Ayer se confirmó que el grupo de hackers LAPSUS$ ha logrado filtrar datos robados de los repositorios privados de GitHub de Checkmarx, una empresa que irónicamente se dedica a la seguridad de aplicaciones. Es un golpe importante porque estamos hablando de herramientas que muchas otras empresas usan para escanear su propio código en busca de fallos.
Lo que he podido averiguar es que la filtración incluye código fuente y documentación técnica que podría ser utilizada para encontrar vulnerabilidades en cascada.
Es el tipo de noticia que debería ponernos en alerta a todos los que trabajamos en desarrollo, porque si las herramientas de seguridad están comprometidas, la confianza en todo el ecosistema se tambalea. LAPSUS$ sigue demostrando que no necesitan técnicas de infiltración ultra complejas si consiguen engañar al eslabón más débil de la cadena mediante ingeniería social o robando credenciales de empleados.