La Comisión Europea fue violada después de que los hackers envenenaran la herramienta de seguridad de código abierto Trivy.

      CERT-EU ha atribuido una importante violación de datos en la Comisión Europea al grupo de ciberdelincuencia TeamPCP, que explotó un ataque a la cadena de suministro en la herramienta de seguridad de código abierto Trivy para robar 92 GB de datos comprimidos de la infraestructura de AWS de la Comisión. La notoria banda ShinyHunters luego publicó los datos, que incluían correos electrónicos y detalles personales de hasta 71 clientes de instituciones de la UE. La violación expone la fragilidad de la cadena de suministro de software de código abierto que sustenta las herramientas de seguridad de las que dependen los gobiernos.

      El equipo de respuesta a emergencias informáticas de la Unión Europea dijo el jueves que un ataque a la cadena de suministro en un escáner de seguridad de código abierto le dio a los hackers las claves de la infraestructura en la nube de la Comisión Europea, lo que resultó en el robo y la filtración pública de aproximadamente 92 gigabytes de datos comprimidos que incluían la información personal y el contenido de correos electrónicos del personal de docenas de instituciones de la UE.

      CERT-EU atribuyó la violación a TeamPCP, un grupo de ciberdelincuencia que ha pasado las últimas seis semanas comprometiendo sistemáticamente las herramientas que las organizaciones utilizan para defenderse. Los datos fueron posteriormente publicados en línea por ShinyHunters, la notoria banda de extorsión responsable de violaciones en Ticketmaster, AT&T y más de 60 otras empresas. La doble atribución, un grupo por el hackeo, otro por la filtración, es inusual en las investigaciones de ciberdelincuencia y sugiere un ecosistema en crecimiento de especialización entre los operadores criminales.

      El ataque comenzó el 19 de marzo cuando la Comisión Europea descargó sin saberlo una versión comprometida de Trivy, un escáner de vulnerabilidades de código abierto ampliamente utilizado y mantenido por Aqua Security. TeamPCP había explotado una rotación de credenciales incompleta tras una violación anterior del repositorio de GitHub de Trivy a finales de febrero, manteniendo acceso residual para forzar la inserción de código malicioso en 76 de 77 etiquetas de versión en el repositorio trivy-action. Cuando la tubería de seguridad automatizada de la Comisión extrajo la actualización envenenada, el malware cosechó una clave API de AWS que dio a los atacantes acceso a la cuenta en la nube de la Comisión en Amazon Web Services.

      El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora! Desde allí, la intrusión siguió lo que la Unidad 42 de Palo Alto Networks describió como una campaña de reconocimiento metódica. Los atacantes utilizaron TruffleHog, una herramienta diseñada para escanear credenciales en la nube, para buscar secretos adicionales. Luego adjuntaron una clave de acceso recién creada a un usuario existente para evadir la detección antes de enumerar usuarios y roles de IAM, instancias de EC2, funciones de Lambda, bases de datos de RDS, buckets de S3 y zonas alojadas de Route 53. El enfoque estaba en los clústeres de ECS, mapeando definiciones de tareas para encontrar objetivos para el acceso directo a contenedores y la exfiltración masiva desde AWS Secrets Manager.

      El Centro de Operaciones de Ciberseguridad de la Comisión Europea no detectó la actividad anómala hasta el 24 de marzo, cinco días después del compromiso inicial, cuando las alertas señalaron un posible uso indebido de las API de Amazon y un aumento anormal en el tráfico de red. La Comisión divulgó públicamente el incidente el 27 de marzo. Un día después, ShinyHunters publicó el conjunto de datos en su sitio de filtraciones de la dark web.

      La escala de la exposición es sustancial. Los datos robados se relacionan con sitios web alojados para hasta 71 clientes del servicio de alojamiento web Europa.eu: 42 clientes internos de la Comisión Europea y al menos 29 otras entidades de la UE. CERT-EU confirmó que el conjunto de datos publicado, aproximadamente 340 GB descomprimidos, contenía casi 52,000 archivos de comunicaciones de correo electrónico salientes, junto con listas de nombres, nombres de usuario y direcciones de correo electrónico. Las agencias potencialmente afectadas incluyen la Agencia Europea de Medicamentos, la Autoridad Bancaria Europea, ENISA misma y Frontex, la agencia de guardacostas y fronteras de la UE.

