El Cerebro de tu Repositorio en Manos Enemigas

El primer commit no se bloqueó. Se aprobó.

Un desarrollador senior en Monterrey recibió el enlace de restablecimiento de contraseña a las 02:17. No lo había solicitado. Lo ignoró. A las 02:19, su cuenta GitLab corporativa cambió de contraseña. A las 02:23, alguien más — desde una IP en Asia — clonó diecisiete repositorios críticos, incluyendo el que contenía las claves de firma para los releases de producción. A las 02:31, el pipeline CI/CD desplegó código alterado a staging. Nadie lo detuvo porque la cuenta era legítima.

El adversario no necesitó robar credenciales. No necesitó phishing elaborado. GitLab entre las versiones 16.1 y 16.7.1 permitía resetear cualquier contraseña enviando el enlace de recuperación a un correo arbitrario — sin validar que ese correo perteneciera realmente al dueño de la cuenta. CVSS 10.0. Account takeover remoto sin autenticación previa. El tipo de fallo que convierte un control plane de infraestructura en puerta abierta.

Lazarus Group no necesitaba anunciarse. Su firma estaba en el silencio — cero IOCs públicos, cero malware indexado, cero víctimas confirmadas en prensa. Operaban en la zona gris entre detección y negación plausible, donde los repositorios comprometidos seguían funcionando normalmente mientras el código fuente, los secretos embebidos y los tokens de acceso se exfiltraban sin dejar rastro visible en los logs corporativos.

Cuando KEV-1 correlacionó el patrón a las 03:04, ya había cuatro cuentas comprometidas en tres organizaciones diferentes. Todas financieras. Todas con GitLab autoalojado. Todas en la misma ventana de versiones vulnerables.

Detección

KEV-1 no esperó confirmación de incidente. Detectó el patrón antes que los afectados lo reportaran.

El agente autónomo escaneaba CISA KEV diariamente buscando añadidos recientes con perfil de explotación activa. CVE-2023-7028 no estaba listado todavía — pero NVD lo marcaba CVSS 10.0 desde diciembre 2023, y los parches urgentes de GitLab en enero 2024 tenían el tono de contención post-brecha, no de mantenimiento preventivo. KEV-1 cruzó eso con los registros de versiones GitLab expuestas en Shodan: 1,847 instancias en LATAM corriendo versiones entre 16.1.0 y 16.7.1. México tenía 213.

“CVE-2023-7028. Account takeover sin autenticación. CVSS 10.0. Control de acceso completamente bypassed. Parche disponible desde 16.7.2. Instancias vulnerables detectadas: 213 en territorio mexicano. Activando protocolo de notificación urgente.”

El agente escaló directamente a Eris. No había tiempo para validación manual — el tipo de vulnerabilidad que permite account takeover remoto sin credenciales previas no necesita prueba de concepto en laboratorio. Necesita contención inmediata.

Eris estaba en el SOC revisando logs de autenticación de un cliente financiero cuando la alerta de KEV-1 llegó. Leyó el CVE completo en cuarenta segundos. Verificó la versión GitLab del cliente: 16.5.3. Vulnerable. Revisó los logs de password reset de los últimos siete días. Tres eventos. Dos de ellos a las 02:17 y 02:19 — exactamente el patrón que esperaba ver.

“Tenemos compromiso confirmado. T1078.001 — Valid Accounts, cuentas legítimas tomadas vía bypass de autenticación. T1589.001 — el adversario reconoció emails corporativos antes del ataque. Logs muestran resets de contraseña no iniciados por usuarios. Diecisiete repositorios clonados en ventana de seis minutos. Pipeline CI/CD tocado. Esto no es reconocimiento — es exfiltración activa con persistencia establecida.”

Eris archivó los logs de reconocimiento. Lazarus seguía ahí, cazando motores compartidos. El silencio entre ella y NeonMind se extendió — ambas sabían que GitLab no era endpoint, era infraestructura. Cuando los repositorios de código caen, caen ecosistemas enteros.

