Alerta tecno: Hackers atacaron los programas más usados a nivel mundial

La alerta llegó primero como una amenaza lejana. Hoy es una crisis concreta. Un grupo de hackers conocido como TeamPCP transformó uno de los ataques más temidos de la ciberseguridad en una operación que representa un peligro directo para empresas.

image

En los últimos meses ejecutaron 20 oleadas de ataques, comprometieron más de 500 herramientas de código abierto y se infiltraron en redes de organizaciones como GitHub, OpenAI y la Comisión Europea, según datos de la firma especializada Socket.

Quizás te interese leer: OpenAI alerta a usuarios de Mac: pide actualizar ChatGPT tras un ciberataque

¿Qué es TeamPCP y cómo operan sus hackers?

TeamPCP emergió a finales de 2025 explotando configuraciones erróneas en servicios cloud y una vulnerabilidad en Next.js, la popular herramienta de desarrollo web. En esa etapa inicial, el grupo desplegó una botnet para robar credenciales y minar criptomonedas.

La estrategia evolucionó rápidamente. El grupo comenzó a usar gusanos informáticos para penetrar más profundamente en los sistemas de sus víctimas, capturando tokens de autenticación y credenciales estáticas que luego usaban como palanca para comprometer redes enteras.

image

Su modelo actual es más sofisticado y, según los investigadores, casi autónomo:

Acceden a la red donde se desarrolla una herramienta de código abierto popular.
Insertan malware en esa herramienta.
El código infectado llega a los equipos de otros desarrolladores.
Desde allí, roban nuevas credenciales para comprometer más herramientas.
El ciclo se repite.

image

"Es un círculo vicioso de vulneraciones en la cadena de suministro. Se autoperpetúa", señaló Ben Read, responsable de inteligencia de amenazas en la empresa de seguridad en la nube Wiz.

GitHub: el ataque más reciente y más resonante

El martes 20 de mayo, GitHub confirmó que había sido víctima de un ataque a su cadena de suministro. Un desarrollador de la plataforma instaló una extensión maliciosa para VS Code, el editor de código de Microsoft. Eso le bastó a TeamPCP para afirmar haber accedido a cerca de 4.000 repositorios internos.

La propia compañía confirmó al menos 3.800 repositorios comprometidos, aunque aclaró que, según sus hallazgos hasta el momento, todos contenían código propio de GitHub y no de sus clientes.

image

En BreachForums —foro de referencia para ciberdelincuentes—, TeamPCP publicó:

"Hoy estamos aquí para anunciar la venta del código fuente y las organizaciones internas de GitHub". El grupo agregó una amenaza velada: si no encontraban comprador, liberarían los datos de forma gratuita.

El arma más reciente: el gusano Mini Shai-Hulud

Más recientemente, TeamPCP automatizó gran parte de sus ataques mediante un gusano autopropagante denominado Mini Shai-Hulud por los investigadores. El nombre surge de los propios repositorios que el malware crea en GitHub, los cuales incluyen referencias a la novela de ciencia ficción Dune de Frank Herbert.

image

Este gusano almacena credenciales cifradas robadas a las víctimas y se propaga de forma casi autónoma entre entornos de desarrollo. Philipp Burckhardt, investigador principal de Socket, lleva meses siguiendo al grupo:

"Se ha propagado como la pólvora; ha ido muy rápido", coincidió Nathaniel Quist, gerente del equipo de inteligencia de Cortex Cloud en Palo Alto Networks.

En abril de 2026, el grupo adoptó además un modelo de ransomware como servicio, estableciendo alianzas con las plataformas criminales BreachForums y DragonForce.