ver más
TECNO | hackers

Alerta tecno: Hackers atacaron los programas más usados a nivel mundial

Alerta en el mundo tech: un grupo de hackers convirtió los ataques al software de código abierto en un negocio semanal. El peligro es real.

21 de mayo de 2026 - 22:51

La alerta llegó primero como una amenaza lejana. Hoy es una crisis concreta. Un grupo de hackers conocido como TeamPCP transformó uno de los ataques más temidos de la ciberseguridad en una operación que representa un peligro directo para empresas.

segui leyendo

Hackers a full: Argentina sufre 2335 ciberataques por semana y crece 26% en un año
image

En los últimos meses ejecutaron 20 oleadas de ataques, comprometieron más de 500 herramientas de código abierto y se infiltraron en redes de organizaciones como GitHub, OpenAI y la Comisión Europea, según datos de la firma especializada Socket.

Quizás te interese leer: OpenAI alerta a usuarios de Mac: pide actualizar ChatGPT tras un ciberataque

¿Qué es TeamPCP y cómo operan sus hackers?

TeamPCP emergió a finales de 2025 explotando configuraciones erróneas en servicios cloud y una vulnerabilidad en Next.js, la popular herramienta de desarrollo web. En esa etapa inicial, el grupo desplegó una botnet para robar credenciales y minar criptomonedas.

La estrategia evolucionó rápidamente. El grupo comenzó a usar gusanos informáticos para penetrar más profundamente en los sistemas de sus víctimas, capturando tokens de autenticación y credenciales estáticas que luego usaban como palanca para comprometer redes enteras.

image

Su modelo actual es más sofisticado y, según los investigadores, casi autónomo:

  • Acceden a la red donde se desarrolla una herramienta de código abierto popular.
  • Insertan malware en esa herramienta.
  • El código infectado llega a los equipos de otros desarrolladores.
  • Desde allí, roban nuevas credenciales para comprometer más herramientas.
  • El ciclo se repite.
image

"Es un círculo vicioso de vulneraciones en la cadena de suministro. Se autoperpetúa", señaló Ben Read, responsable de inteligencia de amenazas en la empresa de seguridad en la nube Wiz.

GitHub: el ataque más reciente y más resonante

El martes 20 de mayo, GitHub confirmó que había sido víctima de un ataque a su cadena de suministro. Un desarrollador de la plataforma instaló una extensión maliciosa para VS Code, el editor de código de Microsoft. Eso le bastó a TeamPCP para afirmar haber accedido a cerca de 4.000 repositorios internos.

La propia compañía confirmó al menos 3.800 repositorios comprometidos, aunque aclaró que, según sus hallazgos hasta el momento, todos contenían código propio de GitHub y no de sus clientes.

image

En BreachForums —foro de referencia para ciberdelincuentes—, TeamPCP publicó:

"Hoy estamos aquí para anunciar la venta del código fuente y las organizaciones internas de GitHub". El grupo agregó una amenaza velada: si no encontraban comprador, liberarían los datos de forma gratuita.

El arma más reciente: el gusano Mini Shai-Hulud

Más recientemente, TeamPCP automatizó gran parte de sus ataques mediante un gusano autopropagante denominado Mini Shai-Hulud por los investigadores. El nombre surge de los propios repositorios que el malware crea en GitHub, los cuales incluyen referencias a la novela de ciencia ficción Dune de Frank Herbert.

image

Este gusano almacena credenciales cifradas robadas a las víctimas y se propaga de forma casi autónoma entre entornos de desarrollo. Philipp Burckhardt, investigador principal de Socket, lleva meses siguiendo al grupo:

"Se ha propagado como la pólvora; ha ido muy rápido", coincidió Nathaniel Quist, gerente del equipo de inteligencia de Cortex Cloud en Palo Alto Networks.

En abril de 2026, el grupo adoptó además un modelo de ransomware como servicio, estableciendo alianzas con las plataformas criminales BreachForums y DragonForce.

Las víctimas conocidas hasta ahora

La lista de organizaciones afectadas por TeamPCP es extensa y sigue creciendo:

  • GitHub (repositorios internos comprometidos)
  • OpenAI (acceso no autorizado a dispositivos de dos empleados)
  • Mercor (empresa de gestión de datos)
  • Comisión Europea (filtración en su sitio web público)
  • LiteLLM (herramienta de API de IA en PyPI)
  • Checkmarx (empresa de seguridad de aplicaciones web)
  • Mistral AI (plataforma de IA empresarial)
  • TanStack (biblioteca de aplicaciones web)

El escáner de seguridad de código abierto Trivy también fue comprometido para insertar un programa de robo de información.

------------------------------------------------------------------------------------------

Más noticias en Urgente24

Sobran autos 0km y una marca líder rebaja precios ante floja demanda

Filtran supuestos audios íntimos de Milei y lo denuncian por revelar secretos

Escándalo total por lo que trascendió sobre Viviana Canosa: "Piden su detención"

Los aviones clave de FAdeA que desbloquearon la billetera de Defensa

Se recalienta la calle (y la interna), y Milei se 'refugia' en el Congreso

Temas

Notas Relacionadas

Hackers a full: Argentina sufre 2335 ciberataques por semana y crece 26% en un año

Hackers interrumpen en la TV de Irán para incitar protestas y el ayatolá pide "romper espaldas"

Hackers iraníes atacaron infraestructura crítica de USA: Alerta del FBI y la NSA

Más Leídas

Seguí Leyendo

Filtran supuestos audios íntimos de Milei y lo denuncian por revelar secretos

Sobran autos 0km y una marca líder rebaja precios ante floja demanda

Escándalo total por lo que trascendió sobre Viviana Canosa: "Piden su detención"

Los aviones clave de FAdeA que desbloquearon la billetera de Defensa

Se recalienta la calle (y la interna), y Milei se 'refugia' en el Congreso