El grupo de ciberextorsión RansomHouse ha reivindicado el acceso no autorizado a los repositorios de código fuente de Trellix, una de las firmas de ciberseguridad con más contratos en el sector público europeo. La banda, conocida por secuestrar datos sin cifrar sistemas, ha publicado en su portal de la red Tor una serie de capturas de pantalla que, según afirma, demuestran el control que llegó a tener sobre los sistemas internos de la compañía. El incidente, confirmado por la propia Trellix a principios de mayo, abre un debate incómodo sobre la seguridad de los propios guardianes y sobre los riesgos que un acceso de este tipo puede generar en toda la cadena de suministro digital.
Trellix admitió en un comunicado que se había detectado un acceso no autorizado a una parte de su repositorio de código fuente y que, de inmediato, se puso en marcha una investigación con expertos forenses y se notificó a las fuerzas de seguridad. La empresa, sin embargo, no atribuyó públicamente el ataque a ningún actor concreto y aseguró que no hay pruebas de que el código fuente se haya visto alterado ni de que el proceso de distribución de sus productos haya resultado comprometido. La versión oficial tranquiliza a los clientes, pero la maniobra de RansomHouse al reivindicar el golpe y publicar las capturas envenena cualquier certeza.
La reivindicación de RansomHouse y el silencio selectivo de Trellix
La banda incluyó a Trellix en su sitio de filtraciones de la red Tor y compartió varias imágenes que, según sus autores, muestran acceso a servicios internos de la compañía. En una de ellas, se aprecia lo que parece ser una consola de administración con rutas de ficheros y paneles de control. RansomHouse no ha exigido un rescate concreto en esta ocasión, al menos no públicamente; su estrategia habitual consiste en señalar a las víctimas como ejemplo de malas prácticas de seguridad y presionar con la publicación de los datos robados. De hecho, el grupo se define a sí mismo como un «mediador profesional» que destapa negligencias, aunque la comunidad de inteligencia de amenazas lo clasifica como una operación criminal con ánimo de lucro.
Trellix, por su parte, mantiene el hermetismo. No ha detallado cómo se produjo la intrusión ni cuánto tiempo estuvieron los atacantes dentro de sus sistemas. Ese silencio es comprensible desde el punto de vista operativo, pero también deja espacio para la especulación sobre un posible compromiso de claves, API o lógica sensible de sus productos. Si alguien ha podido estudiar el código durante semanas, el riesgo de que aparezcan vulnerabilidades explotables en el futuro es real, aunque la empresa insista en que no se ha alterado nada.
Anatomía de un ataque a la cadena de suministro de la seguridad
RansomHouse no es un grupo de ransomware al uso. Surgido a finales de 2021, se ha especializado en robar datos y extorsionar a las víctimas sin necesidad de cifrar los sistemas, una técnica que le permite moverse más rápido y con menos herramientas. En 2023 ya reivindicó ataques contra AMD, la cadena de supermercados Shoprite y varias instituciones europeas. Su modus operandi habitual combina el escaneo de servicios expuestos, el uso de credenciales débiles y el phishing dirigido, lo que encaja con la posibilidad de que la puerta de entrada a Trellix haya sido un descuido humano o un sistema de gestión remota mal configurado.
El acceso a una parte del repositorio de código fuente de un fabricante de ciberseguridad no es un incidente menor. Desde ahí, un atacante puede identificar dependencias, estudiar la arquitectura de las defensas y, en el peor de los casos, planificar un ataque a la cadena de suministro: si una actualización de software contaminada se distribuye a los clientes, el daño se propaga exponencialmente. No hay constancia de que algo así haya ocurrido en este caso, pero la historia reciente de ataques como el de SolarWinds en 2020 demuestra que la confianza en el proveedor de seguridad es, a menudo, el eslabón más frágil.
Dossier Moncloa: Ojos en la Sombra
En el tablero de la ciberinteligencia, este incidente se lee como una bandera amarilla sobre la resiliencia de la propia industria de la seguridad. Si una empresa como Trellix, con presencia relevante en organismos públicos europeos y españoles, sufre un acceso no autorizado a su código fuente, el mensaje que reciben el CNI y el CCN-CERT es inequívoco: los guardianes ya no son un perímetro seguro.
El vector de amenaza es triple. Por un lado, un ataque de ciberextorsión convencional protagonizado por un actor criminal; por otro, la posibilidad de que el código fuente analizado por el adversario se convierta más adelante en un zero-day o en una puerta trasera para un actor estatal que haya logrado acceder a la misma información a través de RansomHouse o de un tercero. No es descabellado: el material que circula en foros clandestinos acaba, a veces, en manos de servicios de inteligencia. La tercera pata es el riesgo reputacional y de confianza: si una firma de ciberseguridad tiene que explicar que su código ha estado expuesto, las renovaciones de contratos con administraciones sensibles se tensan de inmediato.
En cuanto a las agencias implicadas, RansomHouse opera como atacante directo, sin atribución estatal conocida, pero los terceros interesados son muchos. El SVR ruso y el MSS chino tienen una capacidad de recolección de inteligencia masiva y, si logran acceder al repositorio comprometido por otra vía, podrían explotarlo silenciosamente. Mientras, Trellix y su cadena de suministro son la víctima, y las agencias de contrainteligencia occidentales —CISA, NCSC, ANSSI y, por supuesto, el propio CNI— se colocan en posición de monitorización activa. La colaboración entre Trellix y la división de ciberdefensa del CNI es fluida desde hace años, según me consta por fuentes del sector, así que es muy probable que el equipo de respuesta temprana del Centro Criptológico Nacional ya haya analizado las muestras del incidente.
Cuando la caja fuerte del cerrajero queda abierta, no importa tanto quién la forzó como el tiempo que permaneció sin que nadie se diera cuenta.
El nivel de clasificación que estimo para la información comprometida se sitúa entre Confidencial y Secreto, dependiendo del grado de exposición de las herramientas de detección cuyo código haya quedado al descubierto. Si se ha accedido a los algoritmos de análisis de amenazas avanzadas de Trellix —algo que no está confirmado pero que las capturas de RansomHouse insinúan—, estaríamos hablando de un compromiso grave que podría degradar la capacidad defensiva de cientos de organizaciones. Un adversario que conoce los patrones de detección de un fabricante de seguridad puede diseñar malware capaz de esquivarlos durante meses.
Lo veo como un aviso serio, no como una catástrofe inmediata. Usted, que sigue de cerca estos temas, recordará que en 2011 la brecha de RSA SecurID puso en jaque a medio mundo empresarial durante semanas porque los atacantes pudieron replicar los token de autenticación. Aquel incidente fue atribuido al APT28 chino —o a una facción de su ecosistema— y obligó a sustituir millones de dispositivos. La diferencia ahora es que RansomHouse, al publicar las pruebas, convierte un incidente gestionable en un problema de pérdida de control narrativo. Y en ciberguerra, el relato también es munición.
De cara a las próximas semanas, será clave el informe que publique el equipo de investigación de Trellix y, sobre todo, si alguna agencia de inteligencia europea decide pronunciarse en los foros de intercambio de información clasificada. Ya advertí en El quinto elemento que «el próximo 11S empezará con un clic». No sostengo que este ataque sea ese detonante, pero sí que cada brecha en un eslabón de la cadena de suministro de la seguridad nos acerca a un escenario en el que el clic de un administrador desencadene una tormenta perfecta.
