Resumen
El 10 de julio de 2026, la Kenya National Highways Authority (KeNHA) sufrió un ataque cibernético asociado al grupo malicioso "deadlock". Este incidente afectó a la organización encargada de la construcción, gestión y mantenimiento de las carreteras nacionales en Kenia. El grupo atacante no ha sido identificado con claridad, pero los indicadores de compromiso (IOCs) revelan conexiones con dominios web que podrían estar relacionados con actividades maliciosas.
La Victima
KeNHA es la autoridad keniana encargada de supervisar y mantener las carreteras nacionales (clases S, A y B). Su portal oficial (https://kenha.co.ke/) proporciona información sobre proyectos en curso, mantenimiento y programas de infraestructura. Los datos comprometidos podrían incluir información sensible relacionada con la planificación y ejecución de obras públicas.
El Grupo Atacante
El grupo malicioso identificado como "deadlock" no ha sido oficialmente catalogado ni atribuido a un sector específico. Según los datos proporcionados, no hay evidencia de una conexión con sectores como el financiero o la salud. El ataque parece haberse concentrado en la infraestructura digital de KeNHA sin revelar detalles sobre su metodología o motivación.
Cronologia del Ataque
El incidente ocurrió el 10 de julio de 2026 a las 12:59:27 UTC, según los registros del sistema. No se han proporcionado detalles sobre la duración o el tipo específico de ataque, pero los IOCs sugieren que el grupo utilizó técnicas de acceso no autorizado a través de dominios web vinculados a actividades maliciosas.
Datos Comprometidos
No se han divulgado detalles concretos sobre qué tipo de datos fueron afectados. Sin embargo, la vulnerabilidad en el sistema de KeNHA podría haber expuesto información crítica relacionada con la gestión de carreteras, proyectos en curso o sistemas internos de comunicación.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| URL | https://kenha.co.ke/ | Portal oficial de KeNHA con acceso al intranet corporativo. |
| URL | https://summa4.es/ | Sitio web vinculado a asesorías legales y tributarias, potencialmente relacionado con actividades maliciosas. |
| URL | https://www.hornavanhotell.se/ | Sitio de un hotel en Suecia, no directamente relacionado con el ataque. |
| URL | https://tele-finity.com/ | Sitio de una empresa de comunicaciones, vinculado a sistemas de gestión de llamadas. |
| URL | https://donjon.com.sg/ | Sitio web con sede en Singapur, no directamente relacionado con el ataque. |
| URL | https://www.chenghengpaper.com/ | Sitio de una empresa china especializada en papel, no directamente relacionado. |
| URL | https://nobani.com/ | Sitio web con sede en Singapur, vinculado a actividades tributarias. |
| URL | https://www.fidelitypensionmanagers.com/ | Sitio de una empresa de gestión de pensiones, no directamente relacionado. |
| URL | http://www.cad93.it/ | Sitio web italiano con sede en Milán, no directamente relacionado. |
| URL | https://www.seciltr.com/ | Sitio de una empresa en España con sede en Madrid, no directamente relacionado. |
| URL | https://autopark.com.br/ | Sitio web brasileño, no directamente relacionado. |
| URL | https://www.bredaenergia.it | Sitio web italiano con sede en Roma, no directamente relacionado. |
| URL | https://www.muzeumvalassko.cz/ | Sitio web en República Checa, no directamente relacionado. |
| URL | https://bers.bg/ | Sitio web búlgaro, no directamente relacionado. |
| URL | https://www.nipponexpressitalia.com/ | Sitio web de una empresa de seguros en Italia, no directamente relacionado. |
| URL | https://www.afw.sg/ | Sitio web con sede en Singapur, no directamente relacionado. |
| URL | https://finamgabon.com/ | Sitio web con sede en Gabón, no directamente relacionado. |
| URL | https://iask.hu/en/ | Sitio web húngaro, no directamente relacionado. |
| URL | https://esnova.com | Sitio web español, no directamente relacionado. |
| URL | https://www.noegasystems.com/en | Sitio web con sede en Estados Unidos, no directamente relacionado. |
Conclusion
El ataque a KeNHA representa un riesgo para la infraestructura crítica de Kenia. Aunque los datos específicos del incidente no han sido revelados, la detección de dominios web vinculados a actividades maliciosas sugiere que el grupo "deadlock" ha ejercido una presión cibernética sobre la organización. Las autoridades deben revisar sus protocolos de seguridad y monitorear los IOCs mencionados para prevenir futuros incidentes similares.