A finales de marzo de 2026, un actor de amenazas que operaba bajo el alias "The_Auditors" afirmó haber vulnerado BlackLine Systems, un proveedor de software de contabilidad y automatización financiera con sede en Estados Unidos. El atacante alega la exfiltración de aproximadamente 354 GB de documentos financieros y operativos confidenciales, que supuestamente suman más de 1,5 millones de registros pertenecientes no solo a BlackLine, sino también a sus clientes empresariales. En el momento de escribir estas líneas, BlackLine no ha confirmado públicamente la filtración, y las afirmaciones siguen sin verificarse. Sin embargo, varias empresas de inteligencia de ciberseguridad han evaluado las acusaciones como creíbles basándose en múltiples indicadores.

Dado el papel de BlackLine como plataforma central de operaciones financieras para organizaciones multinacionales, el incidente presenta un riesgo material para terceros, en particular en relación con el fraude, el compromiso del correo electrónico empresarial (BEC) y la exposición regulatoria.

Resumen del incidente

• Fecha de revelación: 31 de marzo de 2026 (publicación en la dark web)
• Actor de la amenaza: "The_Auditors"
• Supuesto volumen de datos: ~354,4 GB
• Supuestos registros: ~1,53 millones de documentos
• Tipo de datos: Documentos de cuentas a pagar/cobrar, facturas, licencias, certificados y metadatos financieros procesados en nombre de clientes de BlackLine
• Método de distribución: Puesta a la venta en un foro de ciberdelincuentes, con indicios de intento de extorsión antes de la publicación.
  

Posición actual de BlackLine

A 28 de abril de 2026:

• No se ha emitido ninguna notificación formal de violación a través de Trust.BlackLine.com
• BlackLine informa de la disponibilidad normal de la plataforma sin que se hayan notificado incidentes de seguridad activos.
• A principios de abril de 2026 se produjo una sustitución de certificados clasificada como "mantenimiento crítico"; aunque no se ha confirmado que esté relacionada con una brecha, el momento ha suscitado el interés de los analistas de inteligencia de amenazas.

Observaciones de inteligencia de amenazas:

Nuestro equipo interno de inteligencia sobre amenazas ha revisado y confirmado pruebas de un puesto en la web oscura, incluidas solicitudes de negociación relacionadas con el conjunto de datos. El seguimiento en curso en abril indica una actividad continua consistente con el intento de reventa y monetización secundaria de los datos supuestamente relacionados con el incidente. Desde el punto de vista del riesgo, esto apunta a una elevada exposición al fraude a pesar de la falta de confirmación del proveedor, con indicios de que un conjunto de datos más amplio al que se hace referencia en estas reclamaciones sigue comercializándose activamente.

Medidas recomendadas para los clientes de BlackLine

Se recomienda a las organizaciones que utilizan BlackLine que tomen inmediatamente las siguientes medidas de precaución:

• Tratar a BlackLine como un posibleproveedorafectado por la brechahasta que se demuestre lo contrario de forma concluyente.
• Alertar a los equipos financieros y de cuentas a pagar sobre el elevado riesgo de fraude en las facturas y las solicitudes de modificación de pagos.
• Implemente una verificación secundaria para cualquier:
  • Modificaciones de datos bancarios
  • Solicitudes de pago urgentes
  • Solicitudes que hagan referencia a documentos BlackLine o actividad de soporte

Revisión dedocumentoshistóricos procesados por BlackLinepara detectar la exposición de datos sensibles (datos bancarios, firmas, NIF).

Supervise la filtración de datos que hagan referencia a su organización en los canales de supervisión de la Web oscura.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuenta o, alternativamente, póngase en contactopara averiguar cómo puede proteger su organización.