Ecopetrol informó que identificó un incidente de ciberseguridad que involucró un acceso no autorizado a parte de sus recursos digitales y un intento de ejecución de un ataque de ransomware, el cual, según la compañía, fue bloqueado por los controles de ciberseguridad implementados dentro del Grupo Ecopetrol.

De acuerdo con un comunicado divulgado este 17 de julio, el acceso no autorizado fue realizado por “un actor externo aún no identificado” y afectó entornos de almacenamiento de archivos en la nube correspondientes a aproximadamente 15 compañías del Grupo Ecopetrol.
#InformaciónRelevante | Ecopetrol informa sobre un incidente cibernético. Lee más aquí 👇 pic.twitter.com/l7Pkog1QqH
— Ecopetrol (@ECOPETROL_SA) July 18, 2026
La empresa explicó que este acceso derivó en la descarga no autorizada de información asociada con cerca de 3.300 cuentas de usuario. Asimismo, indicó que el responsable del ataque “comunicó exigencias de extorsión, amenazando con divulgar públicamente la información extraída ilegalmente”.
Tras detectar el incidente, Ecopetrol señaló que puso en marcha sus protocolos de atención y respuesta para contener la situación e inició una investigación interna con el propósito de reducir el riesgo de que la información obtenida sea divulgada.
Entre las medidas adoptadas se encuentran la revocación inmediata de los accesos comprometidos, el bloqueo de mecanismos asociados con descargas masivas de información, la identificación de las tácticas utilizadas por el atacante y la implementación de acciones para restringir o bloquear infraestructuras externas empleadas para almacenar o descargar los datos.
La compañía también informó que presentó una denuncia penal ante la Fiscalía General de la Nación y que activó mecanismos de cooperación con entidades nacionales especializadas en la investigación de este tipo de delitos.

De igual forma, indicó que trabaja con aseguradoras y expertos del mercado de capitales para atender las implicaciones derivadas del incidente.
Como parte de la respuesta, Ecopetrol realiza una valoración de la información descargada para establecer su nivel de criticidad y mantiene un monitoreo reforzado de su infraestructura tecnológica mediante esquemas de alerta y validación permanente de sus controles preventivos.

En cuanto al impacto sobre sus operaciones, la empresa aseguró que, hasta el momento, “no ha identificado ninguna interrupción material de sus operaciones críticas, capacidad de producción o servicios esenciales”, ni tampoco un efecto financiero directo que le impida continuar con sus actividades.
Según el comunicado, la información comprometida “podría incluir datos confidenciales, de carácter reservado, de propiedad exclusiva o datos personales”, por lo que advirtió que “no es posible asegurar que este incidente no vaya a tener algún tipo de efecto adverso material sobre el negocio, la reputación, los resultados operacionales o la situación financiera de la compañía”.
Ecopetrol agregó que seguirá monitoreando la evolución del caso y afirmó que, si durante la investigación se identifican hechos o información relevante que deba ser divulgada al mercado, lo hará “oportunamente de conformidad con la normativa aplicable”.
