Red Hat, una de las compañías de software más importantes del mundo y responsable de la distribución Enterprise Linux, ha confirmado un incidente de seguridad que comprometió uno de sus entornos de GitLab.
Según la empresa, este entorno almacenaba información relacionada con proyectos de consultoría, y podría haber sido objeto de robo de datos sensibles.
El grupo de cibercriminales Crimson Collective asegura haber sustraído información de aproximadamente 800 clientes, incluidos organismos gubernamentales y empresas multinacionales.
💥 La filtración: más de 28.000 repositorios comprometidos
El grupo Crimson Collective, poco conocido hasta ahora, publicó en Telegram que obtuvo acceso a más de 28.000 repositorios de Red Hat, con un volumen total de 570 GB de datos.
Entre ellos se encontrarían 800 “Customer Engagement Reports” (CER), documentos de consultoría que describen configuraciones de red e infraestructura tecnológica de los clientes.
Según capturas publicadas por los atacantes, el material robado incluiría:
- Inventarios de servidores y scripts de automatización (Ansible playbooks)
- Guías de configuración de OpenShift
- Runners de despliegue de código
- Configuraciones de VPN y contenedores
- Enlaces de gestión de secretos y copias de seguridad
- Exportaciones de repositorios de GitHub/GitLab
El investigador de seguridad Aras Nazarovas, de Cybernews, advirtió que:
“Si estos informes y códigos fuente se filtran, los atacantes podrían analizar las infraestructuras internas de las empresas afectadas, facilitando la identificación de vulnerabilidades y vectores de ataque.”
🏛️ Organizaciones potencialmente afectadas
Diversos canales en X (antes Twitter) y medios especializados, como International Cyber Digest, han difundido una lista de entidades supuestamente comprometidas, entre las que figuran:
- Agencia de Seguridad Nacional (NSA)
- Departamento de Energía de EE. UU. (DOE)
- Instituto Nacional de Estándares y Tecnología (NIST)
- IBM, Citi, Verizon, Siemens, Bosch, HSBC, JPMorgan, Telefónica y varios bancos y operadores globales.
Aunque la información no ha sido verificada oficialmente, las implicaciones de una brecha de tal magnitud serían graves, especialmente considerando el papel de Red Hat en entornos críticos del sector público y privado.
🧠 Red Hat confirma la intrusión: “El incidente afecta solo a un entorno de GitLab”
En un comunicado oficial, Stephanie Wonderlick, vicepresidenta de comunicación de Red Hat, confirmó el incidente, pero aclaró que:
“El incidente está limitado a un entorno de GitLab utilizado exclusivamente por el equipo de Red Hat Consulting, y no involucra GitHub ni otros sistemas de la compañía.”
La empresa asegura haber actuado con rapidez:
- Eliminó el acceso no autorizado.
- Aisló la instancia comprometida.
- Notificó a las autoridades competentes.
- Inició una investigación forense completa.
El equipo de seguridad explicó que los datos alojados en ese entorno podrían incluir especificaciones de proyectos, fragmentos de código, y comunicaciones internas, pero no contienen información personal sensible.
“Hasta el momento, no hemos identificado datos personales comprometidos. En caso de detectar algún impacto, notificaremos directamente a los clientes afectados.”
⚙️ Red Hat descarta impacto en otros servicios
La compañía fue enfática en aclarar que el incidente no afecta a sus productos o servicios principales, incluyendo:
- Red Hat Enterprise Linux (RHEL)
- La cadena de suministro de software
- Las descargas oficiales y canales de distribución certificados
“No hay evidencia de que este incidente afecte la integridad o seguridad de nuestras soluciones empresariales. Estamos abordando este problema con la máxima prioridad.”
Asimismo, Red Hat precisó que la brecha no está relacionada con la reciente vulnerabilidad crítica descubierta en Red Hat OpenShift AI (CVE-2025-10725), la cual permitía escalar privilegios dentro de clústeres Kubernetes.
💣 Extorsión y tensiones con los atacantes
Los cibercriminales de Crimson Collective afirman haber intentado contactar con Red Hat antes de publicar la filtración, pero aseguran que no recibieron respuesta.
En Telegram, publicaron supuestas capturas de su “ticket de soporte” interno, reclamando que la empresa ignoró sus mensajes de advertencia.
Red Hat, por su parte, no ha comentado estas afirmaciones ni confirmado si existieron intentos de extorsión previos a la publicación de los datos.
🧭 Un recordatorio de que nadie está exento
El incidente de Red Hat es una advertencia contundente incluso para las empresas tecnológicas más experimentadas en seguridad.
Una vulnerabilidad en un entorno secundario, como un repositorio de GitLab de consultoría, puede transformarse en una puerta de entrada a información altamente sensible.
Si bien Red Hat ha reaccionado con rapidez y asegura que el impacto es limitado, el simple hecho de que clientes gubernamentales y corporativos puedan estar involucrados demuestra que la gestión segura de entornos de desarrollo es tan crítica como la de los sistemas de producción.
En un ecosistema cada vez más interconectado, incluso los gigantes del software empresarial deben asumir que la seguridad es un proceso continuo, no un estado alcanzado.
