Es otro martes. Otra fuga. Otra amenaza.
Grafana Labs, la gente detrás de esa popular herramienta de visualización de código abierto de la que todos dependemos, dice que su código base se vio comprometido.
¿Vaya cosa? Quizás no. Definitivamente preocupante.
Confirmaron la infracción a través de las redes sociales, lo que ahora parece extrañamente normal. La investigación mostró que los atacantes no rompieron un muro; encontraron una puerta abierta. Específicamente, una credencial simbólica robada. Les dio acceso al entorno GitHub de Grafana donde reside el código fuente.
¿Obtuvieron registros de clientes? No. ¿Datos financieros? No. Sólo el código.
El atacante intentó chantajearnos. Exigir pago para impedir la liberación.
Ese es el núcleo de esto. Extorsión. Sencillo y contundente.
Aquí está el truco. El código de Grafana es de código abierto. Es público. Cualquier persona con internet puede descargarlo. Pueden editarlo. Pueden ejecutarlo.
Entonces, ¿por qué amenazar con filtrar algo que todos ya pueden ver?
Quizás también haya material patentado allí. Una mezcla de salsa secreta e ingredientes abiertos. No lo sabemos todavía. La compañía no ha aclarado si en realidad se robó algo único más allá de lo que ya está visible en la web.
Mataron la ficha robada inmediatamente. Cerré las puertas. Se agregaron nuevas cerraduras por si acaso.
Contraste esto con Instructure. ¿El gigante de la tecnología educativa? Pagaron. “Llegaron a un acuerdo”. Suena limpio. Profesional, incluso.
Los piratas informáticos de Instructure habían comprometido la red dos veces. Dos veces. Luego amenazaron con arrojar datos sobre el personal y los estudiantes. Caos masivo. Sitio web desfigurado. Instructure cortó el cheque.
Grafana se negó.
Citando al FBI, obviamente. El consejo nunca cambia. No pagues. Aún así no recuperarás tus datos. Los delincuentes todavía publican la filtración. ¿Y ahora? Acabas de financiar el próximo ataque.
Los críticos odian el ransomware. Todo el mundo está de acuerdo en que pagar es una mala imagen. ¿Pero hacerlo?
La investigación de Grafana continúa. Prometen compartir los hallazgos más adelante. Siempre el “por determinar”.
Por ahora, el código permanece en sus servidores. O tal vez esté ahí fuera. ¿Importa? Era público de todos modos.
Pero la pregunta no es realmente sobre el código. Se trata de principios. O apalancamiento.
¿Quién tiene el poder cuando la cerradura está abierta pero el cofre del tesoro nunca estuvo completamente cerrado en primer lugar?
Nadie parece seguro todavía.
