# Comisión Europea golpeada por brecha en la nube AWS La **Comisión Europea** sufrió una importante brecha de datos el 19 de marzo, cuya intrusión fue atribuida al grupo de hackers **TeamPCP** por **CERT-EU**. La brecha explotó una cuenta comprometida de **Amazon Web Services (AWS)**, resultando en el robo de aproximadamente 92 gigabytes de datos comprimidos. ## Detalles de la Brecha Los atacantes obtuvieron acceso a través del mal uso de una clave secreta de API de Amazon, apuntando a la plataforma Europa.eu de la Comisión alojada en la infraestructura en la nube de **AWS**. Esta plataforma es utilizada por los estados de la UE para alojar sitios web de diversas entidades del bloque. Según el informe de **CERT-EU**, datos pertenecientes a 42 clientes internos y al menos 29 entidades de la UE podrían haber sido comprometidos. El conjunto de datos robado contenía casi 52,000 archivos, sumando 2.2 gigabytes, relacionados principalmente con comunicaciones de correo electrónico salientes. Si bien **CERT-EU** cree que la mayoría de estos mensajes eran automatizados con contenido mínimo, algunas notificaciones de rebote podrían presentar un riesgo de exposición de datos personales. ## Cronología y Descubrimiento Los funcionarios cibernéticos de la Comisión detectaron la brecha el 24 de marzo, activados por notificaciones que indicaban un posible uso indebido de las API de Amazon, un posible compromiso de cuenta y un aumento inusual en el tráfico de red. ## Causa Raíz: Compromiso de la Cadena de Suministro de Trivy **CERT-EU** evalúa con alta confianza que el acceso inicial se obtuvo a través del compromiso de la cadena de suministro de **Trivy**. La Comisión utilizó sin saberlo una versión comprometida de **Trivy** obtenida a través de los canales regulares de actualización de software. ## Riesgo de Movimiento Lateral Los actores de amenazas adquirieron "derechos de administración" para la clave de API de **AWS** comprometida, lo que potencialmente les permitió moverse lateralmente a otras cuentas de **AWS** dentro de la **Comisión Europea**. Sin embargo, actualmente no hay evidencia de dicho movimiento lateral. ## Fuga de Datos en la Dark Web El 28 de marzo, los datos robados aparecieron en el sitio de la dark web de **ShinyHunters**. **ShinyHunters** afirmó haber robado "volcados de datos de servidores de correo, bases de datos [sic], documentos confidenciales, contratos y mucho más material sensible". ## Modus Operandi de TeamPCP Se sospecha que **TeamPCP** también está detrás del reciente ciberataque a LiteLLM, que afectó a **Mercor** y a numerosas otras organizaciones. El grupo de hackers ha sido vinculado a campañas de ransomware impulsadas por gusanos, exfiltración de datos y minería de criptomonedas.