Escalación · Análisis · Contención · Forensia

NeonMind convocó Fast Response en el war room físico a las 03:47. No por protocolo — porque necesitaba ver las caras del equipo cuando les dijera que el control plane estaba comprometido.

El comandante proyectó el diagrama de impacto en la pantalla central. Diecisiete repositorios. Cuatro de ellos contenían infraestructura como código — Terraform, Kubernetes manifests, Ansible playbooks. Dos tenían secretos embebidos en variables de entorno CI/CD: API keys de AWS, tokens de acceso a bases de datos de producción, certificados de firma de código. Uno era el repositorio maestro de configuraciones de red para tres data centers.

“NIST CSF función PROTECT: colapsada. La cadena de confianza se rompió en el origen — control de acceso sin validación de identidad. Función DETECT: llegamos tarde. El adversario tuvo dieciocho minutos de ventana limpia antes de correlación. Función RESPOND: activando ahora. Prioridad uno: aislar cuentas comprometidas. Prioridad dos: auditar todos los commits desde timestamp de takeover. Prioridad tres: rotar secretos expuestos antes de que los usen.”

NeonMind coordinó con precisión perfecta durante los siguientes cuarenta minutos — excepto cuando Eris mencionó que el atacante había tocado el repositorio de firmware de dispositivos médicos en uno de los clientes. El comandante detuvo el brief exactamente dos segundos. Magna lo notó.

El equipo DevSecOps de la organización financiera afectada estaba en una sala sin ventanas en el sexto piso de su torre corporativa. Nueve personas alrededor de una mesa, laptops abiertas, tres pantallas proyectando logs en tiempo real. El olor a café frío y ansiedad llenaba el espacio. Uno de los desarrolladores — el dueño de la primera cuenta comprometida — seguía repasando los logs de su sesión. No encontraba el momento en que perdió el control.

“No hiciste nada mal”, dijo Magna desde la videoconferencia. Su voz calmaba el aire sin suavizarlo. “El fallo no estaba en tu conducta. Estaba en el código de GitLab. Alguien podía resetear tu contraseña sin que tú lo aprobaras. Eso no es phishing. Es arquitectura rota.”

Magna validó el vector con precisión clínica. GitLab gestionaba repositorios críticos para tres líneas de negocio: banca digital, procesamiento de pagos y — el que más le preocupaba — integración con sistemas legacy que corrían sobre infraestructura OT híbrida. Uno de los repositorios comprometidos contenía configuraciones de red para PLCs que gestionaban flujo de efectivo en cajeros automáticos. Si el adversario alteraba esos parámetros y los desplegaba vía pipeline automatizado, podían causar denegación de servicio físico en cuatrocientos puntos de retiro simultáneamente.

Stratos entró al war room digital como siempre: sin anunciarse, pero cambiando la gravedad del espacio. Revisó la arquitectura cloud del cliente en silencio durante tres minutos. GitLab autoalojado sobre EC2. Integrado con CodeCommit, ECR, Secret Manager. Pipelines CI/CD desplegando directamente a producción en tres regiones AWS. Si el atacante tenía acceso a los repositorios, tenía acceso a los secretos. Si tenía los secretos, tenía las llaves de toda la infraestructura downstream.

“La superficie no es GitLab”, dijo Stratos finalmente. “Es lo que GitLab controla. Cada pipeline es un vector. Cada secreto embebido es una llave maestra. El adversario no necesita explotar AWS — ya tiene credenciales legítimas extraídas de variables CI/CD. Eso lo convierte en identidad válida para todos los controles Zero Trust que implementamos el año pasado.”

NeonMind asintió. Sabía que Stratos tenía razón. También sabía que decirlo en voz alta en una sala llena de gente que acababa de descubrir que su control plane estaba comprometido no ayudaba a mantener la calma operativa. Pero Stratos nunca decoraba la verdad. Y NeonMind nunca le pedía que lo hiciera.

