La Agencia Espacial Europea (ESA) ha confirmado haber sufrido recientemente un brecha de seguridad que afectó a servidores ubicados fuera de su red corporativa principal. Según ha reconocido el propio organismo, los sistemas comprometidos albergaban información no clasificada relacionada con actividades de ingeniería colaborativa dentro de la comunidad científica. No obstante, las afirmaciones realizadas por los atacantes elevan considerablemente la gravedad potencial del suceso.
La confirmación oficial llega tras la publicación de mensajes en el foro clandestino BreachForums, donde un actor de amenazas aseguró haber accedido a infraestructura de la ESA durante aproximadamente una semana. Como prueba, difundió capturas de pantalla que mostrarían acceso a servicios internos de desarrollo como JIRA y Bitbucket, herramientas habituales para la gestión de proyectos y repositorios de código.
Una brecha fuera del perímetro corporativo
En un comunicado emitido el martes, la Agencia Espacial Europea explicó que el incidente afecta a “servidores externos” y no a su red corporativa central. “La ESA es consciente de un problema reciente de ciberseguridad que involucra servidores ubicados fuera de la red corporativa de la ESA. Hemos iniciado un análisis forense de seguridad, actualmente en curso, e implementado medidas para asegurar cualquier dispositivo potencialmente afectado”, señaló el organismo.
Según la información disponible hasta el momento, el análisis preliminar indica que solo un número muy reducido de servidores externos habría resultado comprometido. Estos sistemas, según la ESA, dan soporte a actividades de ingeniería colaborativa no clasificada en el ámbito científico, lo que en principio excluiría información sensible de carácter estratégico, militar o clasificado.
Aun así, la agencia ha asegurado haber notificado a todas las partes interesadas relevantes y se ha comprometido a ofrecer actualizaciones adicionales conforme avance la investigación forense.
Los atacantes hablan de 200 GB de datos robados
La versión de los atacantes, sin embargo, dibuja un escenario mucho más preocupante. El actor de amenazas que se atribuye la intrusión asegura haber filtrado más de 200 gigabytes de información, incluyendo el volcado completo de repositorios privados de Bitbucket pertenecientes a la ESA.
De acuerdo con sus declaraciones, los datos supuestamente sustraídos incluirían código fuente, configuraciones de pipelines CI/CD, tokens de API, tokens de acceso, documentos confidenciales, archivos de configuración, ficheros de Terraform, bases de datos SQL y credenciales embebidas en el código, entre otros elementos críticos. De confirmarse, este tipo de información podría facilitar ataques posteriores, movimientos laterales o comprometer la seguridad de proyectos tecnológicos asociados.
“I’ve been connecting to some of their services for about a week now and have stolen over 200GB of data, including dumping all their private Bitbucket repositories as well”, afirmó el atacante en el foro, una declaración que, por ahora, no ha sido verificada de manera independiente.
Silencio sobre el alcance real
La ESA no ha confirmado ni desmentido el volumen ni la naturaleza exacta de los datos mencionados por los atacantes. Tampoco ha detallado qué servidores concretos fueron comprometidos ni cómo se produjo el acceso inicial, una información que suele reservarse hasta completar las investigaciones forenses para no entorpecer posibles acciones legales o técnicas de contención.
Un portavoz de la agencia no estuvo disponible para realizar comentarios adicionales cuando fue contactado por medios especializados en ciberseguridad, lo que refuerza la cautela institucional ante un incidente todavía en análisis.
El ciberataque a la ESA no es un caso aislado. En los últimos años, el sector aeroespacial y de defensa se ha convertido en un objetivo prioritario para actores estatales, grupos criminales, atraídos por el alto valor estratégico, tecnológico y económico de la información que manejan estas organizaciones.
Además, la creciente dependencia de plataformas colaborativas, servicios en la nube y entornos DevOps amplía la superficie de ataque, especialmente cuando parte de la infraestructura queda fuera del perímetro corporativo tradicional, como parece haber ocurrido en este caso.
