Red Hat enseña a reaccionar rápido ante ciberincidentes: los suyos se gestionaron durante dos semanas mediante un formulario en su sitio web.
Hackers intentaron negociar un rescate, pero la empresa los enredó en trámites; ahora 570 GB de datos están accesibles públicamente.
Red Hat, desarrollador estadounidense de soluciones empresariales basadas en Linux, confirmó un incidente de seguridad, poco después de que un grupo que se hace llamar Crimson Collective declarara el robo de casi 570 GB de datos de repositorios privados de GitHub de la compañía.
Los hackers afirman haber obtenido acceso a 28.000 proyectos internos, entre los que hay alrededor de 800 informes de interacción con clientes (CER) que contienen detalles sobre la infraestructura de red de estos últimos, configuraciones de sus sistemas, así como tokens de autorización y otros datos sensibles. Ese tipo de documentos se utilizan en proyectos de consultoría y pueden representar una amenaza directa para la seguridad de las redes empresariales.
En un comunicado, Red Hat confirmó el incidente, pero se negó a precisar detalles relacionados con los datos sustraídos. La compañía señaló que el problema afectó a su área de consultoría y no tuvo impacto en otros servicios o productos. Red Hat subrayó su confianza en la integridad de la cadena de suministro del software y comunicó que ha puesto en marcha medidas para mitigar las consecuencias.
Crimson Collective, en comunicación con periodistas de BleepingComputer, insiste en que los tokens y las bases de datos encontrados en el código y en los informes les permitieron infiltrarse en la infraestructura de algunos clientes. Para respaldar sus afirmaciones, los atacantes publicaron en Telegram la lista completa de repositorios y de informes CER sustraídos, con fechas entre 2020 y 2025. Entre las organizaciones mencionadas figuran Bank of America, T-Mobile, AT&T, Fidelity, Kaiser, Mayo Clinic, Walmart, Costco, la Administración Federal de Aviación de Estados Unidos, la Cámara de Representantes, así como el Centro de Guerra Naval de Superficie.
Según los propios hackers, la intrusión ocurrió hace aproximadamente dos semanas. Afirman que intentaron ponerse en contacto con Red Hat y exigir un pago, pero recibieron únicamente una respuesta automática con la indicación de enviar un mensaje al equipo de seguridad a través del formulario estándar de notificación de vulnerabilidades. Los atacantes sostienen que la solicitud fue reenviada en múltiples ocasiones entre empleados de los departamentos jurídico y de seguridad informática de la empresa.
Paralelamente, el grupo se atribuyó un reciente ataque al sitio de Nintendo, cuando en una de las páginas apareció temporalmente información de contacto y enlaces al canal de Telegram de los hackers. Esto aumentó las sospechas de que Crimson Collective busca utilizar objetivos mediáticos no solo para extorsionar, sino también para atraer atención hacia sus canales de difusión de datos.