Tabla de contenidos
¿Se imagina la magnitud de un ciberataque que podría afectar a miles de personas, desde empleados hasta socios comerciales, pasando por los clientes de una gran empresa? Eso es exactamente lo que experimentó Eiffage, el gigante de la construcción, recientemente atacado por el grupo de hackers LAPSUS$. Descubra cómo se orquestó este ataque y cuáles son sus consecuencias para las víctimas.
Las 3 informaciones que no te puedes perder
El 25 de febrero de 2026, el grupo LAPSUS$ reivindicó un ataque contra Eiffage, un nombre bien conocido en el sector de la construcción y obras públicas. El colectivo afirmó haber exfiltrado una base de datos que contenía precisamente 175,942 registros. Esta información provenía de NextSend, una plataforma interna de transferencia de archivos ampliamente utilizada por Eiffage para sus comunicaciones.
NextSend, desarrollada por la empresa francesa Hegyd, permite el envío de archivos voluminosos entre colaboradores y socios. Este ataque afectó no solo a los empleados de Eiffage, sino también a un gran número de sus socios externos.
Entre los 175,942 individuos afectados, 50,336 son empleados directamente por Eiffage, mientras que 125,606 son contactos externos, incluidos clientes, subcontratistas y socios. Esta información sensible expone a las víctimas a potenciales ataques de phishing. Los piratas podrían utilizar estos datos para crear mensajes fraudulentos muy convincentes, dirigidos específicamente a estas personas.
En respuesta a estas amenazas, Eiffage ha implementado una página de advertencia en su sitio web, alertando a los usuarios sobre los riesgos relacionados con las estafas de facturas falsas y el robo de identidad, especialmente mediante el uso de números SIRET y de IVA extraídos de los datos comprometidos.
LAPSUS$ no es nuevo en sus ataques contra empresas francesas. En enero de 2026, el grupo ya había hecho noticia al hackear ENI, exponiendo la información de miles de clientes profesionales. Esta estrategia de atacar empresas cotizadas en bolsa forma parte de su lógica de presión máxima, alimentando lo que llaman su «muro de la vergüenza», una lista pública de las víctimas de sus ataques.
Eiffage, un actor importante en el sector de la construcción, realiza una facturación de 25 mil millones de euros, como se confirmó en sus resultados anuales publicados el 24 de febrero de 2026. Esta empresa cotizada en bolsa no es la única que ha sido atacada por ciberataques de esta magnitud. Competidores como Bouygues y Vinci también han tenido que enfrentar amenazas similares, subrayando la necesidad de que las empresas refuercen sus medidas de seguridad para proteger los datos sensibles de sus clientes y socios.