ShinyHunters destrozó la Comisión Europea: 350GB robados, correos filtrados y lo que México no está viendo

Si un grupo de hackers puede entrarle a la infraestructura cloud de la Comisión Europea y jalarse 350GB de datos sin que nadie los detenga a tiempo, ¿qué tan seguros están los sistemas que tú usas para hacer negocios con Europa? Spoiler: no tan seguros como creías.

El 24 de marzo de 2026, los sistemas de seguridad de la Comisión Europea detectaron actividad maliciosa en sus cuentas de AWS que alojan los sitios públicos de europa.eu. Para el 27 de marzo, el grupo ShinyHunters ya lo había publicado en su sitio de filtraciones en la dark web con todo el descaro: más de 350GB de datos exfiltrados, con capturas de pantalla como prueba. La CE tardó un par de días en confirmar el incidente, y su vocero Thomas Regnier salió a decir que el impacto era limitado y que la “infraestructura interna no fue afectada”. El clásico corporativo downplay de siempre.

Hay que recordar quiénes son ShinyHunters para entender por qué esto no es un hackeo cualquiera: estos mismos weyes estuvieron detrás del mega-breach de Ticketmaster en 2024 (560 millones de registros), y de ataques a Snowflake, Odido y otras plataformas enterprise. No son script kiddies, son operadores serios.

¿Qué se robaron exactamente?

El listado que publicaron ShinyHunters en su sitio incluye cosas que van de “preocupante” a “esto está muy grueso”:

• Dumps de servidores de correo (emails y adjuntos)
• Directorio completo de usuarios con Single Sign-On (SSO)
• Claves DKIM para los dominios de correo de la Comisión
• Snapshots de configuración de AWS
• Datos de NextCloud y Athena (la plataforma de colaboración interna)
• URLs y credenciales de administración interna
• Exportaciones de bases de datos
• Documentos internos y contratos
• PII (datos personales) de empleados

El tema de las claves DKIM es el más peligroso y el menos explicado en la cobertura mainstream. DKIM es el mecanismo que “firma” los correos para demostrar que vienen de donde dicen. Si ShinyHunters tiene esas claves, pueden mandar correos desde direcciones que terminen en @europa.eu o @ec.europa.eu y pasar todos los filtros de autenticación. Un correo de “soporte.tecnico@ec.europa.eu” que en realidad es phishing para robar credenciales. BleepingComputer fue el primero en confirmar el breach con capturas de pantalla que ShinyHunters les proporcionó directamente, mostrando acceso a datos de empleados y al servidor de correo interno.

Y para rematar: ShinyHunters declaró que no van a extorsionar a la CE. Van a publicar todo el dataset sin pedir rescate. Esto es peor, porque significa que cualquiera va a poder descargar ese paquete de 350GB eventualmente.

AWS no falló. La CE sí.

Un dato que hay que aclarar porque va a generar confusión: Amazon Web Services emitió un comunicado diciendo que sus servicios funcionaron correctamente y que no sufrieron ningún incidente. ¿Cómo es posible que hayan hackeado AWS sin hackear AWS?

El modelo de responsabilidad compartida. AWS te garantiza que su infraestructura física, sus hypervisors y sus redes están seguros. Pero la seguridad de lo que corres encima, las credenciales, los permisos IAM, los buckets S3 mal configurados, eso es responsabilidad del cliente. Y en este caso el cliente era la Comisión Europea, que al parecer dejó vectores de entrada lo suficientemente abiertos como para que ShinyHunters pudiera entrar con credenciales comprometidas o configuraciones incorrectas.

El vector exacto no está confirmado, pero el historial de ShinyHunters apunta a vishing, es decir, llamadas de phishing haciéndose pasar por el helpdesk de TI para que los empleados entreguen sus credenciales en portales falsos. Una táctica de baja tech que sigue funcionando contra organizaciones enormes porque el eslabón más débil siempre es el humano.

Esto no es el primer hackeo del año a la CE, tampoco. En febrero ya hubo un incidente dirigido a su infraestructura de dispositivos móviles. Dos en tres meses no es coincidencia, es un patrón.

¿Y México qué tiene que ver en todo esto?

