Grafana se niega a pagar el rescate por el código robado
Los atacantes filtraron repositorios de GitHub, pero los datos de los clientes no se vieron afectados. La empresa decidió no ceder al chantaje y se prepara para publicar los detalles de la brecha.
'No te necesitamos': Cómo Grafana desairó a los hackers y convirtió una brecha en una lección para toda la industria
El 15 de mayo, el grupo cibernético Coinbase Cartel publicó a Grafana Labs en su sitio de filtraciones con una nota provocadora: 'Podemos causarte más daño del que imaginas'. El 17 de mayo, Grafana respondió. No con dinero. Con un breve hilo en X que terminaba con la frase: 'Determinamos que el camino correcto es no pagar el rescate'.
Sin negociaciones. Sin consultores de crisis con maletines de Bitcoin. La empresa, cuyo software de visualización de datos se ejecuta en los centros de datos de la mitad del Fortune 500, simplemente se negó a jugar según las reglas de los extorsionadores. Y, según los primeros detalles de la investigación, tenían razones de peso para hacerlo.
Cómo un token que vale cero dólares abrió las puertas del reino
El ataque no fue sofisticado ni elegante. Los atacantes no violaron el perímetro con phishing de múltiples pasos ni explotaron zero-days. Obtuvieron un token de acceso al entorno de GitHub de Grafana Labs, y eso fue suficiente para descargar toda la base de código.
La raíz del problema radica en un error técnico específico. Uno de los repositorios tenía habilitada una GitHub Action con una vulnerabilidad de tipo 'Pwn Request' —una mala configuración clásica en el evento pull_request_target. Este desencadenante permitía que colaboradores externos que enviaban pull requests accedieran a secretos de producción durante las ejecuciones de CI/CD. El atacante bifurcó el repositorio, inyectó código malicioso mediante curl, extrajo variables de entorno en un archivo cifrado y eliminó instantáneamente la bifurcación para cubrir sus huellas. Luego repitió el ataque en cuatro repositorios privados más.
La intrusión se detectó gracias a tokens canary —Grafana había colocado miles de estas trampas en su infraestructura, y una de ellas se activó, alertando de inmediato al equipo de seguridad global. A partir de ese momento, comenzó una carrera: la empresa realizó simultáneamente análisis forense, revocó credenciales comprometidas y deshabilitó flujos de trabajo vulnerables.
Resultado de la investigación: datos de clientes intactos, información personal no afectada, impacto en sistemas de usuarios y operaciones nulo. Los atacantes solo obtuvieron el código.
Por qué Coinbase Cartel no es solo un grupo de hackers, sino una alianza de leyendas
El nombre Coinbase Cartel suena casi cómico. Pero detrás de él se encuentra un grupo que los analistas vinculan a tres nombres que infunden miedo en los CISO de todo el mundo: ShinyHunters, Scattered Spider y Lapsus$. Estos equipos han estado coordinando acciones desde al menos mediados de 2025 y, según algunos datos, cooperan desde 2024.
Las tácticas de Coinbase Cartel difieren de las bandas de ransomware clásicas. No cifran archivos ni paralizan infraestructuras. Roban datos sensibles, exigen un rescate por no divulgarlos y destruyen metódicamente la reputación de quienes se niegan a pagar. En el momento del ataque a Grafana, su sitio de filtraciones listaba 105 víctimas. Entre ellas: Instructure (creador de Canvas LMS), Vimeo, Wynn Resorts, Vercel y Medtronic.
El contraste entre el comportamiento de las víctimas es un drama en sí mismo. Instructure, cuyo software educativo atiende a 275 millones de estudiantes y profesores, pagó a los extorsionadores la semana pasada. Grafana no lo hizo. La diferencia es que Instructure tuvo datos de usuarios filtrados, mientras que Grafana tuvo 'solo' código fuente. Cuando la privacidad de un cuarto de billón de personas está en juego, la aritmética del riesgo reputacional cambia drásticamente.
