El 30 de octubre de 2025, la operación de ransomware Akira incluyó a Apache OpenOffice en su sitio de filtraciones, afirmando haber sustraído 23 GB con información personal, datos financieros y documentos internos. La Apache Software Foundation (ASF) confirmó que investiga el aviso, pero subraya que no existen en el proyecto los repositorios de PII y nóminas descritos por los atacantes y que no ha recibido ningún mensaje de extorsión, un detalle atípico en esquemas de doble extorsión.
Qué asegura Akira: 23 GB con PII y documentos financieros
En su listado delictivo, Akira sostiene que obtuvo direcciones, teléfonos, fechas de nacimiento, documentos escaneados, números de la seguridad social y datos de tarjetas, además de informes financieros y reportes internos de problemas de la aplicación. El grupo amenazó con publicar la información para aumentar la presión si no se atendían sus exigencias.
La postura de la ASF y el contexto open source
La ASF indica que OpenOffice es un proyecto comunitario y voluntario, sin plantilla ni sistemas de nómina. La ingeniería se coordina mediante canales públicos: bug reports, solicitudes de funciones y discusiones técnicas están disponibles desde su origen, lo que hace improbable una “filtración” de materiales internos como los que publicitan los atacantes.
Además, la fundación recalca que no ha recibido demandas de rescate, un comportamiento incoherente con la práctica de double extortion, en la que primero se negocia y después se usa el “site de filtraciones” como palanca reputacional.
Quién es Akira y cómo opera: TTP observadas
Activo desde 2023, Akira es un grupo de ransomware de doble extorsión que combina robo de datos y cifrado. Según boletines públicos de autoridades como CISA y FBI, su acceso inicial suele apoyarse en VPN sin MFA, credenciales débiles o reutilizadas y abuso de herramientas administrativas legítimas. Para exfiltrar, son frecuentes los almacenamientos en la nube y utilidades como Rclone. Estas TTP reflejan tendencias extendidas en el ecosistema de ransomware contra Windows, Linux y entornos virtualizados.
El colectivo también practica el brand listing: listar marcas en su portal antes de confirmar la intrusión. Esta táctica incrementa el daño reputacional y busca provocar contacto, incluso si el acceso real es dudoso o inexistente.
Evaluación de riesgo: escenarios plausibles
1) Error o desinformación deliberada
La ausencia estructural de bases de PII o nóminas en OpenOffice apunta a un intento de presión sin compromiso real. El desajuste entre lo reclamado y la realidad organizativa es significativo.
2) Compromiso indirecto o periférico
Si existiera filtración, podría proceder de terceros: servicios externos (correo, CI/CD, nube), dispositivos de contribuidores o proveedores. En este caso, la exposición no partiría de la infraestructura central de la ASF.
3) Acceso limitado a artefactos no públicos
Es concebible el acceso a borradores, copias de respaldo o tokens aislados en manos de mantenedores. Aun así, no encaja con el volumen y la naturaleza de PII y datos de tarjetas que Akira asegura poseer.
Medidas de mitigación para proyectos open source y fundaciones
Minimización de datos: recolectar y conservar solo lo imprescindible para la comunidad. Evitar PII por defecto.
MFA robusta en correo, VPN, forjas de código y paneles administrativos, idealmente con llaves FIDO2. Segmentación y principio de mínimo privilegio para repositorios, CI/CD y almacenamiento de artefactos.
Seguridad de la cadena de suministro: firmas de releases (PGP/Sigstore), builds reproducibles, verificación de dependencias y aislamiento de pipelines. Protección de correo (SPF, DKIM, DMARC) y formación antifishing para contribuidores.
Detección y respuesta: monitorizar sitios de filtraciones, redes sociales y paste sites por menciones de marca; preparar playbooks de respuesta, notificación y comunicación pública; recopilar indicadores de compromiso publicados por CISA/FBI y revisarlos de forma periódica.
Con las pruebas aún ausentes y claros desajustes entre lo afirmado y la realidad de OpenOffice, lo prudente es tratar el anuncio de Akira con escepticismo informado. Las organizaciones de software libre pueden reforzar su postura aplicando minimización de datos, MFA con llaves físicas, controles de privilegios y firmas de releases. Mantenerse al día con los boletines de CISA/FBI y validar indicadores de compromiso fortalece la resiliencia, incluso cuando los mensajes de extorsión resultan ser solo ruido de presión.
