Red Hat, Walmart y el Pentágono: hackers forman alianza para «aniquilar» a las corporaciones
Incidentes previos vinculados a estos delincuentes ya han comprometido a millones de usuarios.
Ante el aumento de la actividad de las bandas de ciberdelincuentes ha surgido un fenómeno nuevo: alianzas que reúnen a distintos equipos de hackers con un objetivo común. Los últimos acontecimientos alrededor de Red Hat mostraron cómo los atacantes convierten intrusiones aisladas en campañas de extorsión a gran escala, actuando de forma coordinada y bajo una marca compartida.
Inicialmente sobre la intrusión informó el grupo Crimson Collective, afirmando que obtuvo acceso a 28.000 repositorios internos de Red Hat Consulting. Según sus representantes, desde el sistema GitLab se descargaron unos 570 GB de datos, incluidos alrededor de 800 informes Customer Engagement Reports (CER), que contienen información sobre esquemas de red, infraestructura y plataformas usadas por los clientes. Los hackers dijeron que intentaron contactar con la empresa para negociar el rescate de los datos robados, pero no obtuvieron respuesta.
Días después, Crimson Collective anunció una asociación con otros participantes del mercado de extorsión: el grupo Scattered Lapsus$ Hunters y el operador de la nueva plataforma ShinyHunters, donde se publican materiales robados y se formulan las exigencias a las víctimas. En su comunicado conjunto plantearon la idea de crear una «alianza contra las corporaciones», una unión simbólica que pretende ser análoga a un bloque militar, pero orientada a desmantelar el mundo corporativo.
En el sitio de ShinyHunters ya apareció una página con el nombre Red Hat y un ultimátum: si no se llega a un acuerdo antes del 10 de octubre, toda la información robada será publicada. Como demostración de la amenaza se publicaron muestras de informes relacionados con clientes de distintos países —entre ellos Walmart, HSBC, Bank of Canada, Atos Group, American Express y el Departamento de Defensa de EE. UU.—. Red Hat aún no ha comentado lo sucedido.
ShinyHunters ya es conocido por varios incidentes de robo de datos a PowerSchool, Oracle Cloud y Snowflake. Durante meses, los especialistas sospecharon que el grupo operaba bajo un modelo de «extorsión como servicio», proporcionando a otros atacantes la infraestructura para el chantaje y recibiendo una parte del rescate. Representantes de ShinyHunters confirmaron que efectivamente toman un porcentaje de los ingresos de sus socios —por lo general del 25–30 %—, mientras que los ejecutores de los ataques reciben el resto.
A pesar de las detenciones relacionadas con la actividad de ShinyHunters y el foro Breached v2, los nuevos ataques continúan y las cartas con amenazas siguen firmadas con ese nombre. La creación de una plataforma pública de fugas demuestra que el grupo no solo ha mantenido su influencia, sino que ha ampliado sus capacidades, convirtiéndose en un intermediario entre los atacantes y las víctimas.
Otra víctima de extorsión fue la empresa SP Global, que supuestamente fue atacada en febrero de 2025 por otro grupo. En aquel momento la compañía negó el incidente, pero ahora sus datos aparecieron en la misma plataforma ShinyHunters y también se les fijó como plazo el 10 de octubre. Ante preguntas sobre la situación, los representantes de SP Global respondieron que no comentan ese tipo de afirmaciones, y señalaron únicamente que, como compañía pública, están obligados a divulgar incidentes significativos si realmente ocurrieron.
La red de colaboración en formación entre grupos de extorsión indica que la ciberdelincuencia evoluciona de ataques caóticos a un modelo estructurado, en el que cada parte desempeña su papel —desde la intrusión y la filtración hasta las negociaciones y la publicación—. La nueva coalición, que declaró su intención de «derribar corporaciones enteras», convierte el robo de datos en una herramienta de presión politizada y chantaje económico, y su combate requiere no solo soluciones técnicas sino también estratégicas.