Alerta de ataque: datacarry apunta a Camomilla🇮🇹 - IT
Introduction
El grupo de ransomware datacarry se ha atribuido la responsabilidad de un ciberataque contra Camomilla, una marca italiana de moda femenina fundada en 1999 y con entre 100 y 250 empleados. Descubierta el 6 de diciembre de 2025, esta brecha afecta a una empresa minorista que genera 25 millones de euros en ingresos anuales. El incidente, clasificado como de nivel SEÑAL según la metodología XC-Classify, podría exponer datos de clientes, transacciones de comercio electrónico e información personal confidencial. Este ataque se produce en medio de un aumento de las ciberamenazas dirigidas al sector de la moda y el comercio electrónico en Italia, donde la protección de datos personales supone un importante reto regulatorio según el RGPD.
El actor malicioso datacarry utiliza un modus operandi de doble extorsión, especialmente temido en el ecosistema cibercriminal. Detectado por primera vez en mayo de 2025, este grupo expandió rápidamente su alcance por toda Europa y el extranjero, con víctimas identificadas en Letonia, Bélgica, Turquía, Sudáfrica, Suiza, Dinamarca y el Reino Unido. Nuestro análisis de datos verificados revela que el grupo exfiltra información sistemáticamente antes del cifrado y luego amenaza con publicarla a través de un portal alojado en la red Tor. Esta estrategia obliga a las organizaciones comprometidas a negociar incluso si cuentan con copias de seguridad funcionales, ya que la filtración de datos confidenciales suele representar un mayor riesgo reputacional y legal que la interrupción operativa.
Analyse détaillée
Los diversos sectores afectados por el ataque datacarry demuestran un enfoque oportunista: seguros, salud, bienes raíces, comercio minorista y aeroespacial se encuentran entre los sectores afectados. Esta versatilidad sugiere que el actor malicioso prioriza las vulnerabilidades de acceso sobre la especialización sectorial. El análisis de los archivos comprometidos muestra que el grupo probablemente explota vectores de ataque iniciales clásicos, como el phishing dirigido, la explotación de vulnerabilidades sin parchear en sistemas expuestos o la vulneración de cuentas privilegiadas. La velocidad de su aparición y su despliegue en varios países indican una organización estructurada, que podría operar según un modelo de ransomware como servicio (RaaS), con afiliados que implementan la carga maliciosa.
Camomilla🇮🇹 es una empresa consolidada en el sector minorista italiano de moda femenina, con más de 25 años de experiencia. Fundada en 1999, la empresa ha crecido hasta contar con entre 100 y 250 empleados y generar unos ingresos anuales de 25 millones de euros. Su negocio combina la venta física en tiendas físicas con una plataforma de comercio electrónico, la cual representa un motor de crecimiento estratégico, pero también una importante superficie de ataque. La organización recopila y procesa datos de clientes a diario, incluyendo información personal de contacto, historial de compras, información de pago y preferencias de comportamiento para la personalización del marketing.
La vulnerabilidad de un minorista de este tamaño expone varias categorías de activos digitales críticos. Las bases de datos de clientes suelen contener nombres completos, direcciones de entrega, números de teléfono y direcciones de correo electrónico de decenas de miles de consumidores italianos y europeos. Los sistemas de gestión de transacciones de comercio electrónico, si bien cumplen con los estándares PCI-DSS para datos bancarios, pueden revelar metadatos de compra que pueden explotarse para campañas de phishing dirigidas o fraude de identidad. El impacto potencial también se extiende a los datos operativos internos: relaciones con proveedores, estrategias comerciales, información de RR. HH. de los empleados y propiedad intelectual relacionada con las colecciones de moda.
La exposición, clasificada como de nivel SEÑAL según la metodología XC-Classify, indica una amenaza comprobada que requiere una mayor vigilancia, aunque aún se están analizando datos técnicos detallados sobre el volumen exacto de información extraída. Este nivel de criticidad refleja la naturaleza sensible de la información personal procesada por un negocio minorista, junto con su presencia confirmada en el portal de fugas de datos. Los datos sugieren que la intrusión probablemente tuvo como objetivo la infraestructura de TI que alberga la plataforma de comercio electrónico y los sistemas de gestión de relaciones con los clientes (CRM), puntos críticos para cualquier minorista omnicanal moderno.
