La Comisión Europea sufre una brecha de datos que afecta a 30 entidades de la UE, según CERT-EU

La Comisión Europea sufre una brecha de datos que afecta a 30 entidades de la UE, según CERT-EU

por

brecha datos Comisión Europea — Una brecha de datos en la Comisión Europea ha expuesto información sensible de al menos 30 entidades de la Unión, según la investigación confirmada por CERT-EU, el equipo de respuesta a emergencias informáticas de la UE. El incidente, públicamente revelado el pasado 27 de marzo tras confirmarse el compromiso del entorno Amazon Web Services (AWS) de la Comisión, ha sido atribuido con alta confianza al grupo de amenazas conocido como TeamPCP. Este ataque subraya la creciente sofisticación de las campañas que apuntan a infraestructuras cloud críticas de instituciones gubernamentales.

brecha datos Comisión Europea: Puntos clave del ataque a la Comisión Europea

  • El vector inicial fue un compromiso en la cadena de suministro del escáner de seguridad Trivy, explotado por TeamPCP.
  • Se exfiltraron datos de hasta 71 clientes del servicio de hosting web Europa, incluyendo 42 entidades internas de la Comisión.
  • El actor malicioso utilizó una clave API de AWS robada para crear nuevas claves de acceso y evadir la detección.
  • No se produjeron interrupciones en la disponibilidad de los sitios web afectados durante el incidente.
  • El conjunto de datos filtrado, de 350 GB, incluye correos electrónicos, nombres, bases de datos y documentos confidenciales.

Cronología y metodología del ciberataque

Según el informe detallado de CERT-EU, la línea temporal del ataque comenzó el 19 de marzo, cuando un actor malicioso adquirió un secreto de AWS (una clave API) a través del compromiso de la cadena de suministro de Trivy. Esta credencial otorgó control sobre otras cuentas de AWS afiliadas a la Comisión Europea. Inmediatamente, la amenaza intentó descubrir secretos adicionales lanzando TruffleHog, una herramienta utilizada para escanear credenciales y validar permisos en AWS.

brecha datos Comisión Europea — Movimientos laterales y exfiltración de datos

El actor utilizó el secreto de AWS comprometido para crear y adjuntar una nueva clave de acceso a un usuario existente, una técnica clásica de persistencia y evasión. Posteriormente, llevó a cabo actividades de reconocimiento dentro del entorno cloud antes de proceder a la exfiltración masiva de datos. Fuentes del sector reportan que TeamPCP habría accedido inicialmente al entorno AWS de la UE el 10 de marzo, utilizando la misma clave API robada.

Representación de un centro de datos o servidor cloud, similar al entorno AWS comprometido.
Representación de un centro de datos o servidor cloud, similar al entorno AWS comprometido. — Foto: Alexandre Debiève vía Unsplash

Impacto y alcance de la filtración de datos

El análisis forense confirmó la extracción de decenas de miles de archivos. Los datos exfiltrados corresponden a sitios web alojados para hasta 71 clientes del servicio Europa: 42 clientes internos de la Comisión Europea y al menos otras 29 entidades de la Unión. El 28 de marzo, el grupo ShinyHunters publicó aproximadamente 350 GB de datos robados, que incluían correos electrónicos, nombres, usuarios, volcados de servidores de correo, bases de datos, documentos confidenciales y contratos.

Silueta de un actor de amenazas, ilustrando las tácticas de evasión y exfiltración utilizadas por TeamPCP.
Silueta de un actor de amenazas, ilustrando las tácticas de evasión y exfiltración utilizadas por TeamPCP. — Foto: Davide Santillo vía Unsplash

Naturaleza de la información comprometida

El conjunto de datos filtrado contiene información personal como nombres, nombres de usuario y direcciones de correo electrónico, principalmente de sitios web de la Comisión Europea. También incluye más de 51.000 archivos de correo electrónico salientes, en su mayoría automatizados. Según medios especializados, algunos mensajes de rebote podrían exponer contenido enviado por usuarios, lo que incrementa el riesgo de exposición de datos sensibles. La Comisión ha notificado a las partes afectadas y la investigación para determinar el impacto completo continúa.

Atribución y contexto de la amenaza TeamPCP

CERT-EU y la Comisión Europea han evaluado con alta confianza que el vector de acceso inicial fue el compromiso de la cadena de suministro de Trivy, atribuido públicamente a TeamPCP por Aqua Security. Esta evaluación se basa en tres factores clave: la coincidencia temporal del compromiso de Trivy con la intrusión observada el 19 de marzo; el objetivo específico de las credenciales de AWS y la infraestructura cloud; y el hecho de que la Comisión estaba usando inadvertidamente una versión comprometida de Trivy, recibida a través de canales normales de actualización de software.

«El actor de la amenaza utilizó el secreto de AWS comprometido para exfiltrar datos del entorno cloud afectado», añadió CERT-EU en su comunicado técnico.

Historial de actividades de TeamPCP

TeamPCP no es un actor nuevo. Está vinculado a una serie de ataques de cadena de suministro en plataformas como GitHub, PyPI, NPM y Docker. Un ejemplo notable es el paquete LiteLLM comprometido, utilizado para distribuir malware robador de datos. Su modus operandi, que incluye la explotación de dependencias de software y la búsqueda de credenciales en entornos cloud, representa un desafío significativo para la seguridad de las organizaciones que dependen de infraestructuras modernas.

Respuesta y medidas de mitigación de la UE

La Comisión Europea detectó el ciberataque el 24 de marzo en la infraestructura cloud que aloja sus sitios web Europa.eu. El incidente fue contenido rápidamente, aplicándose medidas de mitigación sin interrumpir la disponibilidad de los sitios web. La Comisión alertó a CERT-EU dos días antes de la divulgación pública. Es importante destacar que, según la declaración inicial, los sistemas internos de la Comisión no se vieron afectados, lo que limitó el impacto general del ataque.

La institución ha anunciado que mejorará sus medidas de ciberseguridad en respuesta a las continuas amenazas cibernéticas e híbridas que se dirigen a servicios e instituciones críticas. Este incidente se produce poco después de que, el 30 de enero, la Comisión detectara otro ciberataque en su sistema de gestión de dispositivos móviles, que fue contenido y limpiado en nueve horas, sin compromiso de dispositivos pero con posible acceso a datos de personal.

Lecciones para la ciberinteligencia y la seguridad cloud

Este caso sirve como un recordatorio crítico de los riesgos asociados con la cadena de suministro de software y la gestión de credenciales en la nube. La capacidad del actor para moverse lateralmente desde una única clave API comprometida y exfiltrar cientos de gigabytes de datos resalta la necesidad de una monitorización rigurosa del comportamiento de las identidades y el acceso en entornos cloud. Las organizaciones deben priorizar la gestión de secretos, la segmentación de redes cloud y la validación continua de la integridad de sus herramientas de desarrollo y seguridad.

Artículos relacionados

¿Tu organización está preparada ante las ciberamenazas?

En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.

→ Conoce nuestros servicios y da el primer paso

Deja un comentario