SAN FRANCISCO – Mandiant está respondiendo a un importante ataque en curso a la cadena de suministro que involucra el compromiso de Trivy, una herramienta de código abierto ampliamente utilizada de Aqua Security que está diseñada para encontrar vulnerabilidades y configuraciones erróneas en repositorios de código.

Las consecuencias del ataque, que se detectó por primera vez el 19 de marzo, son extensas y plantean un riesgo sustancial de compromisos posteriores e intentos amenazantes de extorsión.

«Conocemos más de 1.000 entornos SaaS afectados en este momento que están lidiando activamente con esta campaña de amenazas en particular», dijo Charles Carmakal, director de tecnología de Mandiant Consulting, durante una sesión informativa sobre amenazas celebrada junto con la Conferencia RSAC 2026. “Esas más de mil víctimas probablemente se expandirán a otras 500, otras 1.000, tal vez otras 10.000”.

Los atacantes robaron un token de acceso privilegiado y establecieron un punto de apoyo en el proceso de automatización del repositorio de Trivy explotando una mala configuración en el entorno GitHub Actions de la herramienta a finales de febrero, dijo Aqua Security en un publicación de blog.

El 1 de marzo, la empresa intentó bloquear una infracción en curso cambiando sus credenciales. Más tarde se dieron cuenta de que el intento falló, lo que permitió al atacante permanecer en el sistema utilizando inicios de sesión válidos. Los atacantes publicaron versiones maliciosas de Trivy el 19 de marzo.

«Si bien esta actividad inicialmente pareció ser un evento aislado, fue el resultado de un ataque más amplio y de múltiples etapas a la cadena de suministro que comenzó semanas antes», dijo Aqua Security en la publicación del blog.

Al comprometer la herramienta, los atacantes obtuvieron acceso a secretos de muchas organizaciones, dijo Carmakal. «Probablemente habrá muchos otros paquetes de software, ataques a la cadena de suministro y una variedad de otros compromisos como resultado de lo que está sucediendo en este momento».

Mandiant espera que en los próximos meses se produzcan revelaciones generalizadas de infracciones, ataques posteriores y una variedad de impactos posteriores.

Los atacantes, que la empresa de respuesta a incidentes aún no ha identificado, están colaborando con múltiples grupos de amenazas con sede principalmente en Estados Unidos, Canadá y el Reino Unido. Estos ciberdelincuentes “son conocidos por ser excepcionalmente agresivos con su extorsión”, dijo Carmakal. «Son muy ruidosos, muy agresivos».

Mandiant todavía está trabajando para identificar la raíz del ataque inicial. «No podemos decir exactamente cómo se robaron esas credenciales, porque creemos que esas credenciales no fueron robadas del entorno de la víctima», dijo Carmakal.

Las credenciales probablemente fueron robadas de otro entorno de nube, un subcontratista de procesos comerciales, un socio o la computadora personal de un ingeniero, agregó.

Aqua dijo que Sygnia, que está investigando el ataque y ayudando en los esfuerzos de remediación, identificó el domingo actividad sospechosa adicional que involucra cambios no autorizados y cambios en el repositorio, actividad que es consistente con el comportamiento observado previamente del atacante.

«Este desarrollo sugiere que el incidente es parte de un ataque continuo y en evolución, en el que el actor de la amenaza restablece el acceso. Nuestra investigación se centra activamente en validar que todas las rutas de acceso hayan sido identificadas y completamente cerradas», dijo la compañía.

Aqua, en su última actualización del martes, dijo que continúa revocando y rotando credenciales en todos los entornos y afirmó que todavía no hay indicios de que sus productos comerciales se vean afectados.

Actualmente, muchos atacantes están utilizando el acceso como arma y probablemente apuntan a víctimas adicionales, cediendo a posibles intentos de extorsión y comprometiendo software adicional, dijo Carmakal.

«Va a ser un resultado diferente para muchas organizaciones diferentes», afirmó. «Este será un foco muy concentrado de los adversarios y su grupo de expansión de socios con los que están colaborando en este momento».

