Nuevos antecedentes recopilados por el CERT-EU confirman que el acceso ilícito a la infraestructura en la nube de la entidad permitió sustraer grandes volúmenes de información y comprometió a decenas de organismos europeos.
Nuevos antecedentes entregados por CERT-EU y replicados por distintos medios especializados confirman que la brecha de seguridad que afectó recientemente a la Comisión Europea es considerablemente más amplia de lo que se informó en un principio. Los antecedentes revelados por el equipo de respuesta ante incidentes europeo indican que el ciberataque comprometió información vinculada a al menos 30 entidades de la Unión Europea.
El ataque, que tuvo su origen en una vulnerabilidad de la cadena de suministro asociada a la herramienta de seguridad Trivy, y que es utilizada en procesos automatizados dentro de la infraestructura en la nube de la Comisión, permitió a los actores maliciosos explotar una versión comprometida del software. Durante el incidente los atacantes lograron obtener credenciales críticas -incluyendo una clave API de Amazon Web Services (AWS)- las que utilizaron para acceder a múltiples recursos y escalar privilegios dentro del entorno afectado.
Aunque los primeros reportes apuntaban a un incidente contenido y destacaban que no se habían visto afectados sus sistemas internos ni la continuidad de los servicios, un análisis posterior de CERT-EU permitió ampliar el alcance del impacto al confirmar que los datos exfiltrados están relacionados con sitios alojados para hasta 71 clientes del servicio “europa.eu”.
De acuerdo con el comunicado compartido por CERT-EU, los atacantes lograron extraer aproximadamente 91,7 GB de datos comprimidos (unos 340 GB sin comprimir), incluyendo nombres, direcciones de correo electrónico, contenidos de correos y otros datos potencialmente sensibles. Posteriormente, esta información fue publicada en la dark web por el grupo de extorsión ShinyHunters, lo que incrementó el riesgo para las organizaciones afectadas.
El incidente fue detectado el 24 de marzo, aunque la intrusión inicial se habría producido el día 19, evidenciando una ventana de exposición de varios días. Durante ese periodo, los atacantes no solo accedieron a información, sino que también utilizaron herramientas como TruffleHog para identificar nuevas credenciales y consolidar su persistencia en el entorno comprometido.
Desde CERT-EU fueron categóricos al señalar que “evaluamos con alta confianza que el vector inicial fue el compromiso de la cadena de suministro de Trivy”.
Pese a la magnitud del incidente, las autoridades europeas han insistido en que no existe evidencia de movimiento lateral hacia otros sistemas críticos, y que las medidas de contención se implementaron rápidamente tras la detección.
La investigación sobre el incidente sigue en curso y las autoridades continúan notificando a las posibles entidades afectadas, mientras avanzan en el análisis de los datos filtrados para determinar el alcance definitivo del incidente.