La tecnológica Hewlett Packard Enterprise (HPE) ha anunciado en las últimas horas que se encuentra investigando un supuesto nuevo caso de brecha de seguridad. Fue en concreto, el pasado 16 de enero de 2025, cuando la empresa recibió comunicaciones de un actor de amenazas denominado IntelBroker que aseguraba que había robado documentos de los entornos de desarrollo de la entidad. El anuncio se produjo en el grupo BreachFroums.
Clare Loxley, portavoz de HPE, ha expresado públicamente que la empresa no ha encontrado, hasta la fecha, brecha de seguridad alguna, aunque no baja guardia y analiza si verdaderamente el código fuente pudo verse dañado.
Los supuestos datos robados a HPE
Según apuntan fuentes directas, HPE podría haber sufrido el robo de código fuente de productos como Zerto e iLO, repositorios privados de GitHub, compilaciones de Docker y certificados digitales.
Según señalan desde IntelBroker, podrían haberse hecho con información personal (PII) relacionada con entregas de usuarios antiguos y acceso a varios servicios de HPE, como API y plataformas de la talla de WePay, GitHub y GitLab, además de otras credenciales de servicio. En cualquier caso, afecta a un entorno de desarrollo que involucra a herramientas de código abierto y propietarias.
Pese a no haber sufrido ningún impacto operativo, HPE no evidencia que los datos de sus clientes se hayan visto comprometidos. Asimismo, asegura que activó inmediatamente sus protocolos de respuesta cibernética, deshabilitando las credenciales relacionadas y estableciendo una investigación rigurosa.
IntelBroker expresó que se trató de un ataque directo, no como consecuencia de la intervención de terceros.
Anteriores brechas de seguridad en HPE
HPE fue víctima de una vulneración de seguridad en 2018. En aquella ocasión, un grupo de piratas informáticos chinos de APT10 comprometieron algunos sistemas y utilizaron el acceso para piratear diferentes dispositivos de clientes.
En 2021, sus repositorios de datos de la plataforma de monitoreo de red Aruba Central, se vieron comprometidos y, por consiguiente, los atacantes accedieron a datos sobre los dispositivos monitoreados y sus ubicaciones correspondientes.
En mayo de 2023, HPE reveló que su entorno de correo electrónico Microsoft Office 365 fue violado por atacantes que pertenecían al grupo de piratería APT29, vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).
¿Quién es IntelBroker, responsable de la brecha de seguridad de HPE?
IntelBroker se dio a conocer a finales de 2022, primero en BreachForums y después como operador de ransomware en muchas violaciones de datos. Entre sus vulneraciones de seguridad, destacan los ataques a organizaciones como Cisco, T-Mobile, General Electric, AMD, Nokia y Europol, entre otras. En todas exigieron pagos de rescate exclusivamente en Monero (XMR).
En abril de 2024 hackeó varias bases de datos de Acuity, importante contratista tecnológico del gobierno de los EE.UU. En mayo de 2024, logró acceder a 9.128 registros confidenciales de la Europol. Ya en junio de 2024 logró obtener el código de fuente de varias herramientas internas de Apple, accediendo a bases de datos de AMD y a miles de archivos que incluían datos sobre productos futuros aún no anunciados, información de empleados y clientes, código fuente y registros financieros de AMD.
Acumula más de un centenar de ataques a 400 empresas. Poco más se conoce sobre este actor de amenazas, salvo que es de Serbia y vive en Rusia. Aunque al principio se sospechaba que podía ser un grupo, luego se confirmó que se trataba de un único ciberdelincuente. Todo comenzó con la brecha de seguridad causada en la cadena de supermercados asiática Weee!.
Si algo distingue a IntelBroker es su capacidad para combinar su experiencia técnica con un gran énfasis en la seguridad operativa (OpSec). De este modo, explotan vulnerabilidades como ventor de ataque principal y emplean, al mismo tiempo, herramientas avanzadas de anonimato para mantener el secreto operativo. Solo así logran una mayor reputación contrastada en la comunidad.
La máxima notoriedad para IntelBroker llegaría después de violar los datos de DC Health Link, organización administrativa de los planes de atención médica de los miembros de la Cámara de Representantes de los EEUU. En aquella ocasión, se vieron afectados los datos personales de 170.000 personas.
El último acuerdo estratégico de HPE
Uno de los motivos por los que HPE ha sido objetivo de IntelBroker es por su gran notoriedad. Recientemente ha firmado un contrato superior a 1.000 millones de dólares para suministrar servidores de inteligencia artificial a X. Se habría impuesto a sus principales competidores (Dell y Supermicro), lo que supone un cambio notable y una confianza plena en la oferta de IA de HPE.
Si bien es cierto, HPE se diferencia de sus otros competidores por su infraestructura de IA integrada en software. Supermicro, pese a sus grandes capacidades como servidor de IA, se está enfrentando actualmente a desafíos derivados de irregularidades contables, lo que dificulta su posición en el mercado. Por tanto, en pleno apogeo y oleada de éxitos para HPE, no parece que esta supuesta brecha de seguridad generada por IntelBroker vaya a lastrar su evolución.
