Hackers atacan a Cisco: robados 3 millones de registros y repositorios

AXCESS · Abril 03, 2026, 05:26:21 AM

Se sospecha de un grave incidente de ciberseguridad en el gigante tecnológico estadounidense Cisco Systems. ShinyHunters, un notorio grupo criminal dedicado al hackeo y la extorsión, afirma haber robado más de 3 millones de registros de Salesforce que contienen datos personales, repositorios de GitHub, buckets de AWS y otros datos corporativos comprometidos.

El 31 de marzo, ShinyHunters publicó demandas de extorsión dirigidas a Cisco Systems. Los hackers amenazan a la compañía con causar «varios problemas (digitales) molestos», a menos que sus exigencias sean cumplidas antes del 3 de abril.

«Un total de más de 3 millones de registros de Salesforce que contienen PII (información de identificación personal), repositorios de GitHub, buckets de AWS y otros datos corporativos internos han sido comprometidos», afirma ShinyHunters en su página dedicada a las víctimas en la dark web.

Según la publicación, los datos provienen de un total de tres brechas de seguridad: *voice phishing* (UNC6040), Salesforce Aura y cuentas de AWS. Los atacantes adjuntaron dos capturas de pantalla para respaldar sus afirmaciones.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Qué afirman haber robado los hackers?

Una de las imágenes muestra la consola de volúmenes de AWS EC2, con docenas de discos duros virtuales en la nube; muchos de ellos, supuestamente, contienen cientos de gigabytes de datos. La captura de pantalla muestra un total de 5 páginas, lo que sugiere que podría haber más de 100 unidades de almacenamiento virtual.

Algunas de las fechas de creación de las unidades se indican como el 16 y 17 de marzo de 2026, lo que sugiere un acceso reciente.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otra captura de pantalla expone una lista de buckets de AWS S3 que, supuestamente, pertenecen a Cisco. Si bien los patrones de nomenclatura sugieren firmemente un entorno de Cisco, no se ha publicado ningún dato real.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ni las afirmaciones del atacante ni las capturas de pantalla demuestran de manera concluyente la brecha de seguridad.

Simultáneamente, Bleeping Computer publicó un informe en el que sostiene que Cisco ha sufrido un ciberataque derivado de la reciente vulneración de la cadena de suministro de Trivy. Según la publicación, los atacantes robaron múltiples claves de AWS y clonaron más de 300 repositorios de GitHub, incluido el código fuente de un asistente impulsado por IA, herramientas de defensa y otros productos de IA aún no lanzados.

«Una parte de los repositorios robados supuestamente pertenece a clientes corporativos, entre ellos bancos, empresas de externalización de procesos de negocio (BPO) y agencias gubernamentales de los Estados Unidos», señala Bleeping Computer.

El equipo de investigación de Cybernews considera que el informe hace referencia al mismo ciberataque.

«No podemos confirmar las afirmaciones de ShinyHunters, ya que aún no han subido los datos; sin embargo, a juzgar por las capturas de pantalla de muestra, la situación parece plausible», señalaron nuestros investigadores.

«Este incidente podría resultar perjudicial para los clientes de la empresa, y los principales riesgos radican en la exposición de datos confidenciales en general. Los datos de los clientes proporcionarían a los atacantes un punto de apoyo para planificar ataques posteriores, y la información de identificación personal podría utilizarse para realizar ingeniería social, fraudes y otras estafas».

Una de las tres brechas de seguridad citadas por ShinyHunters ya había sido revelada previamente por Cisco. Durante el incidente, ocurrido el verano pasado, un representante de Cisco fue objeto de un ataque de *phishing* telefónico (*vishing*); como resultado, el atacante «logró acceder a un subconjunto de información básica de perfil —y exportarlo— desde una instancia de un sistema de Gestión de Relaciones con Clientes (CRM) de terceros, alojado en la nube, que utiliza Cisco».

En aquel momento, la empresa afirmó que los atacantes no habían obtenido ningún tipo de información confidencial, propietaria o de carácter sensible perteneciente a los clientes.

Sin embargo, el compromiso de Trivy —un popular escáner de vulnerabilidades— es un suceso reciente. El 19 de marzo, un actor de amenazas conocido como TeamPCP inyectó malware en «trivy-action», un script de automatización que los desarrolladores utilizan para ejecutar el motor de escaneo y verificar si su código presenta vulnerabilidades de seguridad conocidas.

Este ataque a la cadena de suministro comprometió a muchas organizaciones posteriores en la cadena, incluidos los responsables del mantenimiento de LiteLLM.

De confirmarse la reciente brecha de seguridad en Cisco, esta indicaría una colaboración entre dos organizaciones cibercriminales de alto perfil: ShinyHunters y TeamPCP.

ShinyHunters se ha labrado una reputación gracias a sus operaciones de robo de datos y extorsión de gran impacto. Este grupo ha permanecido activo desde 2019.

TeamPCP es un nuevo grupo de amenazas con motivaciones financieras que hizo su primera aparición a finales de 2025, llevando a cabo campañas impulsadas por gusanos informáticos dirigidas a repositorios populares de código abierto.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hackers atacan a Cisco: robados 3 millones de registros y repositorios

AXCESS

Abril 03, 2026, 05:26:21 AM