias de seguridad y simulacros de recuperación

Qué ocurrió (en términos sencillos)

El ransomware cifra los archivos de una organización y exige «paga para recuperarlos». En los últimos años los atacantes añaden un giro: roban los datos primero y amenazan con publicarlos si no se paga: doble extorsión.

En Capcom, la vía de entrada fue un viejo dispositivo VPN de respaldo dejado en marcha en una filial norteamericana. Después de que dispositivos más nuevos lo reemplazaran, el viejo siguió funcionando como respaldo de emergencia ante problemas de conectividad. Aunque creas que no se usa, si está encendido es una puerta que un atacante puede ver. Desde ahí entraron en la red interna, robaron datos y luego cifraron los sistemas. Capcom rechazó la exigencia de rescate (en colaboración con las autoridades), restauró desde copia de seguridad y divulgó sus hallazgos de forma transparente en varias actualizaciones. Más que la intrusión en sí, un dispositivo olvidado y una ruta interna para robar datos ampliaron el daño.

El dispositivo que 'ya no usas' es el más peligroso

A los atacantes les encantan los activos que han caído fuera del campo de visión de todos. Un dispositivo reemplazado por un modelo más nuevo pero dejado en marcha, la cuenta de un empleado que se fue, un servidor de pruebas levantado y olvidado: cada uno «ya no se usa», así que su parcheo y monitorización tienden a detenerse, y sin embargo sigue siendo alcanzable desde la red. Si no lo usas, apágalo / retíralo. Si lo conservas, mantenlo al día y monitorizado. El punto medio —el abandono— es lo peor.

La cadena de ataque también es un mapa de defensa

Esta fue una cadena con un lugar para detenerla en cada paso. Léela como dónde se podría haber roto, no como una guía de ataque.

1. Se dejó en marcha un viejo dispositivo VPN de respaldo

Conservado como respaldo de emergencia tras llegar unidades más nuevas: sigue siendo superficie de ataque.

Parada: retirar el equipo sin uso; inventario de activos; minimizar la superficie de ataque

2. Ese dispositivo se usó para entrar en la red

Un dispositivo de borde se convirtió en la ruta hacia dentro.

Parada: parchear los dispositivos VPN/de borde; autenticación multifactor; mantenerlos al día

3. Datos robados, luego cifrados (doble extorsión)

Se sustrajo una gran cantidad de datos antes del cifrado.

Parada: segmentación; privilegios mínimos; EDR; detectar la exfiltración masiva

4. Exigencia de rescate y amenaza de filtración

Paga, o los datos robados se publican.

Parada: recuperar desde copia de seguridad; una política de no pagar; enlace con las autoridades; divulgación transparente

Cada paso tenía un punto de parada. La defensa en profundidad significa sostener varios de estos puntos, no un solo muro.

Cronología publicada

  1. 2020-10

    Se produce un acceso no autorizado a la red interna a través de un viejo dispositivo VPN de respaldo en una filial norteamericana.
  2. 2020-11-01

    De madrugada, algunos dispositivos en Japón y Norteamérica son cifrados por el ransomware (Ragnar Locker).
  3. 2020-11-02

    Se advierte y divulga un problema en los sistemas; se detienen algunos sistemas para investigar el alcance.
  4. 2020-11

    Los atacantes filtran parte de los datos robados y exigen un rescate por valor de unos 1.100 millones de yenes. Capcom no negocia y se niega a pagar (en colaboración con las autoridades).
  5. 2021-04-13

    Informe final de la investigación: datos personales de hasta ~390.000 personas potencialmente expuestos (sin datos de tarjetas de crédito). Se anuncian medidas preventivas.
  6. 2020–2021

    Los sistemas se restauran desde copia de seguridad; se refuerzan la monitorización y la defensa en profundidad.

La causa raíz no fue «mala suerte», sino capas que fallaron

Descartar esto como «les ganó un ataque sofisticado» pierde el punto. La intrusión puede ocurrir; lo que importa es si reduces las vías de entrada y minimizas el daño una vez dentro.

La configuración que falló

  • Un viejo dispositivo VPN dejado en marcha tras ser reemplazado por unidades más nuevas
  • Parcheo / MFA insuficientes en los dispositivos de borde
  • Controles débiles para frenar el movimiento lateral y el robo masivo
  • Aun con copias de seguridad, no se impidió la exfiltración

La configuración que aguanta

  • Retirar el equipo sin uso; inventariar los activos para reducir la superficie de ataque
  • Parchear los dispositivos VPN/de borde y exigir autenticación multifactor
  • Segmentación, privilegios mínimos, EDR para frenar el movimiento y el robo
  • Copias de seguridad + simulacros de recuperación restauran la disponibilidad (junto a los controles antirrobo)

Poder decir 'no' vino de estar preparado

Capcom rechazó el rescate, restauró desde copia de seguridad y divulgó sus hallazgos con transparencia. Pudo tomar la decisión correcta —no pagar— porque tenía los medios para recuperarse y la postura para divulgar. Pagar no garantiza ni el descifrado ni que la filtración se detenga, y financia el siguiente ataque. Copias de seguridad, segmentación e inventario de activos hechos por adelantado son lo que te deja opciones en una crisis. (Relacionado: la filtración de Equifax por software sin parchear.)

