Filtración en la nube de la UE expone datos tras vulneración en software de seguridad y acceso no autorizado en servicios compartidos europeos
Una filtración de datos en la infraestructura en la nube de la Unión Europea se amplió tras un acceso no autorizado vinculado a una vulneración en software de seguridad, lo que derivó en la exposición de información de múltiples entidades que utilizan servicios compartidos. El incidente involucró credenciales comprometidas y extracción masiva de datos dentro del entorno técnico asociado al dominio europa.eu.
El ataque comenzó el 19 de marzo de 2026, cuando un actor obtuvo clave secreta de Amazon Web Services (AWS) tras explotar vulneración en cadena de suministro de la herramienta Trivy. Ese mismo día, el atacante utilizó herramientas como TruffleHog para identificar credenciales adicionales y validó accesos mediante Servicio de Tokens de Seguridad (STS), lo que amplió su presencia dentro del sistema afectado.
Las primeras señales se detectaron el 24 de marzo, cuando el Centro de Operaciones de Ciberseguridad de la Comisión Europea identificó uso indebido de interfaces API, posibles cuentas comprometidas y un incremento inusual del tráfico de red. Un día después, el 25 de marzo, la Comisión notificó el incidente a CERT-EU conforme al Reglamento (UE, Euratom) 2023/2841, que obliga a reportar incidentes relevantes sin demora.
La investigación determinó con alta probabilidad que el vector inicial fue la vulneración de la cadena de suministro de Trivy, atribuida al actor TeamPCP. Durante ese periodo, la Comisión Europea utilizó una versión comprometida del software distribuida a través de canales habituales de actualización, lo que facilitó la infiltración sin detección inmediata.
Tras obtener acceso, el atacante creó nuevas claves asociadas a usuarios existentes para evadir controles de seguridad y realizó actividades de reconocimiento. Posteriormente, extrajo aproximadamente 91,7 GB de datos comprimidos, equivalentes a cerca de 340 GB sin comprimir, según los registros analizados.
El 28 de marzo, el grupo ShinyHunters publicó los datos en la dark web y afirmó haber obtenido "volcados de datos de servidores de correo, contenedores de datos, documentos confidenciales, contratos y mucho más material sensible". El análisis inicial confirmó la presencia de datos personales como nombres, apellidos, nombres de usuario y direcciones de correo electrónico.
Entre los archivos filtrados se identificaron al menos 51 mil registros relacionados con comunicaciones de correo electrónico saliente, con un volumen de 2,22 GB. Aunque una parte corresponde a notificaciones automáticas, algunas respuestas de rebote incluyen contenido original enviado por usuarios, lo que incrementa la exposición de información personal.
La cuenta comprometida pertenece a la infraestructura técnica del servicio de alojamiento web europa.eu, que da soporte a múltiples sitios públicos. Los datos afectados corresponden a servicios utilizados por hasta 71 clientes, incluidos 42 internos de la Comisión Europea y al menos otras 29 entidades de la Unión Europea.
Las autoridades indicaron que no se detectaron interrupciones en los servicios ni manipulación de los sitios web. Tampoco se identificó evidencia de movimiento lateral hacia otras cuentas, aunque el atacante contaba con privilegios que podrían haberlo permitido.
Como respuesta, la Comisión Europea desactivó las credenciales comprometidas, revocó accesos no autorizados y notificó a las autoridades de protección de datos, incluido el Supervisor Europeo de Protección de Datos. Desde el 31 de marzo, inició contacto directo con las entidades afectadas para informar sobre el incidente y las medidas adoptadas.
CERT-EU advirtió que el aumento de ataques a la cadena de suministro representa una amenaza significativa y recomendó revisar versiones de software, auditar credenciales y reforzar controles en entornos de nube y canalizaciones de integración continua.
El análisis de las bases de datos comprometidas continúa debido al volumen de la información, mientras las autoridades mantienen la evaluación del alcance total de la exposición en sistemas vinculados al servicio europa.eu.