La Agencia Espacial Europea sufrió un incidente de ciberseguridad antes de concluir el año

La Agencia Espacial Europea (ESA) confirmó que un incidente de ciberseguridad permitió a actores externos acceder a servidores ubicados fuera de su red corporativa, los cuales contenían información que la organización calificó como no clasificada y vinculada a actividades de ingeniería colaborativa.

Según confirma la propia ESA en sus red social X, la Agencia Espacial Europea pone en conocimiento el problema de ciberseguridad que sufrió el día 30 de diciembre y que afectó a servidores ubicados fuera de su red corporativa.

Tras ser conocedores del incidente, inmediatamente después la ESA inició un análisis forense de seguridad (actualmente en curso) e implementaron medidas para proteger cualquier dispositivo potencialmente afectado.

El análisis hasta la fecha indica que solo un número muy reducido de servidores externos podría haberse visto afectado. Estos servidores respaldan actividades de ingeniería colaborativa no clasificadas dentro de la comunidad científica. Se ha informado a todas las partes interesadas y desde la ESA proporcionarán más información tan pronto como dispongan de ella.

Por su parte, los atacantes sostienen haber exfiltrado más de 200 GB de datos, incluyendo código fuente, repositorios privados de Bitbucket, pipelines de CI/CD, tokens de acceso y API, archivos de configuración, scripts de infraestructura como código, bases de datos SQL y credenciales embebidas. “He estado conectado durante una semana a varios de sus servicios y he descargado todos sus repositorios privados”, afirmó el actor de amenazas en el foro.

La confirmación oficial se produjo después de que un actor de amenazas publicara en el foro clandestino BreachForums afirmaciones sobre una supuesta intrusión en sistemas de la ESA. Como respaldo, el atacante difundió capturas de pantalla que mostraban acceso sostenido durante una semana a servidores de JIRA y Bitbucket, herramientas utilizadas para la gestión de proyectos y desarrollo de software.

Los servidores presuntamente afectados respaldan actividades de ingeniería colaborativa no clasificadas dentro de la comunidad científica

Según diversas fuentes, el incidente no es un hecho aislado. En diciembre del año pasado, la tienda web oficial de la ESA fue comprometida mediante la inserción de código JavaScript malicioso, utilizado para robar información de clientes y datos de tarjetas de pago durante el proceso de compra, lo que ya había puesto en evidencia desafíos persistentes en la protección de sus plataformas digitales.