Suscribirse

Suscríbete a nuestro boletín

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias
Tecnología y Ciencia Ciberseguridad

Grafana rechazó pagar rescate tras robo de código desde su entorno de GitHub

Grafana confirmó acceso no autorizado a GitHub, descarga de código y rechazo a un intento de extorsión.

John P. imagen de perfil
por John P.
Publicado
Grafana rechazó pagar rescate tras robo de código desde su entorno de GitHub

TL;DR:

Grafana confirmó que un actor no autorizado obtuvo un token con acceso a su entorno de GitHub.
La compañía dijo que no encontró evidencia de acceso a datos de clientes ni afectación a sistemas.
El atacante intentó extorsionar a Grafana para evitar la publicación del código, pero la empresa se negó a pagar.

Grafana Labs confirmó que un actor no autorizado obtuvo un token con acceso a su entorno de GitHub y lo usó para descargar parte de su codebase. La empresa aseguró que su investigación no encontró evidencia de acceso a datos de clientes, información personal ni impacto en sistemas u operaciones de usuarios. El caso importa porque no se trata de un ransomware clásico con cifrado de archivos: el centro del incidente fue el acceso a código fuente y un intento de extorsión que Grafana decidió no pagar.

La propia compañía publicó el incidente en una serie de mensajes en X el 17 de mayo de 2026. Ahí explicó que inició análisis forense, cree haber identificado el origen de la filtración de credenciales, invalidó los accesos comprometidos y aplicó medidas adicionales para proteger su entorno.

"Nuestra investigación determinó que no se accedió a datos de clientes ni a información personal durante este incidente, y no encontramos evidencia de impacto en los sistemas u operaciones de los clientes", señaló Grafana.

La frase clave está en lo que Grafana no dijo: no reveló cuándo ocurrió el incidente, cuánto tiempo tuvo acceso el atacante, qué repositorios fueron descargados ni si el código incluía componentes privados ligados a Grafana Cloud, su plataforma administrada de observabilidad.

El acceso fue a código, no a datos de clientes, según Grafana

Un token de acceso es una credencial digital que permite autenticar herramientas, flujos automatizados o servicios sin usar una contraseña tradicional. Si ese token queda expuesto y tiene permisos suficientes, un atacante puede entrar a recursos internos como repositorios, pipelines o integraciones.

Grafana presentó cinco puntos confirmados:

  • Un actor no autorizado obtuvo un token con acceso al entorno de GitHub de Grafana Labs.
  • Ese acceso permitió descargar su codebase.
  • La investigación no encontró evidencia de acceso a datos de clientes o información personal.
  • La compañía invalidó las credenciales comprometidas.
  • El atacante pidió dinero para no publicar el código, pero Grafana se negó a pagar.
"El atacante intentó chantajearnos y exigió un pago para evitar la publicación de nuestra base de código", escribió Grafana.

La negativa de la empresa siguió la postura pública del FBI, que desaconseja pagar rescates porque no garantiza recuperar datos ni impedir su publicación.

"Pagar un rescate no garantiza que tú o tu organización recuperen los datos. También alienta a los perpetradores a atacar a más víctimas y ofrece un incentivo para que otros se involucren en este tipo de actividad ilegal", advierte el FBI.
turned on gray laptop computer
Photo by Luca Bravo / Unsplash

Por qué una filtración de código sí puede ser grave

El matiz es importante: una filtración de código fuente no equivale automáticamente a una filtración de datos personales. Pero tampoco es menor.

En una empresa de software, el código puede revelar arquitectura interna, flujos de autenticación, integraciones, comentarios técnicos, errores de configuración o rutas que ayuden a buscar vulnerabilidades. El riesgo aumenta si junto al código aparecen secretos, tokens, llaves, credenciales o detalles de infraestructura.

En el caso de Grafana, la lectura pública se volvió más confusa porque parte de su producto es open source. El repositorio público grafana/grafana está disponible en GitHub y describe a Grafana como una plataforma abierta de observabilidad para visualizar métricas, logs y trazas. Pero una empresa con producto open source también puede tener repositorios privados, módulos empresariales, herramientas internas, automatizaciones de CI/CD y código de servicios cloud que no necesariamente son públicos.

Esa es la diferencia editorial de fondo: el incidente no se mide solo por “se llevaron código”, sino por qué tipo de código fue descargado, qué permisos tenía el token y si el entorno de desarrollo pudo abrir la puerta a riesgos de cadena de suministro. Grafana aún no ha publicado ese nivel de detalle.

CoinbaseCartel aparece en trackers, pero Grafana no confirmó atribución

Grafana no atribuyó oficialmente el incidente a ningún grupo. Sin embargo, reportes de Hackmanac y el tracker Ransomware.live señalan que CoinbaseCartel se adjudicó el ataque.

Ransomware.live lista a CoinbaseCartel como un grupo activo con 170 víctimas, primera detección el 15 de septiembre de 2025 y actividad registrada en 34 países. Esa cifra debe leerse como un dato de tracker, no como una confirmación de Grafana sobre este incidente.

Halcyon describe a CoinbaseCartel como una operación enfocada en extorsión por robo de datos, activa desde septiembre de 2025, con presuntos vínculos al ecosistema de ShinyHunters, Scattered Spider y LAPSUS$. FortiGuard Labs también la ubica como un actor de ciberextorsión que, en lugar de cifrar sistemas, amenaza con publicar o vender información robada si la víctima no paga.

Hay otro punto necesario: el nombre CoinbaseCartel no implica relación con la empresa Coinbase. Halcyon y FortiGuard advierten que no existe conexión con la compañía legítima de criptomonedas.

La parte que todavía falta explicar

Medios especializados como Cyber Kendra reportaron que el origen técnico pudo estar ligado a una configuración vulnerable de GitHub Actions y al uso de pull_request_target, un patrón conocido por elevar riesgos cuando workflows de CI/CD exponen secretos a contribuciones externas. Grafana, en su hilo público, solo dijo que cree haber identificado el origen de la filtración de credenciales y que compartirá más información tras completar su revisión post-incidente.

Eso deja varias preguntas abiertas:

  • ¿Qué token fue comprometido y qué permisos tenía?
  • ¿Qué repositorios o componentes fueron descargados?
  • ¿El código incluía módulos privados, herramientas internas o partes de Grafana Cloud?
  • ¿Cuánto tiempo estuvo activo el acceso no autorizado?
  • ¿Hubo secretos adicionales dentro de los repositorios descargados?
  • ¿La atribución a CoinbaseCartel será confirmada o quedará como reclamo externo?

La respuesta de Grafana fue rápida y pública, pero el caso todavía depende de su informe post-incidente. Para equipos de tecnología en México y Latinoamérica que usan herramientas de observabilidad, la lección inmediata no es entrar en pánico: es revisar permisos de tokens, secretos en repositorios, workflows de CI/CD y alertas sobre accesos anómalos. En 2026, el código también es superficie de ataque.

Fuentes: 1, 2, 3, 4, 5, 6, 7, 8

John P. imagen de perfil
por John P.
Publicado

Suscríbete GRATIS

Recibe las noticias más importantes de política, tecnología, negocios, deportes, entretenimiento y cultura directamente en tu correo.

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias

Leer más