ESA confirmó un incidente de ciberseguridad en infraestructura fuera de su red corporativa, luego de que un actor malicioso afirmara haber robado más de 200 GB de datos vinculados a proyectos de ingeniería colaborativa.
La Agencia Espacial Europea (ESA) reconoció haber sufrido recientemente un incidente de ciberseguridad que afectó a un número limitado de servidores externos utilizados para actividades de ingeniería colaborativa. El organismo, que coordina los programas espaciales de 23 países miembros y cuenta con cerca de 3 mil empleados, señaló que la infraestructura comprometida no forma parte de su red corporativa central y que la información involucrada es de carácter “no clasificado”.
En una declaración oficial publicada en sus redes sociales, ESA indicó que eran “conscientes de un problema de ciberseguridad reciente que involucra servidores ubicados fuera de la red corporativa de la ESA. Hemos iniciado un análisis forense de seguridad, actualmente en curso, e implementado medidas para asegurar cualquier dispositivo potencialmente afectado”. Según la agencia, el impacto se limita a “un número muy reducido de servidores externos” que dan soporte a proyectos científicos desarrollados junto a la comunidad internacional.
La confirmación se produjo luego de que un actor de amenazas publicara en el foro BreachForums que había logrado acceder durante aproximadamente una semana a sistemas de la ESA, incluyendo plataformas de desarrollo como JIRA y repositorios privados en Bitbucket. Como supuesta prueba, el atacante difundió capturas de pantalla y afirmó haber exfiltrado más de 200 gigabytes de información.
De acuerdo con las declaraciones del actor malicioso, los datos sustraídos incluirían código fuente, configuraciones de pipelines de CI/CD, documentos internos, archivos SQL, infraestructura definida en Terraform, además de credenciales y tokens de acceso. “He estado conectándome a algunos de sus servicios durante una semana y he robado más de 200 GB de datos, incluyendo el volcado de todos sus repositorios privados de Bitbucket”, aseguró el atacante, quien incluso ofreció el material para su venta en la dark web a cambio de criptomonedas.
ESA, sin embargo, no ha confirmado la magnitud ni la naturaleza exacta de los datos supuestamente robados. En su comunicación oficial, el organismo subrayó que los sistemas afectados soportan únicamente actividades de ingeniería no clasificadas y que ya se notificó a “todas las partes interesadas relevantes”. Asimismo, prometió entregar nuevas actualizaciones a medida que avance la investigación forense.
La agencia espacial europea aseguró también que el incidente no ha afectado sus operaciones principales ni misiones en curso, como lanzamientos o procesamiento de datos científicos.
No es la primera vez que la agencia enfrenta un problema de este tipo. A fines del año pasado, su tienda en línea oficial fue comprometida mediante la inyección de código malicioso para robar datos de clientes y tarjetas de pago.