La cronología precisa del ataque permanece parcialmente documentada, y el descubrimiento público se remonta al 6 de diciembre de 2025, a través de la reivindicación de responsabilidad del grupo en el sitio de la fuga. Es probable que la fase inicial de infiltración precediera a este anuncio varias semanas, tiempo durante el cual los atacantes establecieron su persistencia, realizaron un reconocimiento lateral de los sistemas y exfiltraron los datos objetivo. Este plazo típico para las operaciones de doble extorsión deja a las víctimas con un margen de reacción limitado antes de que la información robada se publique, generalmente entre 7 y 14 días, según las prácticas observadas entre diferentes grupos de ransomware.
Las empresas minoristas en Italia se enfrentan a un marco regulatorio estricto en materia de protección de datos personales. El RGPD impone obligaciones de notificación a las autoridades supervisoras (Garante per la protezione dei dati personali en Italia) dentro de las 72 horas siguientes al descubrimiento de una filtración de datos personales. Para Camomilla🇮🇹, esta filtración podría generar la obligación de comunicarse directamente con las personas afectadas si el riesgo para sus derechos y libertades es alto, lo cual parece probable dada la naturaleza de los datos procesados por una empresa de moda.
Más allá del marco del RGPD, la directiva NIS2, transpuesta a la legislación italiana, refuerza los requisitos de ciberseguridad para las entidades medianas que operan en sectores considerados esenciales o importantes. Si bien el comercio minorista no se clasifica sistemáticamente como un sector altamente crítico, los minoristas que superan ciertos umbrales de ingresos o utilizan plataformas digitales a gran escala pueden estar sujetos a obligaciones de notificación de incidentes y cumplimiento técnico. Las consecuencias financieras de una vulneración de este tipo incluyen posibles multas regulatorias de hasta el 4% de los ingresos anuales globales, costos de remediación técnica, gastos de notificación y monitoreo de las personas afectadas, sin mencionar la erosión de la confianza del cliente, difícil de cuantificar, pero estratégicamente devastadora para una marca de moda.
El sector minorista italiano ha experimentado varios incidentes similares en los últimos años, lo que ha generado un clima de mayor vigilancia. La vulneración de Camomilla podría desencadenar una reacción en cadena que afecte a socios logísticos, proveedores de pagos y proveedores de tecnología que comparten interconexiones de sistemas con la marca. Los minoristas de la competencia deberían considerar este incidente como una llamada de atención: los ataques dirigidos al sector minorista suelen seguir oleadas dirigidas a perfiles organizacionales similares, y los ciberdelincuentes reutilizan vectores de ataque que han demostrado ser efectivos.
Gracias al protocolo XC-Audit, este ataque está certificado en la blockchain de Polygon, lo que garantiza una trazabilidad inmutable y verificable, a diferencia de los sistemas centralizados opacos tradicionales. Toda la evidencia recopilada por Datacarry sobre el ataque a Camomilla se registra mediante un hash criptográfico en esta infraestructura descentralizada, lo que permite a cualquier parte interesada verificar la autenticidad y la cronología de la información sin depender de una única autoridad central.
Questions Fréquentes
When did the attack by datacarry on Camomilla🇮🇹 occur?
The attack occurred on December 6, 2025 and was claimed by datacarry. The incident can be tracked directly on the dedicated alert page for Camomilla🇮🇹.
Who is the victim of datacarry?
The victim is Camomilla🇮🇹 and operates in the retail sector. The company is located in Italy. Visit Camomilla🇮🇹's official website. To learn more about the datacarry threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on Camomilla🇮🇹?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on Camomilla🇮🇹 has been claimed by datacarry but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
Este enfoque de blockchain ofrece varias garantías cruciales en el contexto de la inteligencia de ciberamenazas. En primer lugar, impide cualquier modificación retroactiva de los datos del incidente, preservando la integridad de la evidencia para posibles procedimientos legales o auditorías regulatorias. En segundo lugar, establece una fecha verificable para el descubrimiento y la documentación de la amenaza, un elemento crucial para demostrar la debida diligencia ante las autoridades de protección de datos. Finalmente, la transparencia inherente de la blockchain de Polygon permite a los investigadores de seguridad, las aseguradoras cibernéticas y los organismos reguladores revisar de forma independiente los metadatos del incidente, promoviendo una respuesta coordinada basada en hechos verificables en lugar de declaraciones unilaterales.