¿Qué pasa cuando una actualización que parece rutinaria entra en la computadora como una mejora y, en realidad, abre la puerta de atrás? Esa escena, casi doméstica para cualquier desarrollador o empresa, dejó de ser una rareza. Ahora aparece con una frecuencia inquietante.
Un informe de WIRED pone nombre y mecanismo a ese problema: el grupo TeamPCP está detrás de una campaña que corrompió cientos de herramientas de código abierto y alcanzó incluso a GitHub. El hallazgo revela un cambio de escala. Los ataques a la cadena de suministro de software ya no son excepcionales, sino casi semanales.
La pieza clave del caso de GitHub fue una extensión maliciosa de VS Code, el editor de programación, instalada por un desarrollador. Desde ahí, los atacantes lograron acceso a miles de repositorios. TeamPCP habló de unos 4000, mientras que GitHub confirmó al menos 3800 comprometidos, aunque aclaró que contenían código interno y no datos de clientes.
El dato inquieta porque el código abierto funciona como el cableado invisible de gran parte de internet.
Así funciona el mecanismo. TeamPCP compromete programas populares, les inserta malware (software malicioso) y espera a que usuarios y empresas los instalen. Una vez dentro, ese código roba credenciales, como tokens de acceso personal (llaves digitales persistentes), y las usa para publicar nuevas versiones contaminadas. El engranaje se retroalimenta.
Los investigadores describen ese ciclo como una “rueda volante” de compromisos. Es una imagen precisa: cuanto más gira, más energía acumula. El grupo ya ejecutó unas 20 oleadas de ataques recientes, afectó a más de 500 programas distintos y, si se cuentan variantes, superó el millar de versiones manipuladas.
El gusano que automatiza la puerta de entrada
Además, TeamPCP sumó un gusano autopropagante, Mini Shai-Hulud. Un gusano, en ciberseguridad, es un programa que se replica solo. Esa herramienta automatiza el robo de credenciales y crea repositorios en GitHub con datos cifrados robados, lo que acelera la expansión sin necesitar siempre una intervención humana directa.
La campaña no se quedó en GitHub. También impactó en OpenAI, Mercor, Checkmarx, Mistral AI, la Comisión Europea y herramientas como Trivy y LiteLLM en PyPI, el repositorio de paquetes de Python. La oportunidad para los atacantes aparece cuando una herramienta muy usada se convierte en caballo de Troya para entrar en redes corporativas.
Y aquí aparece otra clave práctica. Muchas infecciones avanzaron porque había actualizaciones automáticas activadas o credenciales de larga duración, es decir, accesos que siguen vigentes durante semanas o meses. En términos simples, es como dejar una llave maestra debajo del felpudo y olvidar que sigue ahí.
Qué cambia para empresas y usuarios
La respuesta no pasa por abandonar el código abierto, sino por usarlo con una lógica más cercana a la de una instalación eléctrica segura: confianza, sí, pero con disyuntor. Los especialistas recomiendan rotar tokens y credenciales en GitHub, GitLab y proveedores cloud, como AWS, Azure o GCP, además de analizar nuevas versiones antes de desplegarlas.
También aconsejan retrasar la instalación inmediata de actualizaciones. Ese margen, que puede parecer incómodo, funciona como una cámara de espera para detectar si una versión salió comprometida. Porque una vez que el software malicioso entra al sistema, la capacidad de reacción se reduce mucho.
El hallazgo de fondo es menos técnico de lo que parece: en internet, una pieza pequeña puede mover una central entera. Y hoy, cuidar ese cableado digital empieza por desconfiar incluso de lo que llega con aspecto de mejora.
Directora de operaciones en GptZone. IT, especializada en inteligencia artificial. Me apasiona el desarrollo de soluciones tecnológicas y disfruto compartiendo mi conocimiento a través de contenido educativo. Desde GptZone, mi enfoque está en ayudar a empresas y profesionales a integrar la IA en sus procesos de forma accesible y práctica, siempre buscando simplificar lo complejo para que cualquiera pueda aprovechar el potencial de la tecnología.