      El compromiso de Trivy no fue un incidente aislado. Entre el 19 y el 27 de marzo, TeamPCP llevó a cabo lo que Palo Alto Networks llamó una campaña sistemática contra la infraestructura de seguridad de código abierto. Después de Trivy, el grupo apuntó a Checkmarx KICS, un escáner de infraestructura como código, forzando la inserción de commits maliciosos en todas las 35 etiquetas de versión el 21 de marzo. Luego pivotaron a LiteLLM, una herramienta de puerta de enlace de IA, porque la tubería CI/CD de BerriAI utilizó Trivy para escanear, y el trivy-action envenenado cosechó un token de publicación de PyPI que permitió a los atacantes insertar paquetes maliciosos directamente en el Índice de Paquetes de Python. Cada herramienta comprometida se convirtió en un vector para alcanzar el siguiente objetivo, creando un ataque en cascada a la cadena de suministro que afectó a organizaciones mucho más allá de la Comisión Europea.

      Las implicaciones para los marcos de gobernanza que Europa ha pasado años construyendo son incómodas. El Reglamento de Ciberseguridad de la UE, adoptado en 2023, fue diseñado para garantizar la resiliencia institucional contra precisamente este tipo de ataque. La Directiva NIS2 responsabiliza directamente a los ejecutivos de nivel directivo por fallos en ciberseguridad, con sanciones que incluyen multas y descalificación. Sin embargo, la propia infraestructura de la Comisión fue comprometida a través de un vector, una actualización envenenada a una herramienta de escaneo de seguridad, que cae directamente en el punto ciego entre la gestión de la cadena de suministro y la protección en tiempo de ejecución.

      TeamPCP, también rastreado como DeadCatx3, PCPcat y ShellForce, ha sido documentado por CrowdStrike, Wiz y SANS como un actor de amenaza nativa de la nube que explota APIs de Docker mal configuradas, clústeres de Kubernetes y servidores de Redis. El grupo ha sido vinculado a campañas de ransomware, exfiltración de datos y criptominería, y recientemente anunció una asociación con CipherForce, otro grupo de ransomware, para co-publicar datos de violaciones. La profesionalización de las operaciones cibercriminales, donde especialistas en acceso inicial, movimiento lateral y extorsión de datos colaboran a través de fronteras organizativas, refleja la división del trabajo que permite a las empresas de ciberseguridad legítimas escalar rápidamente.

      ShinyHunters, por su parte, es una cantidad conocida. El sindicato ha estado operando desde 2020 y posee Breach Forums, uno de los mercados más activos de la dark web para datos robados. El nacional francés Sebastien Raoult fue condenado a tres años de prisión en Seattle por su papel en las operaciones anteriores del grupo, pero la organización ha continuado operando. Su participación en la publicación de los datos de la Comisión sugiere ya sea una relación directa con TeamPCP o una dinámica de mercado en la que los datos robados encuentran su camino hacia el distribuidor más efectivo.

      La violación llega en un momento particularmente sensible para la soberanía digital de la UE. La Comisión depende de AWS para partes de su infraestructura web, una dependencia que ha atraído el escrutinio de legisladores europeos que argumentan que los sistemas gubernamentales críticos deberían funcionar en proveedores de nube europeos. Una violación que se rastrea desde una herramienta de código abierto comprometida hasta una plataforma en la nube estadounidense y hasta un sitio de filtraciones de la dark web operado por un sindicato criminal internacional no hará nada para calmar esas preocupaciones. Sin embargo, intensificará el debate sobre si las ambiciones regulatorias de la UE están a la par con la seguridad operativa de sus propias instituciones.

      Para la industria tecnológica en general, la lección es más inmediata. Las herramientas de seguridad de código abierto que las organizaciones utilizan para escanear su código, auditar su infraestructura y validar su cumplimiento, las herramientas que se supone que son la última línea de defensa, se han convertido en la superficie de ataque. Trivy solo es utilizado por miles de organizaciones en todo el mundo. Cuando el escáner se convierte en el arma, todo el modelo de seguridad automatizada se desmorona, y las suposiciones de confianza que sustentan la infraestructura de software moderna colapsan con él.

      CERT-EU está coordinando la respuesta al incidente bajo el Reglamento de Ciberseguridad de la UE y continúa analizando el conjunto de datos publicado. Para los 71 clientes cuyos datos pueden haber sido comprometidos, el proceso de remediación apenas está comenzando. Para el ecosistema tecnológico europeo que depende de las mismas herramientas de código abierto e infraestructura en la nube, la violación es una advertencia