El cibercriminal conocido como IntelBroker ha filtrado 2.9 GB de datos extraídos de un entorno DevHub de Cisco. Según el atacante, esta cantidad representa solo una fracción de los archivos robados, los cuales podrían alcanzar los 4.5 TB de información total.
El Incidente: Filtración de Datos de Cisco DevHub
IntelBroker, uncibercriminal con historial de ataques notorios, afirmó en octubre haber accedido a sistemas de Cisco, obteniendo:
- Código fuente.
- Certificados y claves de cifrado.
- Credenciales y documentos confidenciales.
- Información relacionada con grandes compañías.
Sin embargo, Cisco desmintió un acceso directo a sus sistemas internos. Tras investigar, la compañía determinó que los datos fueron tomados de un entorno DevHub público, un recurso donde clientes acceden a código fuente, scripts y otros contenidos.
Causas y Datos Filtrados
El problema surgió debido a un error de configuración que permitió a los atacantes descargar archivos no destinados al acceso público. Entre los datos obtenidos había información relacionada con clientes de CX Professional Services.
Los archivos filtrados incluyen:
- Código fuente en lenguajes como JavaScript y Python.
- Certificados y librerías.
- Información relacionada con productos como Catalyst, IOS, Identity Services Engine (ISE), Secure Access Service Edge (SASE), Umbrella y WebEx.
IntelBroker ha afirmado que dispone de un total de 800 GB de archivos, pero su credibilidad se ve cuestionada debido a exageraciones en incidentes previos.
Respuesta de Cisco
Cisco ha declarado que:
- No hubo una brecha en sus sistemas internos.
- Los archivos comprometidos ya fueron identificados en investigaciones anteriores.
- No se han encontrado evidencias de que la información filtrada pueda ser utilizada para acceder a entornos de producción o empresariales.
Aunque en informes iniciales Cisco aseguró que no se comprometió información confidencial ni datos sensibles, la compañía eliminó posteriormente esta declaración de sus reportes.
Impacto y Lecciones Aprendidas
Este incidente subraya la importancia de:
- Revisar configuraciones de entornos públicos para evitar errores de exposición de datos.
- Auditar y monitorizar sistemas regularmente para detectar accesos no autorizados.
- Implementar controles estrictos para proteger información sensible, incluso en recursos públicos.
Conclusión
La filtración de datos en el entorno DevHub de Cisco refuerza la necesidad de una gestión cuidadosa de los entornos públicos y un enfoque proactivo frente a posibles amenazas. Aunque Cisco asegura que no se comprometió información crítica, este caso pone en evidencia la capacidad de los atacantes para aprovechar errores de configuración y la importancia de una respuesta rápida y transparente.