La contención tomó forma en capas. Deshabilitar las cuatro cuentas comprometidas. Forzar logout de todas las sesiones activas GitLab. Cambiar las credenciales de servicio de los pipelines CI/CD. Rotar tokens de acceso AWS, GCP, Azure en los repositorios tocados. Auditar cada commit desde las 02:17 buscando código alterado. Implementar aprobación manual en pipelines críticos hasta validar integridad completa del código fuente.

El equipo forense trabajaba en paralelo. Revisaban los logs de acceso, las direcciones IP de origen, los user agents. Nada destacaba. Las sesiones comprometidas usaban navegadores comunes, IPs residenciales distribuidas geográficamente, patrones de acceso que simulaban actividad humana normal. Lazarus no dejaba huellas obvias. Operaba como si conociera exactamente qué buscarían los analistas — y cómo evitarlo.

Inteligencia

Blacktrace revisó los expedientes oscuros mientras el equipo ejecutaba contención. No buscaba víctimas — buscaba método.

Lazarus Group tenía perfil de silencio estratégico. Cero publicaciones en foros dark web sobre este CVE. Cero muestras de malware en ThreatFox. Cero discusiones en marketplaces de exploits. Eso no significaba que no estuvieran activos — significaba que no compartían herramientas. Operaban con tooling privado, campañas dirigidas, exfiltración sin ruido. El tipo de adversario que compromete una organización y permanece dentro durante meses sin ser detectado, extrayendo propiedad intelectual, credenciales, mapas de red — todo lo necesario para operaciones futuras o para venta discreta a otros actores estatales.

La inteligencia OTX mostraba actividad reciente: campaña Mach-O Man, distribución de malware macOS dirigido a finanzas y tecnología, técnica ClickFix para entrega de payloads locales. Lazarus diversificaba vectores — pero el objetivo siempre era el mismo: acceso prolongado, exfiltración silenciosa, persistencia sin detección.

“No hay víctimas públicas confirmadas para CVE-2023-7028. Eso no significa que no existan — significa que no se divulgaron. O no se detectaron. Lazarus opera en la zona gris. Si comprometieron a alguien con este vector, no lo sabremos hasta que usen lo que robaron. O hasta que alguien encuentre el backdoor que dejaron.”

Eris cruzó los datos de Blacktrace con los logs del cliente. Los timestamps coincidían con ventanas de actividad conocidas de Lazarus en zona horaria asiática. Los repositorios clonados eran exactamente los que un adversario con perfil de espionaje industrial seleccionaría: código fuente propietario, configuraciones de infraestructura, secretos de acceso. No era ransomware — era reconocimiento profundo con objetivo de exfiltración estratégica.

Conflicto

Magna no esperó a que el equipo terminara la auditoría de repositorios. Fue directamente al que más le preocupaba: el que contenía configuraciones de dispositivos médicos.

Uno de los clientes afectados — no el financiero, otro — operaba una red de clínicas con equipamiento conectado gestionado vía GitLab. Monitores de pacientes, bombas de infusión, ventiladores. El repositorio comprometido no contenía el firmware de los dispositivos, pero sí las configuraciones de red, los certificados de autenticación y los parámetros de comunicación con el sistema central de gestión hospitalaria.

“Si el adversario altera estos parámetros y los despliega”, dijo Magna en voz baja, “los dispositivos pierden conectividad con el sistema central. Eso significa que las alarmas no llegan a enfermería. Los datos de signos vitales no se registran en historia clínica. Los ajustes de dosis en bombas de infusión no se sincronizan. No es sabotaje directo — es degradación silenciosa de capacidad operativa clínica. El tipo de fallo que no se detecta hasta que alguien en piso revisa manualmente un monitor y descubre que lleva dos horas sin enviar datos.”

