El servicio de ciberseguridad de la Unión Europea, CERT-EU, ha identificado a TeamPCP como el actor responsable de una intrusión que afectó la infraestructura en la nube de la Comisión Europea. Según el análisis, los atacantes consiguieron una clave secreta de AWS y, a partir de ahí, extrajeron contenidos alojados en el servicio de publicación europa.eu. Esta acción provocó la exfiltración de datos personales y documentos institucionales, que posteriormente fueron publicados por el colectivo conocido como ShinyHunters.
En el núcleo del ataque estuvo una vulnerabilidad de cadena de suministro relacionada con el escáner de seguridad Trivy.
El caso combina técnicas de supply chain con explotación de credenciales en entornos cloud: CERT-EU indica que la intrusión se originó el 19 de marzo cuando se obtuvo una clave API secreta, aunque otros informes documentan actividad desde el 10 de marzo y notificaciones a la Comisión los días 24, 27 y 28 de marzo.
La cifra de datos publicados varía según las fuentes: cerca de 92 gigabytes comprimidos (algunos medios citan 91,7 GB) que equivaldrían a aproximadamente 340 GB una vez descomprimidos. Entre los ficheros hay miles de correos salientes y listas con nombres y direcciones de correo.
Cómo se produjo la intrusión
El vector inicial fue una versión comprometida de Trivy, la herramienta de análisis que muchos desarrolladores integran en sus procesos.
Al actualizar o descargar esa versión maliciosa, la Comisión habría instalado código que permitió a los atacantes obtener secretos almacenados en los entornos de desarrollo. Con una clave API de AWS en su poder, los atacantes accedieron al entorno cloud y comenzaron una búsqueda sistemática de otros secretos mediante herramientas como TruffleHog. CERT-EU describe este proceso como una técnica de búsqueda y ampliación de acceso para pivotar dentro de cuentas y unir credenciales a usuarios existentes con el fin de evitar detección.
Tácticas, actores y colaboración entre delincuentes
En este episodio participaron al menos dos grupos criminales con roles distintos: TeamPCP obtuvo el acceso inicial y extrajo la información, mientras que ShinyHunters se encargó de publicar la copia filtrada. TeamPCP ya había sido vinculado por fabricantes de seguridad a campañas de ransomware, minería de criptomonedas y a ataques contra proyectos de código abierto. Firmas de seguridad como Aqua Security y Unit 42 han señalado una campaña sistemática contra herramientas y repositorios de desarrolladores (GitHub, PyPI, NPM, Docker) que facilita precisamente este tipo de violaciones.
Métodos técnicos detectados
Los informes muestran pasos concretos: obtención de la API key, exploración con herramientas de búsqueda de secretos, creación de nuevas claves asociadas a usuarios existentes y extracción masiva de ficheros. CERT-EU confirmó la presencia de al menos 51.992 archivos relacionados con correos salientes, muchos de ellos notificaciones automatizadas; sin embargo, los mensajes que rebotaron podrían contener contenido original enviado por usuarios, aumentando el riesgo de exposición de datos personales. A pesar del alcance, no se detectó movimiento lateral a otras cuentas de AWS ni alteración de sitios web alojados, según la misma agencia.
Publicación y alcance del material filtrado
Tras la exfiltración, ShinyHunters subió un archivo comprimido con la base de datos robada a su espacio en la web oscura. El paquete comprimido ronda los 92 GB y contiene nombres, direcciones de correo y el contenido de correos electrónicos, así como bases de datos y documentos administrativos. CERT-EU estima que hasta 71 clientes del servicio de alojamiento Europa podrían haberse visto afectados: 42 clientes internos de la Comisión y al menos 29 otras entidades de la Unión. Las autoridades han comenzado a contactar a las organizaciones potencialmente dañadas y a notificar a las autoridades de protección de datos correspondientes.
Consecuencias y medidas recomendadas
El incidente pone de manifiesto la fragilidad que supone confiar en componentes de terceros dentro de pipelines de desarrollo. Entre las recomendaciones urgentes figuran la rotación inmediata de credenciales comprometidas, la auditoría de dependencias y la implementación de controles de detección sobre el uso de claves API en entornos productivos. Además, es esencial ampliar los análisis forenses para determinar el alcance exacto de la exfiltración y reforzar mecanismos de gestión de secretos, como el uso de vaults y políticas de privilegios mínimos.
Para las organizaciones que hospeden información en plataformas compartidas, la lección es clara: reforzar la gobernanza del desarrollo y aplicar inspecciones a las cadenas de suministro del software. La combinación de vigilancia continua, segmentación de accesos y respuestas coordinadas entre equipos de seguridad permitirá mitigar el impacto de ataques similares en el futuro. CERT-EU continúa investigando y comunicando hallazgos a las partes afectadas.
