La agencia de ciberseguridad de la Unión Europea, CERT-EU, ha confirmado que una importante violación de datos reciente que afectó a la Comisión Europea fue el resultado de un esfuerzo coordinado de dos grupos de hackers distintos: TeamPCP y ShinyHunters. El incidente comprometió aproximadamente 92 gigabytes de datos comprimidos, incluida información personal como nombres, direcciones de correo electrónico y el contenido de los correos electrónicos.
Detalles y alcance de la infracción
El ataque se originó el 19 de marzo, cuando los piratas informáticos obtuvieron una clave API secreta vinculada a la cuenta de Amazon Web Services (AWS) de la Comisión. Este acceso se obtuvo a través de una versión comprometida de la herramienta de seguridad de código abierto Trivy, que la Comisión descargó sin saberlo después de una infracción anterior. Los datos robados afectaron no solo a la Comisión sino potencialmente a al menos otras 29 entidades de la UE que dependen de la infraestructura en la nube de la Comisión para sus sitios web y publicaciones.
Más tarde, ShinyHunters se atribuyó la responsabilidad de publicar los datos filtrados en línea. Según un miembro del grupo, adquirieron algunos de los archivos robados de TeamPCP después de ataques anteriores y luego los difundieron públicamente.
Por qué esto es importante: el aumento de los ataques a la cadena de suministro
Este incidente es notable porque resalta una tendencia creciente en el cibercrimen: ataques a la cadena de suministro. Al comprometer herramientas como Trivy, los piratas informáticos obtienen acceso a múltiples organizaciones que dependen del mismo software. Esta estrategia maximiza el impacto con el mínimo esfuerzo. Como explica la Unidad 42 de Palo Alto Networks, apuntar a desarrolladores con acceso a sistemas confidenciales permite a los piratas informáticos extorsionar a las organizaciones para que paguen un rescate.
El hecho de que estuvieran involucrados dos grupos separados también sugiere una posible colaboración o explotación oportunista de la misma vulnerabilidad. CERT-EU se está poniendo en contacto con las organizaciones afectadas para mitigar daños mayores. El portavoz de la Comisión declinó hacer comentarios de inmediato y afirmó que responderían la próxima semana.
Riesgos de exposición de datos
El análisis de los archivos filtrados revela que aproximadamente 52.000 archivos contienen mensajes de correo electrónico. Si bien muchos de estos están automatizados con poco contenido, los correos electrónicos que se devuelven debido a errores pueden exponer los datos originales enviados por el usuario, creando un riesgo de que la información personal se vea comprometida.
Esta violación subraya la vulnerabilidad de incluso instituciones de alto perfil a vectores de ataque comunes como compromisos de la cadena de suministro y claves API robadas. El incidente sirve como un claro recordatorio para que las organizaciones den prioridad a las actualizaciones de seguridad de software, controles de acceso sólidos y un monitoreo atento de su infraestructura en la nube.