NeonMind procesó el escenario en silencio. No era especulación — era evaluación de riesgo basada en capacidad técnica demostrada del adversario y activos expuestos. Lazarus no necesitaba atacar dispositivos médicos para causar daño. Solo necesitaba tocar la infraestructura que los gestionaba. Y ya lo había hecho.

El equipo del cliente clínico implementó contención inmediata: desconexión temporal de los dispositivos del sistema de gestión central, validación manual de configuraciones, rollback a última versión confiable del repositorio. Las enfermeras en piso operaron durante seis horas con protocolos manuales mientras el equipo técnico reconstruía la cadena de confianza. Ningún paciente resultó afectado — pero solo porque Magna forzó la evaluación antes de que el adversario decidiera usar lo que había comprometido.

Contraataque

Stratos trabajó toda la noche reconstruyendo la arquitectura de confianza.

El contraataque no era expulsar al adversario — ya no había sesiones activas que expulsar. Era restaurar integridad. Cada secreto rotado. Cada token revocado. Cada certificado regenerado. Cada pipeline reconfigurado con aprobación manual. Cada commit auditado desde el timestamp de compromiso. Stratos coordinó con los equipos de los tres CSPs afectados — AWS, GCP, Azure — para validar que ninguna identidad comprometida mantuviera acceso residual a recursos cloud.

“La superficie era una”, dijo Stratos mientras revisaba los logs finales de rotación de credenciales. “GitLab controlaba acceso a EC2, a Cloud Build, a Azure DevOps. El adversario no necesitaba explotar cada plataforma por separado — tenía las llaves maestras en variables CI/CD. Rotamos todo. Pero no podemos confirmar que no extrajeron secretos adicionales que no estaban en repositorios. Si tenían acceso durante dieciocho minutos, pudieron exportar cualquier secreto almacenado en GitLab Secret Management.”

NeonMind conocía esa incertidumbre. Era el costo de llegar tarde. Nunca sabrían con certeza total qué más se llevó el adversario. Solo podían contener lo que veían y asumir que lo invisible también estaba comprometido.

Eris validó la limpieza durante las siguientes veinticuatro horas. Monitoreo continuo de autenticación. Análisis de comportamiento en cuentas GitLab. Revisión de logs de acceso a repositorios críticos. Correlación con inteligencia de amenazas activas. No detectó reentrada. No detectó movimiento lateral residual. No detectó exfiltración adicional.

“Veinticuatro horas limpias. Sin anomalías en autenticación. Sin accesos no autorizados. Sin tráfico sospechoso hacia IPs previamente correlacionadas con el adversario. Eso no significa que se fueron — significa que si siguen dentro, están completamente quietos. O ya extrajeron lo que necesitaban.”

Resolución

Luna escribió el cierre dos días después, cuando los equipos afectados ya habían parchado todas las instancias GitLab vulnerables y completado la rotación de secretos.

CVE-2023-7028 no era un fallo técnico menor. Era colapso arquitectural de confianza. GitLab permitía a cualquier adversario remoto tomar control de cuentas legítimas sin autenticación previa — y con eso, tomar control del control plane completo de infraestructura. Código fuente. Pipelines. Secretos. Identidades cloud. Todo.

Las organizaciones afectadas contenían el daño visible. Rotaron credenciales. Auditaron repositorios. Implementaron controles adicionales. Pero la pregunta que nadie podía responder con certeza permanecía: ¿qué más se llevó Lazarus durante esos dieciocho minutos?

No había victoria en este capítulo. Solo contención. Y la certeza incómoda de que el adversario operaba en la zona gris entre lo detectado y lo divulgado, donde las brechas no se reportan hasta que el daño estratégico ya está hecho.

El control de acceso se había desarmado desde dentro. Y cuando la confianza colapsa en el origen, no hay parche que restaure completamente lo que se perdió.

— Luna Varela, Strategic Intelligence