Ciberataque a Red Hat: Archivos Mencionan a Bancolombia
El grupo de extorsión Crimson Collective ha afirmado haber vulnerado una instancia de GitLab de Red Hat Consulting, resultando en la supuesta sustracción de 570 GB de datos internos, lo que ha generado una alerta de ciberseguridad que impacta a nivel global, con especial atención en Colombia.
Un GitLab es una plataforma de trabajo en equipo. Es como una combinación de Dropbox, Google Drive y una herramienta de chat, pero diseñada para los programadores y desarrolladores de software de una compañía.
Red Hat confirmó el incidente de seguridad relacionado con su negocio de consultoría, aunque no verificó las cifras exactas publicadas por los atacantes. Sin embargo, el grupo filtró una lista de directorios que, según afirman, provienen de 28.000 repositorios internos de desarrollo.
Los atacantes mostraron como parte de sus evidencias la estructura jerárquica de carpetas y archivos que habrían robado robado de la instancia de GitLab de Red Hat Consulting.
Para una persona sin conocimiento técnico, esta lista es la evidencia de que se robaron datos muy sensibles, organizados por el cliente al que pertenecen los proyectos de consultoría.
Analizando la lista aparecen una serie de instituciones financieras de todo el planeta. Entre ellas Bancolombia.
La aparición de las carpetas bancolombia-rdne y banco-fie (Banco FIE) es la prueba visual que afirma el atacante de que la información sensible de proyectos relacionados con estas entidades colombianas y bolivianas fue robada de la “caja fuerte digital” de Red Hat.
Cada nombre en este listado (banco-fie, bancolombia-rdne) representaría un proyecto que Red Hat estaba realizando para ese cliente. Los nombres indican claramente que se trata de grandes entidades financieras de la región.
Las subcarpetas debajo de cada nombre (como app1-sourcecode o autogestion) son los repositorios donde se guarda el trabajo técnico. No son simples documentos de texto; contendrían el código fuente y los archivos de configuración usados para construir y gestionar sistemas cruciales del banco.
El foco de la preocupación en Colombia se centra en la carpeta identificada como bancolombia-rdne, la cual se presume corresponde a un proyecto o iniciativa específica gestionada por Red Hat para la entidad bancaria. El contenido de este directorio incluye dos subcarpetas : autogestion y rdne-workitemhandler. La primera sugiere la exposición del código o configuración de algún portal de autoservicio o aplicaciones.
La segunda subcarpeta, rdne-workitemhandler, es de índole altamente técnica y estaría ligada a los Work Item Handlers, componentes cruciales en la automatización de procesos del banco. El robo de esta información implica que los atacantes podrían tener acceso a la lógica interna de cómo se ejecutan procesos críticos, como la gestión de trámites o la interacción entre sistemas, lo que aumenta el riesgo de ciberseguridad operativa.
Las dos anteriores conclusiones son especulaciones sin evidencia pues no se conoce que contienen cada uno de los repositorios. La terminología técnica hace pensar que se trata de procesos muy serios de desarrollo al interior del banco.
Esta información es de alto riesgo porque podría usarse para encontrar vulnerabilidades o acceder directamente a los sistemas del banco de una manera mucho más sofisticada y dirigida.
Para conocer la opinión de Bancolombia nos comunicamos con la entidad pero no respondieron.
Riesgo de Ataques Secundarios
Crimson Collective, que también se atribuyó un defacement a una página de Nintendo y el ataque a Claro, alegó que la intrusión ocurrió aproximadamente dos semanas antes de la publicación. El grupo sostiene que intentó contactar a Red Hat con una demanda de extorsión, pero solo recibió una respuesta automatizada para el envío de un informe de vulnerabilidad.
Red Hat ha asegurado que, hasta el momento, no tienen motivos para creer que el incidente de seguridad afecte a otros servicios o productos de la compañía, manteniendo la confianza en la integridad de su cadena de suministro de software. No obstante, la empresa no ha respondido a preguntas adicionales sobre el alcance de los datos robados y el impacto en clientes específicos.
Crimson Collective era hasta hace unos días un grupo desconocido. Es el mismo grupo que atacó a Claro y cuyo ataque en Colombia pasó desapercibido.