Código abierto, código cerrado y código por el que se exige Bitcoin
Esto plantea una pregunta que The Register formuló con su característico sarcasmo: 'Si los atacantes descargaron código que en su mayoría es de código abierto, ¿por qué pagar por él?' Grafana es un producto de código abierto. Una gran parte de su base de código está disponible públicamente en GitHub.
Pero el diablo está en los detalles. Grafana Labs confirmó que los atacantes accedieron a repositorios privados. Estos podrían contener cualquier cosa: herramientas internas, endpoints no documentados, lógica de autenticación, scripts de configuración para clientes empresariales. Los investigadores de seguridad ya han señalado que una filtración de código así desplaza el riesgo del plano de la 'privacidad' al plano de la 'hoja de ruta para futuros ataques' —los atacantes pueden estudiar el código fuente durante meses, buscando patrones que permitan una penetración más profunda.
Grafana lo entiende. Pero el cálculo es simple: pagar financia el ecosistema de extorsión sin garantía de que los datos no se filtren en una semana. No pagar deja el código ya en manos de los atacantes, pero futuras filtraciones no les reportarán un centavo. La empresa citó casi textualmente la postura del FBI: pagar solo crea un incentivo para más delitos.
La industria de la seguridad recibe una clase magistral gratuita
Este incidente remodela varias capas de la industria simultáneamente. La comunidad de código abierto gana: Grafana ha prometido publicar un análisis detallado posterior al incidente una vez concluida la investigación. Los ingenieros de DevOps y DevSecOps de todo el mundo obtendrán un caso de estudio real con vector de ataque, cronología y medidas de respuesta —no un escenario de entrenamiento sintético, sino experiencia de combate real.
Las empresas que aún no han revisado sus GitHub Actions en busca de la vulnerabilidad pull_request_target pierden. Los investigadores llaman a esta superficie de ataque 'masivamente subestimada' en todo el ecosistema de código abierto. Cada repositorio público que fusiona PRs de colaboradores externos sin una auditoría exhaustiva de flujos de trabajo ahora parece un objetivo potencial.
Los negociadores de rescates también pierden. Cuantas más empresas se nieguen públicamente a pagar —y sobrevivan sin consecuencias catastróficas— más débil será la posición de los extorsionadores en la mesa de negociación. Grafana sentó un precedente: se puede perder código y continuar operaciones sin interrupción si la arquitectura de seguridad separa inicialmente los datos de usuario de las herramientas de desarrollo.
Qué cambiará después del 17 de mayo
Grafana ya ha revocado los tokens comprometidos, deshabilitado la GitHub Action vulnerable y detenido todos los flujos de trabajo en repositorios públicos durante la auditoría. En las próximas semanas, la empresa publicará un informe final. Se convertirá en uno de los documentos más leídos en el mundo DevSecOps —el nivel de interés es comparable al análisis de la brecha de SolarWinds.
Espero tres consecuencias específicas. Primero: GitHub endurecerá la configuración predeterminada para pull_request_target o al menos añadirá advertencias más agresivas en la interfaz. Demasiadas empresas están pisando el mismo rastrillo. Segundo: Coinbase Cartel aumentará la presión. Tienen 105 víctimas en su cartera, y la negativa pública de Grafana es un golpe a su modelo de negocio. Podría haber represalias, posiblemente en forma de filtración del código robado en foros de la sombra. Tercero: los CISO de todo el mundo están escribiendo ahora mismo solicitudes a sus equipos: 'Verifica si tenemos pull_request_target con acceso a secretos'. Y eso, quizás, es el mejor resultado posible de todo el incidente.
Grafana mostró cómo es una postura madura: sin pánico, sin negación, sin maletas de cripto. Solo un análisis técnico frío, revocación de tokens y corrección de errores en tiempo real. Los hackers robaron el código, pero no el control. Y en un mundo donde el ransomware se ha convertido en una industria multimillonaria, esa respuesta vale más que cualquier rescate.
— Editorial Team