La industria del cibercrimen sigue consolidando el negocio de la extorsión. La agrupación Scattered Lapsus$ Hunters afirma haber chantajeado a Red Hat y publicó muestras de documentos sustraídos, con la amenaza de divulgar el conjunto completo si no hay negociación, según BleepingComputer. Las evidencias se alojaron en el sitio de fugas operado por ShinyHunters, que fijó el 10 de octubre de 2025 como fecha límite para la publicación íntegra.
Compromiso de GitLab interno y alcance de la exfiltración
La semana pasada, el colectivo Crimson Collective aseguró haber robado 570 GB de información de 28 000 repositorios internos de Red Hat, alegando acceso a documentación de clientes. La compañía confirmó el compromiso de uno de sus instancias de GitLab, sin detallar el volumen de datos exfiltrados. En este contexto, los repositorios de código y artefactos de consultoría deben considerarse activos de alta criticidad por su potencial para habilitar ataques de impacto sistémico.
Por qué los CER elevan el riesgo operativo
Entre las muestras divulgadas destacan los Customer Engagement Reports (CER), informes de consultoría preparados para clientes que suelen incluir arquitecturas, configuraciones, topología de red, integraciones y, en algunos casos, secretos como tokens y claves. Este nivel de detalle reduce drásticamente la fase de reconocimiento del atacante, facilita el movimiento lateral y acelera la escalada de privilegios, especialmente si los secretos no están rotados o acotados por contexto.
EaaS: extorsión como servicio y división del trabajo criminal
Scattered Lapsus$ Hunters se presenta como una colaboración entre miembros de Scattered Spider, LAPSUS$ y ShinyHunters. De acuerdo con BleepingComputer, ShinyHunters opera bajo un modelo de extortion-as-a-service (EaaS), actuando como intermediario de infraestructura, comunicación y cobro para terceros, a cambio de un porcentaje del rescate. La misma entidad habría gestionado contactos y presiones en incidentes previos vinculados a Oracle Cloud y PowerSchool, evidenciando la profesionalización del proceso: desde la intrusión hasta la negociación y el PR de la filtración.
Impacto para clientes y cadena de suministro
Si el corpus filtrado incluye CER con datos operativos sensibles, el riesgo se extiende a clientes y socios. Los vectores esperables abarcan spear-phishing altamente dirigido, explotación de misconfigurations, reutilización de tokens/llaves y compromiso de pipelines CI/CD y artefactos de compilación. Informes de referencia como Verizon DBIR 2024 y IBM Cost of a Data Breach 2024 subrayan el peso del abuso de credenciales, la dependencia de terceros y la exposición de secretos en repositorios como factores que aumentan la probabilidad y el coste de las brechas. En entornos de ingeniería, un GitLab mal segmentado puede convertirse en un único punto de fallo para toda la cadena de software.
Medidas inmediatas de mitigación y resiliencia
– Inventario y rotación de secretos: revocar y regenerar claves, tokens y contraseñas mencionados en CER o repositorios; adoptar tokens de corta duración, scopes mínimos y restricciones por IP/identidad/contexto.
– Endurecer GitLab/SCM: activar detección de secretos, exigir 2FA/SSO, proteger ramas, firmar commits (Sigstore/Git signing) y aplicar revisión obligatoria de cambios sensibles.
– Segmentación y privilegios: revisar ACL, aislar runners y artefactories, aplicar least privilege a cuentas de servicio y deshabilitar accesos heredados.
– Monitorización y respuesta: alertas por inicios de sesión anómalos, cambios inesperados en repos, descargas masivas y picos en llamadas API; integrar DLP y reglas de exfiltración; practicar ejercicios de mesa para extorsión sin cifrado.
– Gobierno de datos y consultoría: minimizar información sensible en informes, clasificar y cifrar artefactos de cliente, y establecer políticas de retención estrictas para documentación operativa.
La cooperación entre Crimson Collective y Scattered Lapsus$ Hunters confirma la “industrialización” de la extorsión: funciones especializadas, incentivos económicos y efectos en cadena que elevan la superficie de ataque. Tratar plataformas de desarrollo como infraestructura crítica, acotar y rotar secretos de forma continua, y acelerar la detección/contención marcará la diferencia ante plazos de publicación como el anunciado. Revisión inmediata de secretos, endurecimiento de GitLab y verificación de pipelines son pasos accionables hoy. Siga las comunicaciones oficiales de Red Hat y las recomendaciones de CSIRTs, y utilice referencias como BleepingComputer, Verizon DBIR e IBM Cost of a Data Breach para robustecer su estrategia de defensa.