Más de lo que crees. No hay reportes de que empresas o ciudadanos mexicanos estén entre las víctimas directas nombradas, pero el riesgo indirecto es real en varios escenarios:

Programa Horizonte y Copernicus: Universidades, startups y empresas mexicanas que han participado en convocatorias de financiamiento europeo envían datos a portales de europa.eu, incluyendo información de contacto, documentos legales y datos financieros. Si esos portales alimentaron las bases de datos que ahora están en manos de ShinyHunters, esa información puede estar comprometida.

Relaciones comerciales UE-México: El Tratado de Libre Comercio UE-México implica flujos constantes de documentación entre empresas mexicanas e instituciones europeas. Contratos, propuestas, información de contacto de representantes, todo eso puede haber pasado por sistemas ahora comprometidos.

El riesgo del correo falso: Aquí está el pedo más inmediato. Si tienes socios, clientes o proveedores en Europa, y recibes en las próximas semanas un correo de una dirección @ec.europa.eu que te pide acceder a un portal, verificar una factura o instalar algo, desconfía por default hasta que pase el ruido de este breach. Con las claves DKIM en su poder, esos correos van a verse completamente legítimos en tu cliente de correo.

Como mencionamos cuando cubrimos cómo Google quiere leer tu Gmail y tus fotos con Personal Intelligence, el problema no es solo quién tiene acceso a tus datos hoy, sino quién podría tenerlos mañana después de un breach. La exposición no es un evento puntual, es acumulativa.

Las lecciones que México debería estar tomando al chile

En nuestro análisis de cómo los data centers de IA en EUA ya usan perros robot armados para su seguridad, la ironía es obvia: la seguridad física ya es ciencia ficción cara, pero la seguridad en la nube sigue fallando por problemas básicos de configuración.

Lo que este incidente le debe dejar claro a cualquier empresa mexicana con operaciones en la nube:

MFA phishing-resistant ya, no mañana. Si todavía usas SMS como segundo factor, estás expuesto. Las llaves de seguridad FIDO2 (YubiKey, Google Titan) son el estándar que bloquea los ataques de vishing y phishing de credenciales.

Gestión de secretos con herramientas dedicadas. Claves DKIM, tokens de API, configs de AWS, nada de eso debe vivir en el mismo sistema que los archivos públicos o de colaboración. AWS Secrets Manager, HashiCorp Vault, o equivalentes. Si tus credenciales críticas viven en un repositorio de Git o en un archivo de texto en un servidor, ya perdiste.

IAM con mínimos privilegios. Cada cuenta de servicio, cada proceso automatizado, debe tener exactamente los permisos que necesita y nada más. Si un atacante compromete esa cuenta, el radio de daño está contenido.

Detección de exfiltración de datos. La CE detectó el ataque el 24 de marzo, pero para entonces ya se habían ido 350GB. La detección llegó tarde en la cadena de ataque. Herramientas como AWS GuardDuty o soluciones de SIEM que monitoreen volúmenes anómalos de transferencia de datos pueden alertar antes de que el daño sea total.

El modelo de responsabilidad compartida hay que entenderlo. AWS no falló. Tú puedes fallar en AWS. Son cosas distintas y confundirlas lleva a invertir en las protecciones equivocadas.

¿Qué sigue?

TheRecord reportó que la Comisión Europea está notificando a entidades afectadas pero sin detallar cuántos usuarios o qué tipo de datos personales están involucrados. La investigación sigue abierta. ShinyHunters no ha publicado el dataset completo todavía, lo que significa que el daño más grande puede venir en las próximas semanas cuando eso sea público o cuando alguien use esas claves DKIM para lanzar campañas de phishing masivo.

La CE va a sobrevivir esto, como siempre. Pero las empresas pequeñas o medianas en México que tienen vínculos con Europa, y que no tienen un equipo de seguridad dedicado revisando sus configuraciones cloud, son las que pueden llevarse el golpe indirecto sin siquiera enterarse.

Qué pedo, ¿tú ya sabes quién tiene acceso a qué en tu nube?

Fuentes

• European Commission confirms data breach after Europa.eu hack - BleepingComputer
• European Commission downplays ShinyHunters cyberattack impact - The Record
• ShinyHunters Claims 350GB Data Breach at European Commission - HackRead
• ShinyHunters claims the hack of the European Commission - Security Affairs
• European Commission Reports Cyber Intrusion and Data Theft - SecurityWeek
• European Commission Confirms Cloud Data Breach - Infosecurity Magazine