SAN FRANCISCO – La estrategia cibernética de dos semanas de la administración Trump, que apunta a promover acciones más proactivas y ofensivas al mismo tiempo que refuerza las redes federales y la infraestructura crítica, es un cambio significativo que ya se está materializando de manera significativa, dijo un grupo de expertos el lunes en la Conferencia RSAC 2026.

A pesar de la ausencia del gobierno federal en la reunión anual más grande de la industria, y la La brevedad del documento tan esperado.representantes de un importante proveedor de ciberseguridad, consultoría, capital de riesgo y firma de abogados se apresuraron a defender y evangelizar las acciones estratégicas de la administración en el ciberespacio.

La estrategia recién publicada coloca al gobierno federal en una base firme para ir más allá de la disuasión y pasar a la acción, dijo David Lashway, socio y líder global de ciberseguridad y seguridad nacional de Sidley Austin.

«Vamos a tomar medidas ofensivas y defensivas con la capacidad cibernética más poderosa que el mundo jamás haya visto y, con suerte, alguna vez conozca», dijo.

Esto no significa, como han sugerido algunos observadores de la industria, que la administración Trump esté presionando a las empresas privadas para que respondan.

La escala y la respuesta global del gobierno es la diferencia clave entre la última estrategia cibernética federal y lo que las administraciones han pedido durante la última década, dijo Lashway.

En lugar de depender de abogados privados para obtener una orden judicial a nivel nacional y colaborar con docenas de gobiernos para derribos masivos, o agencias gubernamentales que colaboran con empresas de seguridad privadas de forma limitada, la estrategia apunta a movilizar “la enorme infraestructura y capacidad de Estados Unidos de una manera más coordinada”, añadió.

Este giro estratégico no logrará todos sus objetivos de inmediato, pero ya está mostrando signos de impacto, según Lashway. «Ha sido diferente desde que publicaron la estrategia», dijo. «Ya hemos notado una diferencia».

Wendi Whitmore, directora de inteligencia de seguridad de Palo Alto Networks, dijo que también ha visto una mayor colaboración en el sector privado.

«Si bien no hay duda de que hay desafíos relacionados con la dotación de personal actual y el entorno dinámico que existe en el gobierno, nunca antes había visto tanta acción y cooperación como la que estamos viendo hoy, y eso es de todas las agencias gubernamentales con las que estamos trabajando», dijo Whitmore.

«Ciertamente hay un tremendo cambio en el nivel de discusión que recibimos hoy del gobierno», añadió. «Es una especie de diálogo musculoso, muy proactivo, diferente de lo que he visto anteriormente».

Los expertos dijeron que las preocupaciones anteriores sobre una reacción violenta y un empeoramiento de sistemas ya frágiles habían impedido que el gobierno federal tomara ciertas acciones, pero ahora se está reconsiderando esa cautela.

«El gobierno va a empezar a golpear a la gente en la cara», dijo Jamil Jaffer, socio de riesgo y asesor estratégico de Paladin Capital Group.

Los funcionarios de la administración Trump le han dicho al sector privado que quiere su ayuda y que necesitan estar bien defendidos, añadió. «Si vivimos en casas de cristal, bueno, todo el mundo tendrá que empezar a poner más vidrio».

Jaffer espera que la administración Trump prevenga y responda a las intrusiones de manera agresiva y pública. «La mitad del problema actual con la disuasión es que en realidad no practicamos una disuasión real cuando se trata del dominio cibernético. No devolvemos los golpes a la gente», dijo.

Para él, la respuesta dinámica y adecuada es similar a la que un niño responde a un matón en la escuela.

“Si te golpean en la cara, devuélveles el puñetazo”, dijo Jaffer. «Hazlo públicamente. Todo el mundo lo ve. Menos gente te persigue».

Un sheriff del condado de California y contendiente republicano para la carrera por la gobernación del estado confiscó 650.000 boletas físicas del condado de Riverside, diciendo que eran parte de una investigación sobre fraude electoral vinculado a guerras de redistribución de distritos.

