Imagina que entras a Europa.eu para chequear el estado de tu subvención europea más reciente, y de pronto caes en cuenta de que el backend del sitio acaba de entregar tu nombre, email y usuario a unos extorsionadores. Ese es el golpe directo para miles —ciudadanos de la UE, funcionarios, solicitantes—cuyos datos fueron aspirados en la brecha de datos de la Comisión Europea.
Más de 300 GB robados. Detalles personales repartidos en sitios de 71 clientes. Y todo se remonta a un solo compromiso sigiloso en una herramienta diseñada para mantener todo seguro.
Pero aquí va lo clave: no es mala suerte. Es el diseño mismo.
Cómo un escáner ‘seguro’ se convirtió en la puerta trasera
Trivy. El favorito de código abierto de Aqua Security para detectar vulnerabilidades. El 19 de marzo, los hackers de TeamPCP lo infectaron con malware en un ataque en la cadena de suministro. La Comisión Europea bajó la actualización envenenada como cualquier otra, por los canales habituales.
CERT-EU lo pone en claro: “La Comisión Europea estaba usando sin saberlo una versión comprometida de Trivy durante el período relevante, obtenida a través de los canales normales de actualización de software”.
“Esta clave permitió el control sobre otras cuentas de AWS vinculadas a la Comisión Europea. El mismo día, el actor de amenazas intentó descubrir más secretos lanzando TruffleHog, una herramienta común para escanear secretos y validar credenciales de AWS invocando el Security Token Service (STS)”, dice CERT-EU.
Los hackers agarraron una clave API de AWS. ¡Pum! Acceso al backend de Europa.eu. Generaron nuevas claves, hicieron reconocimiento con TruffleHog (ironía pura: un escáner de secretos para hallar más secretos) y succionaron datos de buckets S3.
En resumen: 340 GB sin comprimir. Mayormente emails y usuarios. Algunos rebotes jugosos con formularios enviados por usuarios.
Wiz midió la velocidad: validación, extracción, movimientos laterales. Todo en días. TeamPCP no perdió tiempo; ShinyHunters colgó el botín en Tor para el 28 de marzo.
Por qué los ataques en cadena de suministro se ceban con los gobiernos
Esto ya lo hemos visto. SolarWinds 2020: estados nación manipulando actualizaciones para golpear agencias. Ahora son grupos más improvisados como TeamPCP apuntando a herramientas de desarrollo. ¿El motivo? Eficiencia. Un paquete envenenado contagia a miles.
La configuración de la UE grita vulnerabilidad. AWS compartido para 42 clientes internos de la CE y más de 29 entidades externas. Hosting centralizado —práctico para burócratas, banquete para atacantes.
¿Y Trivy? Está por todos lados porque es gratis, rápido e integra sin problemas (uf, esa palabra). Pero cadena de suministro de código abierto? Un salvaje oeste de mirrors de PyPI y binarios sin verificar. Nadie chequea cada actualización dos veces.
Mi opinión —y esta es la parte que el comunicado oficial maquilla—: CERT-EU habla de análisis ‘complejo’ y que chupa tiempo, pero eso es eufemismo para ‘estamos improvisando’. Revocaron claves, rotaron credenciales, avisaron a las autoridades de protección de datos. Bien. ¿Pero sistemas internos intactos? Eso es humo. Si el backend de Europa.eu se conecta con algo más, las sombras persisten.
Predicción audaz: Prepárense para imitadores. Gobiernos del mundo entero dependen de escáneres OSS. ¿Lo próximo? Tal vez un golpe a Snyk o Dependabot. Hace falta un cambio arquitectónico —verificación de actualizaciones en entornos aislados, o todos seremos víctimas de Trivy.
¿Qué pasa cuando hackers ponen las manos en tus datos de la UE?
Gente de carne y hueso. Tú, revisando el estado de tu visa o búsquedas de empleo en sitios de la CE. 2,22 GB solo en notificaciones —51.992 archivos. Rebotes con emails completos, adjuntos y datos personales.
ShinyHunters son especialistas en doxxing y rescates. Los datos ya circulan online. CERT-EU está revolviendo bases de datos, pero el volumen es una bestia.
¿Y el costo humano? Mina de oro para phishing. Tu e