Cómo te defiendes de esto

El ransomware apunta a organizaciones de todos los tamaños. En orden de prioridad:

1

Retira los dispositivos, rutas y cuentas sin uso

Equipo viejo reemplazado por modelos más nuevos, servidores de pruebas olvidados, cuentas de empleados que se fueron: inventaría lo que 'ya no usas' y apágalo / retíralo. Si está en marcha, es superficie de ataque. Si lo conservas, mantenlo al día y monitorizado.

2

Parchea los dispositivos de borde y añade autenticación multifactor

Parchea las vulnerabilidades de los dispositivos VPN y de acceso remoto y exige autenticación multifactor. El borde es el primero en ser atacado. Usa el manual de remediación de CVE para corregir a fondo y seguir monitorizando.

3

Frena la exfiltración (segmentación, privilegios mínimos, detección)

Ante la doble extorsión, las copias de seguridad no bastan. Segmenta la red, aplica privilegios mínimos para frenar el movimiento lateral y usa EDR más detección de movimiento masivo para impedir el robo en sí.

4

Las copias de seguridad y los simulacros de recuperación te dejan elegir 'no'

Mantén copias de seguridad sin conexión / versionadas y ensaya la recuperación. Con los medios para recuperarte, puedes restaurar el negocio sin pagar. Intégralo en tu base de seguridad para organizaciones.

En qué se solapa con cómo está construido este sitio

En esencia, este incidente dejó en marcha un activo que supuestamente «ya no usaba» (un viejo dispositivo VPN) y permitió la exfiltración interna. Ese es el reflejo invertido de los propios principios de este sitio: minimizar la superficie de ataque, reducir el radio de impacto y defender en capas. Un viejo dispositivo desatendido es el mismo punto ciego de gestión que un secreto en un directorio público o una cuenta latente. «Si no lo usas, apágalo; parchea el borde; defiéndete tanto del robo como del cifrado» es una defensa que cualquiera puede implementar a cualquier escala.

Fuentes (registro público)

Los hechos aquí se basan en la siguiente información pública. No se incluye ninguna guía de ataque, solo las lecciones defensivas.

  • Declaraciones oficiales de Capcom Co., Ltd. (informes y actualizaciones sobre el incidente de seguridad de datos por acceso no autorizado, 2020–2021) — capcom.co.jp
  • Reportajes de la época (entrada mediante un viejo dispositivo VPN, doble extorsión, exigencia de rescate y negativa, 2020–2021), basados en las divulgaciones primarias

Sigue leyendo

FAQ

Q¿Cuál fue la vía de entrada en la brecha de Capcom?
A

Un viejo dispositivo VPN de respaldo dejado en marcha en una filial norteamericana. Después de que unidades más nuevas lo reemplazaran, el viejo dispositivo siguió funcionando como respaldo de emergencia. Los atacantes lo usaron como punto de apoyo hacia la red interna. Incluso el equipo que crees haber dejado de usar forma parte de tu superficie de ataque si sigue encendido y es alcanzable.

Q¿Qué es la «doble extorsión» y por qué no bastan las copias de seguridad?
A

Además de cifrar los datos para pedir un rescate, los atacantes primero <strong>roban los datos y amenazan con publicarlos si no pagas.</strong> Las copias de seguridad te permiten recuperarte del cifrado (restaurar la disponibilidad), pero <strong>no pueden deshacer el robo.</strong> Por eso necesitas no solo medidas contra el cifrado (copias de seguridad), sino también medidas que <strong>impidan la exfiltración de entrada</strong>: segmentación, privilegios mínimos y detección del movimiento masivo de datos.

Q¿Puede aprender de esto una organización más pequeña?
A

Sí: (1) inventaría y retira los dispositivos, cuentas y rutas sin uso (dejarlos los convierte en objetivos); (2) parchea los dispositivos VPN/de borde y añade autenticación multifactor; (3) mantén copias de seguridad y ensaya la recuperación; (4) segmenta internamente y usa privilegios mínimos para frenar la exfiltración. Incluso a pequeña escala, un viejo dispositivo desatendido y una red plana entrañan el mismo peligro.