Los funcionarios estatales y los expertos en seguridad electoral dicen que las acusaciones subyacentes son falsas y que las autoridades locales no tienen la autoridad para investigar o validar unilateralmente los resultados electorales.

El sheriff del condado de Riverside, Chad Bianco, dijo en una conferencia de prensa el viernes que tenía la intención de realizar un recuento manual de las papeletas, que estaban vinculadas a las elecciones de noviembre pasado, y “comparar ese resultado con el total de votos registrados”.

En un 6 de marzo cartael Fiscal General de California, Rob Bonta, ordenó a Bianco que pausara la investigación hasta que el estado pudiera revisar “las bases fácticas y legales” de la investigación y la incautación.

Con base en una revisión inicial de las órdenes y declaraciones juradas del caso, Bonta escribió que su “oficina tiene serias preocupaciones en cuanto a si existía causa probable para respaldar la emisión de las órdenes y si su oficina presentó al magistrado todas las pruebas disponibles según lo exige la ley”.

Si bien la carta de Bonta no describe el contenido subyacente de las órdenes de registro, señala una presentación pública realizada por un residente en una reunión del Registro de Votantes del Condado de Riverside el 10 de febrero que «aborda la supuesta discrepancia de votos que parece ser la base de su investigación».

En que reuniónun individuo que se identificó como “Errol” y llevaba una gorra de “Trump 2028” alegó que el consejo había participado en fraude electoral local, estatal y federal.

En varios momentos, el individuo dijo que confió en Google para obtener información sobre personas y empresas a las que acusaba de recibir pagos indebidos. En otro momento, afirmó que el auditor del condado de Riverside no revelaría el propósito detrás de miles de páginas de pagos del condado, antes de decir «no van a recibir los archivos, yo los guardé».

«Tenemos muchos problemas, muchachos. Han cometido un fraude grave aquí, desde siempre», alegó el individuo, añadiendo que esperaba que los miembros del consejo fueran encarcelados.

Bonta acusó a Bianco de “violar flagrantemente mis directivas” según la Constitución del Estado de California y amenazó con emprender acciones judiciales si procedía con la investigación y el recuento manual.

La ley de Bianco, que ocupa el tercer lugar en las primarias abiertas del estado para gobernador este mes, según un Encuesta de Emerson College – es la segunda incautación de boletas de este tipo que se lleva a cabo en este ciclo electoral, luego de la redada del FBI en el condado de Fulton, la oficina electoral de Georgia.

Gowri Ramachandran, director de elecciones y seguridad del Centro Brennan para la Justicia, dijo a CyberScoop que las elecciones supuestamente están siendo investigadas. no fue una carrera reñida. Además, como prácticamente cualquier otra elección, los candidatos o partidos tienen oportunidades de impugnar las irregularidades o los resultados, incluidos los recuentos automáticos o los recuentos pagados por los candidatos o las campañas, junto con los tribunales estatales que regularmente juzgan cuestiones sobre los resultados electorales.

«Es importante que la gente sepa que ninguno de esos procesos involucra a alguien que entra y toma las boletas al azar», dijo, y agregó: «Me preocupa qué podría hacer para interferir si esto sucede más cerca de una elección real».

Ramachandran dijo que al confiscar las papeletas físicas, a las que llamó “el estándar de oro” que utilizamos para determinar la verdad básica sobre la intención de los votantes, Bianco estaba alterando la cadena de custodia, que es uno de los procesos clave diseñados para dar a los votantes confianza en sus elecciones.

“Debería ser un listón muy alto, no simplemente: 'Sospecho, quiero hacer una expedición de pesca'”, dijo. “No es suficiente tener a alguien que no tiene experiencia en contar boletas o mantenerlas seguras. [to] simplemente entra y toma todas esas cosas”.

La sugerencia de Bonta de que Bianco no informó materialmente a los tribunales se hace eco de lo que alegaron los funcionarios del condado de Fulton en su propia demanda, que acusaron al FBI de presentar al juez una “narrativa flagrantemente engañosa” que omitía pruebas clave, socavando la base del gobierno para investigar las papeletas de 2020.