Grafana Labs se niega a pagar el rescate después de que los hackers robaran código que ya era de código abierto.

      Los hackers exfiltraron una base de código que ya era de código abierto, y luego exigieron un pago para evitar que se publicara. Grafana dijo que no, y citó el consejo permanente del FBI. Es el segundo caso de extorsión de alto perfil en siete días.

      Grafana Labs, la empresa de monitoreo y visualización de código abierto, reveló el lunes que los hackers habían irrumpido en su entorno de desarrollo, exfiltrado una copia de su base de código y exigido un rescate para evitar que el código fuera liberado.

      La empresa dijo que no, y la base de código, en el hecho más incómodo de la historia, ya es de código abierto.

      La mecánica es la parte que importa. La propia declaración de Grafana en X confirmó que los atacantes obtuvieron una credencial de token robada, que les dio acceso al entorno de GitHub de la empresa, que Grafana utiliza para el desarrollo de código.

      El token no proporcionó, según la cuenta de la empresa, acceso a registros de clientes, sistemas de clientes o datos financieros. El token ha sido invalidado desde entonces, y se han implementado controles de seguridad adicionales.

      The Hacker News informa que la causa raíz fue una Acción de GitHub recientemente habilitada que contenía una mala configuración de ‘Pwn Request’, en la que un flujo de trabajo pull_request_target otorgó a contribuyentes externos acceso a secretos de CI de producción, y que la intrusión fue detectada por uno de los tokens canarios desplegados de Grafana, lo que activó una alerta interna.

      Los atacantes, identificados en la cobertura de Register y HelpNet como un grupo de extorsión de datos que se hace llamar CoinbaseCartel (activo en la escena del cibercrimen desde septiembre de 2025, en el seguimiento de Halcyon y Fortinet FortiGuard), enmarcaron la presión como una elección de liberar o pagar.

      La respuesta de la empresa, en sus propias palabras: ‘El atacante intentó extorsionarnos, exigiendo un pago para evitar la liberación de nuestra base de código.’

      Grafana citó el consejo de larga data del FBI de que pagar rescates no garantiza que usted o su organización recuperen algún dato, ‘ofrece un incentivo para que otros se involucren en este tipo de actividad ilegal, y en última instancia financia ataques adicionales.

      Lo que le da textura al caso es la comparación de siete días. El gigante de la tecnología educativa Instructure, cuya plataforma de gestión de aprendizaje Canvas sirve a 275 millones de usuarios en más de 8,800 instituciones, llegó a un acuerdo con los hackers la semana pasada después de haber sido violado dos veces en semanas sucesivas por el grupo ShinyHunters.

      Instructure no ha divulgado públicamente la cantidad pagada; estimaciones no confirmadas de la industria sitúan la cifra en alrededor de $10 millones. Instructure dijo que recibió ‘confirmación digital de destrucción de datos (registros de destrucción)’ y garantías de que los clientes no serían extorsionados posteriormente.

      La reacción de los profesionales de seguridad fue, en la versión educada, escéptica de esas garantías.

      Los dos casos se sitúan en los extremos polares del manual. Instructure pagó porque los datos robados eran información personal de estudiantes y personal que no se podía deshacer una vez publicados.

      Grafana se negó porque el material robado era código que cualquiera ya podía descargar de los repositorios públicos de la empresa. La amenaza era, en ese sentido, performativa.

      Los atacantes hicieron la demanda de todos modos, asumiendo que un cierto porcentaje de las víctimas paga independientemente de si existe la presión subyacente.

      La lectura estructural de la semana pasada de incidentes es la recurrente. El lado defensivo de la industria del software empresarial se ha estado reorientando en torno al descubrimiento de vulnerabilidades impulsado por IA: el modelo Mythos de Anthropic ha estado encontrando miles de fallos de día cero en sistemas operativos y navegadores principales, y los reguladores de bancos centrales se han movido agresivamente para monitorear lo que las mismas capacidades significan dentro del sistema financiero, con la empresa informando al Consejo de Estabilidad Financiera sobre sus hallazgos.

      La violación de Grafana no fue un ataque impulsado por IA según la evidencia disponible. Fue una explotación de mal uso de token contra un flujo de trabajo de GitHub, el tipo de intrusión que ha sido la violación de datos modal durante los últimos seis años. La mecánica no ha cambiado. La lógica de extorsión que las sigue es lo que está evolucionando.

      Grafana dijo que su investigación está en curso y publicará sus hallazgos una vez que la investigación esté completa.

      La empresa no divulgó qué repositorios específicos fueron exfiltrados, ni nombró al actor de la amenaza en su propia declaración. La lección más estrecha es que la guía de no pago del FBI finalmente está siendo tratada como política por empresas con modelos de negocio suficientemente públicos para absorber la óptica.

      Grafana tiene la ventaja inusual de que su producto es de código abierto por diseño. Si la postura de no pago se extiende a empresas con propiedad intelectual propietaria, será la próxima prueba que los actores de la amenaza establecerán.