Hackeo a la Comisión Europea: atacante amenaza con publicar 350 GB de datos

byAdmin -
Sede de la Comisión Europea en Bruselas con iconografía de ciberataque y logo de Amazon Web Services comprometido
El incidente, ocurrido el 24 de marzo de 2026, afectó a al menos una cuenta de Amazon Web Services vinculada a la Comisión Europea

Ciberseguridad · Comisión Europea · AWS · Brecha de Datos

Hackeo a la Comisión Europea: un atacante amenaza con publicar 350 GB de datos robados de su infraestructura AWS

La Comisión Europea confirma un acceso no autorizado a su infraestructura en Amazon Web Services el 24 de marzo de 2026. El presunto atacante afirma haber extraído más de 350 GB de datos e indica su intención de publicarlos, sin pedir rescate. Es el segundo incidente de seguridad grave en la institución en menos de dos meses.

La Comisión Europea enfrenta su segundo incidente de ciberseguridad grave en menos de dos meses. Un acceso no autorizado a su infraestructura en la nube de Amazon, detectado el 24 de marzo de 2026, ha resultado en la presunta sustracción de cientos de gigabytes de datos sensibles según el propio atacante, quien ha contactado directamente con medios especializados para atribuirse la autoría.

El incidente, confirmado por la institución y reportado por BleepingComputer, presenta una característica que lo distingue del patrón habitual del cibercrimen: no hay demanda de rescate económico. El atacante ha anunciado su intención de publicar los datos, lo que convierte este incidente en una amenaza de exposición masiva sin ventana de negociación.

Qué ocurrió el 24 de marzo

El vector de entrada confirmado es una cuenta de Amazon Web Services vinculada a la Comisión Europea. El acceso fue detectado y activó la intervención del equipo de respuesta a incidentes de ciberseguridad de la institución, aunque los detalles sobre cómo se produjo la intrusión inicial no han sido divulgados públicamente.

La posición de Amazon

Amazon Web Services ha declarado que no registró anomalías en su plataforma durante el incidente y que sus servicios funcionaron con normalidad. Esta posición no necesariamente contradice la versión de la Comisión: un acceso mediante credenciales legítimas comprometidas puede no generar alertas en el proveedor de nube, ya que técnicamente el acceso parece autorizado desde la perspectiva de la plataforma.

El problema de las credenciales comprometidas en la nube: Cuando un atacante obtiene credenciales válidas de acceso a un entorno cloud, la plataforma proveedora no puede distinguirlo de un acceso legítimo. Es la institución titular de la cuenta quien debe detectar el comportamiento anómalo. Que Amazon no registrara anomalías no descarta la intrusión: refuerza la hipótesis de que el ataque se realizó con credenciales robadas, no mediante vulnerabilidades en la infraestructura de AWS.

Los 350 GB robados y la amenaza de publicación

El presunto atacante ha detallado el alcance de lo sustraído en su comunicación con los medios. El volumen declarado es de más de 350 GB de información, distribuida en dos categorías principales.

👤
Datos personales de empleados Información identificativa de trabajadores de la Comisión Europea. El alcance exacto, número de personas afectadas y tipo de datos incluidos no ha sido confirmado por la institución.
📧
Contenido de servidor de correo electrónico Acceso a comunicaciones internas almacenadas en un servidor de correo electrónico. Este tipo de contenido puede incluir correspondencia institucional sensible, coordinaciones internas y datos adjuntos.
📸
Capturas de pantalla como prueba El atacante ha compartido imágenes que, según afirma, demuestran el acceso a los sistemas comprometidos. La autenticidad de estas capturas está siendo evaluada en el marco de la investigación.

El elemento más preocupante del incidente es la ausencia de demanda económica. En la mayoría de los ciberataques de este perfil, el rescate o la venta de datos en mercados ilícitos es el objetivo final. Aquí, el atacante ha declarado su intención de publicar los datos libremente, lo que elimina la posibilidad de contener la filtración mediante negociación y maximiza el daño potencial para los afectados.

Sala de servidores con logotipo de Amazon Web Services y alerta de seguridad, representando el acceso no autorizado a la infraestructura cloud de la Comisión Europea
El acceso afectó a al menos una cuenta AWS de la Comisión Europea, con posible exposición de datos de empleados y contenido de correo interno

Un patrón preocupante: segundo ataque en 2026

Este incidente no ocurre en el vacío. La Comisión Europea ya confirmó otra brecha de seguridad en febrero de 2026, apenas cinco semanas antes, que en aquel caso afectó a la plataforma de gestión de dispositivos móviles de sus empleados.

Febrero de 2026 Primera brecha confirmada: la plataforma de gestión de dispositivos móviles de la Comisión Europea es comprometida a través de una vulnerabilidad en el software Ivanti, en el marco de una campaña más amplia dirigida a múltiples instituciones europeas.
Días antes del 24 de marzo Sanciones del Consejo de la UE: el Consejo europeo anuncia sanciones contra varias empresas tecnológicas —dos chinas y una iraní— por su implicación en ciberataques contra Estados miembros, reafirmando la postura de respuesta firme de la UE ante amenazas cibernéticas.
24 de marzo de 2026 Segunda brecha confirmada: acceso no autorizado a infraestructura AWS de la Comisión Europea. El atacante afirma haber extraído 350 GB de datos y anuncia su publicación futura sin exigir rescate.
El momento geopolítico: Que este ataque se produzca días después de que la UE anunciara sanciones contra actores tecnológicos vinculados a ciberoperaciones contra Estados miembros no es necesariamente una coincidencia que los investigadores pasarán por alto. El timing sitúa el incidente en un contexto de tensión digital activa entre Europa y actores estatales o paraestatales.

Lo que la investigación aún no ha respondido

A pesar de la gravedad del incidente y de que ya ha transcurrido tiempo desde su detección, la Comisión Europea mantiene un nivel de opacidad significativo sobre aspectos fundamentales del caso.

  • Cuántas cuentas de AWS se vieron comprometidas más allá de la confirmada.
  • Si la información de ciudadanos europeos forma parte del material presuntamente exfiltrado.
  • Cuánto tiempo estuvo el atacante con acceso activo a los sistemas antes de ser detectado.
  • El vector de entrada inicial: cómo se obtuvieron las credenciales de acceso al entorno cloud.
  • Si el incidente está vinculado a la brecha de febrero o responde a un actor y método distintos.

La falta de respuestas a estas preguntas no solo dificulta la evaluación del daño real: también impide que posibles afectados, ya sean empleados o ciudadanos cuyos datos pudieran estar involucrados, tomen medidas de protección informadas.

Conclusión: El hackeo a la Comisión Europea es un incidente de primer orden tanto por la relevancia de la institución afectada como por la naturaleza de la amenaza: un atacante que no pide rescate sino que anuncia publicación libre de 350 GB de datos institucionales elimina cualquier mecanismo de contención mediante negociación. Que sea el segundo ataque confirmado en menos de dos meses sugiere una presión sostenida sobre las infraestructuras digitales de la UE, en un momento geopolíticamente tenso. La investigación sigue abierta, pero cada día sin comunicación clara a los potenciales afectados es una ventana de riesgo que permanece innecesariamente abierta.

Tags:

Te puede interesar

Ver todo

Sé respetuoso con los demás usuarios y no utilices lenguaje ofensivo o discriminatorio.

Artículo Anterior Artículo Siguiente
Compartir en otras aplicaciones
Copiar Enlace de la entrada