Por Canuto Red Hat confirmó un incidente de seguridad en su negocio de consultoría tras las afirmaciones del grupo de extorsión “Crimson Collective”, que asegura haber robado casi 570 GB de datos y 28.000 repositorios privados de GitHub, incluidos alrededor de 800 informes de participación del cliente (CERs).
***
- Crimson Collective afirma haber robado 570 GB comprimidos y 28.000 proyectos internos de GitHub.
- Los atacantes aseguran haber encontrado tokens, URIs de bases de datos y cerca de 800 CERs que podrían exponer infraestructuras de clientes.
- Red Hat confirmó el incidente en su negocio de consultoría pero no verificó las alegaciones sobre la magnitud del robo.
🔴💻 Alerta de ciberseguridad: el grupo Crimson Collective hackea Red Hat.
Robaron casi 570 GB de datos y 28,000 proyectos internos de GitHub.
Los atacantes afirmaron tener informes de participación de clientes que podrían comprometer infraestructuras.
Red Hat reconoce el… pic.twitter.com/9D2MtMwJ1R
— Diario฿itcoin (@DiarioBitcoin) October 2, 2025
Red Hat confirmó que sufrió un incidente de seguridad relacionado con su negocio de consultoría, después de que el grupo de extorsión autodenominado Crimson Collective afirmara haber accedido a repositorios privados en GitHub y haber sustraído una gran cantidad de datos. La noticia fue originalmente difundida por Lawrence Abrams en BleepingComputer el 2 de octubre de 2025, 02:15 a. m., y desde entonces ha generado preocupación en sectores financieros y de salud.
Qué reportan los atacantes
El grupo que se identifica como Crimson Collective dijo a BleepingComputer que obtuvo acceso a los repositorios privados de GitHub de Red Hat y extrajo casi 570 GB de datos comprimidos. Según la publicación, los archivos corresponden a 28.000 proyectos internos.
Los atacantes afirmaron además que entre los materiales robados hay aproximadamente 800 Informes de Participación del Cliente, conocidos como CERs. BleepingComputer informó que dichos CERs abarcan clientes y contratos desde 2020 hasta 2025.
Un CER es un documento de consultoría preparado para clientes que con frecuencia contiene detalles de infraestructura, datos de configuración, tokens de autenticación y otra información sensible. Los atacantes aseguraron haber encontrado tokens de autenticación, URIs completas de bases de datos y otra información privada dentro del código y los CERs.
Crimson Collective dijo que usó esa información para obtener acceso a infraestructura de clientes aguas abajo. La fuente citada por BleepingComputer también indicó que los hackers publicaron un listado de los repositorios supuestamente robados y una lista de CERs en Telegram.
La lista publicada, según el informe, incluye organizaciones conocidas de múltiples sectores: Bank of America, T-Mobile, AT&T, Fidelity, Kaiser, Mayo Clinic, Walmart, Costco, el Naval Surface Warfare Center de la Marina de los Estados Unidos, la Administración Federal de Aviación y la Cámara de Representantes, entre otros.
Respuesta de Red Hat y estado de la investigación
Red Hat emitió una declaración reconociendo que “tiene conocimiento de informes sobre un incidente de seguridad relacionado con nuestro negocio de consultoría y hemos iniciado las medidas de remediación necesarias”. La empresa añadió que “la seguridad e integridad de nuestros sistemas y de los datos confiados a nosotros son nuestra máxima prioridad”.
En la misma comunicación, Red Hat dijo: “En este momento, no tenemos razones para creer que el problema de seguridad afecte a alguno de nuestros otros servicios o productos de Red Hat y confiamos firmemente en la integridad de nuestra cadena de suministro de software.” La compañía, no obstante, no verificó públicamente las cifras ni la lista de CERs que mencionaron los atacantes.
Según la cobertura de BleepingComputer, los hackers afirmaron que la intrusión ocurrió aproximadamente unas dos semanas antes del reporte. Además, los atacantes declararon que intentaron contactar a Red Hat para exigir extorsión, pero recibieron únicamente una respuesta genérica que les indicó presentar un informe de vulnerabilidad al equipo de seguridad.
Crimson Collective alegó que el ticket de vulnerabilidad fue reasignado repetidamente a distintos equipos, incluyendo personal legal y de seguridad, sin una respuesta sustantiva. BleepingComputer informó que envió preguntas adicionales a Red Hat y que actualizará la historia si obtiene nueva información.
Riesgos para clientes y recomendaciones operativas
Los CERs pueden contener credenciales y configuraciones sensibles que facilitan movimientos laterales y acceso no autorizado dentro de redes empresariales. Por esa razón, la presunta exposición de cerca de 800 CERs representa un riesgo directo para las organizaciones mencionadas en la lista publicada.
Si las afirmaciones de los atacantes son ciertas, tokens y URIs filtrados podrían permitir conexiones directas a bases de datos, servidores o pipelines de CI/CD. Eso aumenta la probabilidad de robo de datos, interrupciones de servicio o despliegues maliciosos en entornos productivos.
Las organizaciones que trabajan con consultoras y proveedores de software deben revisar accesos y credenciales asociados a integraciones con Red Hat. Recomendaciones prácticas incluyen rotación inmediata de tokens expuestos, revisión de políticas de acceso, auditoría de logs y activación de equipos de respuesta a incidentes.
BleepingComputer ofreció canales confidenciales para quien tenga información sobre el incidente: Signal al 646-961-3731 o correo a tips@bleepingcomputer.com, según el reporte original de Lawrence Abrams.
Implicaciones para la cadena de suministro y lecciones
Este incidente subraya la vulnerabilidad inherente en la consultoría técnica y la gestión de documentos sensibles dentro de repositorios privados. Cuando los consultores mantienen copias de configuraciones y credenciales, un fallo en su seguridad impacta a múltiples clientes en cascada.
Red Hat es una pieza central del ecosistema open source empresarial, por lo que cualquier problema en su cadena de consultoría puede derivar en riesgos sistémicos. La afirmación de los atacantes sobre el uso de tokens y URIs para acceder a infraestructura ajena ilustra la importancia de la segmentación y del principio de menor privilegio.
También es relevante la reacción de la propia empresa frente a reportes de vulnerabilidad y cómo se comunican las escalaciones internas. Según lo señalado por los atacantes a BleepingComputer, la reasignación repetida de tickets sin resolución efectiva puede agravar la exposición y erosionar la confianza.
Mientras la investigación avanza, las instituciones señaladas en la lista y otros clientes de consultoría deberían validar integridad de sus entornos, forzar rotaciones de credenciales críticas y coordinar con proveedores para un plan de mitigación conjunto.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Destacadas
David Schwartz anuncia su retiro como CTO de Ripple e informa que pasará a la junta directiva
Destacadas
Sora 2: la apuesta de OpenAI por un feed tipo TikTok con contenido 100% generado por IA
Bitcoin
Otra ballena Bitcoin sale de las profundidades tras 12 años para mover USD $44 millones
Seguridad