Seguridad y Riesgo6 min24 de junio de 2026

Bajaj Auto admite ataque de ransomware a las 8 de la mañana y expone la falla india en proteger activos industriales

Linha de montagem de motocicletas parada à noite, com monitores industriais exibindo ícones vermelhos de bloqueio e um capacete de segurança abandonado em um banco

El fabricante indio, propietario de la tercera mayor flota global de motocicletas, comunicó a la SEBI un ataque que afectó a la matriz y a la subsidiaria técnica. La CERT-In fue notificada y hasta el cierre de este informe, ningún grupo cibercriminal había reclamado el ataque.

Bajaj Auto comunicó este martes, en un filing regulatorio enviado a la Bombay Stock Exchange y a la National Stock Exchange of India, que sufrió un ataque de ransomware iniciado alrededor de las 08:00 IST del 23 de junio. El incidente afectó sistemas de la empresa matriz, con sede en Pune, y también de la subsidiaria integral Bajaj Auto Technology Limited, que se dedica a la ingeniería y plataformas digitales. La divulgación se realizó bajo la Regulation 30 de las LODR Regulations de la SEBI, que obliga a las compañías listadas a informar eventos materiales al mercado, y el caso fue reportado a la CERT-In conforme a la Information Technology Act, 2000.

La empresa afirma que su equipo técnico interno, junto con especialistas externos en seguridad y la alta dirección, activó "protocolos de contención y medidas preventivas" para limitar la propagación del ataque, y declara que estas acciones "fueron exitosas" en su objetivo de mitigar el impacto operativo. Hasta el cierre de este informe, Bajaj Auto no ha detallado públicamente qué sistemas fueron cifrados, si hubo exfiltración de datos de clientes o proveedores, cuál es el estado de las líneas de producción en Chakan, Waluj y Pantnagar, ni qué grupo cibercriminal sería responsable. Ningún sitio de filtraciones conocido reclamó el ataque hasta la tarde del martes en Mumbai.

Por qué este objetivo es incómodo para el sector

Bajaj Auto no es una víctima cualquiera. La empresa fabrica más de 4 millones de vehículos al año para el mercado interno indio, exporta a 70 países y cerró el ejercicio fiscal de marzo de 2026 con ingresos en moneda extranjera de ₹15.864 crore, aproximadamente US$ 1.9 mil millones. En motocicletas, es la tercera mayor del mundo en volumen, solo detrás de Honda y Yamaha. Para el lector que realiza arquitectura corporativa, la lectura inmediata es OT/IT: líneas de montaje con PLC y SCADA integrados a ERPs en SAP, paneles MES comunicándose con la nube, y la subsidiaria BATL sosteniendo software embebido en motos y vehículos de tres ruedas.

Nada de lo que la empresa ha divulgado excluye el escenario en el que la producción se detuvo en alguna de las cuatro plantas y el ataque haya alcanzado la capa operativa. El silencio sobre planta específica y duración del downtime es el mismo patrón observado cuando Jaguar Land Rover y Clorox tardaron semanas en recuperar capacidad después de incidentes recientes.

La ola que se aproxima para Asia industrial

El ataque se inscribe en un patrón claro de 2025-2026, donde grupos de ransomware han migrado de salud y administraciones públicas a manufactura de alto volumen, donde el costo del downtime se puede medir en horas. Honda en 2020, Norsk Hydro en 2019, JBS en 2021 y Toyota en 2022 marcaron la primera ola. Lo que ha cambiado en 2026 es el ritmo de incidentes en fabricantes indios: la industria de TI india ha ganado terreno en la defensa cibernética, pero el suelo de fábrica del país, que emplea decenas de millones y abastece líneas globales de electrodomésticos, piezas automotrices y farmacéuticas, sigue rezagado en segmentación de red, gestión de identidad privilegiada en entornos OT y visibilidad sobre activos legacy.

La lectura para Brasil es directa. Bajaj no tiene fábrica local, pero vende motocicletas Pulsar y Dominar ensambladas por socios, y compite con Honda y Yamaha en el mercado de motos urbanas, un segmento que volvió a crecer a doble dígito en 2025 en el país según la Fenabrave. Operadores brasileños de logística de última milla y aplicaciones de entrega dependen de este flujo de piezas para mantener la flota disponible. Si el ataque comprometió la cadena de piezas de repuesto o el software embebido mantenido por BATL, los distribuidores latinoamericanos sentirán el retraso. Paralelamente, fabricantes brasileños ya han experimentado episodios análogos, como Embraer en 2020 y RNP en 2023, y la postura de Brasília a través de la ANPD sigue siendo más lenta que la regulación india, donde la divulgación obligatoria a la CERT-In en un plazo de hasta seis horas fomenta la transparencia inicial.

La pieza que aún falta

Sin confirmación de grupo de ransomware, sin detalle de vector inicial, sin confirmación o negación de exfiltración y sin cronograma de recuperación plena, la comunicación de Bajaj cumple con la obligación legal mínima bajo la SEBI y la CERT-In, pero deja al mercado calculando en la oscuridad. Bajaj Auto Ltd no había respondido a solicitudes adicionales de comentario hasta el cierre de este informe. Para los competidores que operan stacks similares con plantas conectadas, lo que está en juego esta semana no es solidaridad por la víctima, sino la urgente revisión de identidades privilegiadas en VPNs de proveedores y la prueba real del tiempo de detección en entornos OT.