¿Quién es Truenorth? La empresa que expuso la vulnerabilidad cibernética del Gobierno

El ataque de ransomware del 25 de noviembre de 2025 revelado en primicia por INDIARIO expuso una falla profunda en la arquitectura digital del Gobierno de Puerto Rico: la vulnerabilidad de su infraestructura depende directamente de los contratistas que administran sistemas críticos.

Aunque inicialmente trascendió como un ataque dirigido a tres agencias del Gobierno de Puerto Rico, el secretario de la gobernación, licenciado Francisco Domenech, aclaró al día siguiente que el incidente no se originó en las agencias públicas, sino en Truenorth Corporation, uno de los proveedores tecnológicos más importantes del aparato gubernamental.

Esa distinción, lejos de disminuir la gravedad del evento, la amplifica. Si un solo suplidor con acceso privilegiado es comprometido, el impacto puede propagarse rápidamente a múltiples agencias, tal como ocurrió.

Truenorth Corporation se autodenomina en su página web como una firma de “transformación empresarial y tecnológica” que presta servicios tanto a empresas privadas como a agencias gubernamentales. La entidad ofrece un portafolio amplio se servicios, tales como gestión tecnológica (infraestructura híbrida on-premise y nube, nube híbrida, administración de tecnología), desarrollo de software, consultoría de procesos, gestión de proyectos, y soluciones para “revenue assurance” (garantizar o proteger ingresos, optimizar eficiencia operativa, mejorar procesos de negocios).

Además, Truenorth desarrolla sus propios productos de software diseñados para necesidades específicas que, según su website, no estaban bien cubiertas por soluciones estándares.

En cuanto a su estructura corporativa, Truenorth publica en su portal que fue fundada por un grupo de socios. Entre los miembros del equipo ejecutivo aparecen Carlos Fernández como Presidente, Gabriel Fernández como CEO, William Román como CTO, y Fabián Fejgielman como CCO. De esta forma, la empresa se presenta como una corporación privada, dirigida por sus fundadores, y con un liderazgo que mezcla gestión, tecnología y consultoría.

Truenorth rindió cuentas a DACO pero, ¿y el documento?

Tras el incidente, Truenorth cumplió con su obligación legal de notificar al Departamento de Asuntos del Consumidor (DACO) sobre la violación de seguridad que comprometió información bajo su custodia, según dispone la Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información (Ley 111-2005). De acuerdo con la agencia, la cual cambió de mando tras el despido fulminante de la licenciada Valerie Rodríguez Erazo, la empresa presentó su notificación formal el 4 de diciembre de 2024. Esta comunicación llegó a la dependencia dentro del término que exige la ley para informar al regulador cuando ocurre un incidente que potencialmente expone datos personales de residentes en Puerto Rico, de acuerdo con el portavoz de prensa del nuevo secretario, Hiram Torres Montalvo.

Este requisito aplica a toda entidad privada con acceso o control de archivos que contengan información sensitiva, y la notificación al DACO activa el proceso de divulgación pública correspondiente.

No obstante, al cierre de esta edición, el portavoz de DACO aún no ha provisto a INDIARIO copia del documento sometido por Truenorth, pese a ser solicitado en varias ocasiones. La ausencia de esta información impide conocer con precisión el alcance del incidente, la naturaleza de los datos comprometidos y las medidas que la empresa indicó haber tomado para mitigar el riesgo, elementos que la ley obliga a detallar en la notificación.

De acuerdo con un informe interno que este medio obtuvo, el ataque ocurrió mediante el compromiso de credenciales asociadas a un proveedor con privilegios administrativos. Ese punto de entrada permitió que el ransomware afectara simultáneamente a la Corporación del Fondo del Seguro del Estado (CFSE), la Administración de Seguros de Salud (ASES) y el Departamento de Educación.

En la CFSE, el ataque comprometió más de 150 servidores Windows y Linux, comprometiendo sistemas financieros, portales y servicios a lesionados. En ASES, cerca de 30 servidores quedaron inoperantes, afectando bases de datos esenciales, mientras que en Educación se comprometieron 11 servidores, incluyendo plataformas como PowerSchool, sistemas de asistencia y herramientas administrativas utilizadas por personal y escuelas en toda la isla.

El incidente no solo detuvo servicios clave, sino que también elevó el riesgo de exfiltración de datos sensitivos y dejó abierta la posibilidad de que otras entidades aún no identificadas hayan sido impactadas. Aunque PRITS activó su equipo de respuesta cibernética (CSIRT) y coordinó con CISA y el FBI para contener la intrusión, su reacción confirma una realidad preocupante: el modelo de seguridad del gobierno es principalmente reactivo, sin una estructura preventiva robusta ni un monitoreo unificado que permita anticipar incidentes de esta escala.

La mención de Truenorth como posible origen del ataque colocó la atención en su rol dentro del ecosistema tecnológico del Estado. Documentos de la Oficina del Contralor examinados por INDIARIO revelan que esta empresa mantiene contratos con agencias gubernamentales desde al menos 2008. Su presencia es amplia y multimillonaria, con acuerdos significativos para administrar sistemas de información, procesamiento de datos, servicios técnicos, manejo de bases y plataformas críticas.

Entre los clientes más relevantes aparecen el Departamento de Educación —con contratos que superan los $4 millones—, el Departamento de Salud, la Autoridad de Acueductos y Alcantarillados (AAA), el Departamento de Hacienda, el CRIM, ASES, la AEE, la Oficina del Gobernador y otras corporaciones públicas. La magnitud y diversidad de estos contratos pudiera explicar por qué una credencial comprometida asociada a un proveedor podría generar una interrupción transversal a través de diferentes áreas del Gobierno.

Dicho informe interno recomienda medidas urgentes para corregir el problema estructural evidenciado por el ataque. Entre ellas, la creación de un Security Operations Center (SOC) con monitoreo 24/7, la implementación del modelo Zero Trust para eliminar accesos implícitos, la adopción obligatoria de autenticación multifactor en todos los sistemas gubernamentales, ciclos más rápidos de instalación de parchos, pruebas de penetración periódicas y, sobre todo, un sistema formal y auditable para manejar y supervisar a terceros con acceso privilegiado.

Estas recomendaciones no son solo ajustes técnicos, sino transformaciones esenciales para evitar que un solo proveedor vuelva a representar un punto de falla sistémica. De confirmarse la exfiltración de datos personales, el Gobierno tendría que activar protocolos de notificación según las leyes de privacidad federales y estatales, incluyendo HIPAA y FERPA. Las implicaciones legales podrían ser significativas, especialmente en áreas como salud y educación, donde la información expuesta tendría alto grado de sensibilidad.