Trescientos repositorios privados. Llaves de AWS. Source code de productos de IA que Cisco ni siquiera había anunciado. Tres millones de registros de Salesforce con datos del FBI, el DHS, la NASA, y el Ministerio de Defensa de Australia. Y una cuenta regresiva que termina el tres de abril.
La pregunta que quedó flotando
El 19 de marzo, TeamPCP reescribió 76 de 77 tags de trivy-action — el escáner de vulnerabilidades más popular del ecosistema. CVE-2026-33634. CVSS 9.4. Cada CI/CD pipeline que corrió Trivy ese día ejecutó en silencio un credential stealer que vaciaba la memoria del runner: llaves SSH, tokens de Kubernetes, credenciales de nube, variables de entorno. Todo empaquetado. Todo exfiltrado.
Documentamos la campaña completa. Ocho fases. Cinco registries. Treinta y tres días. Un solo grupo.
La pregunta que quedó flotando al cierre de ese artículo: ¿cuál fue la víctima más grande?
El 31 de marzo, BleepingComputer publicó la respuesta. Cisco Systems. La empresa que vende seguridad de red al Fortune 500. La empresa que tiene "AI Defense" como producto insignia. La empresa cuyo slogan literal en 2026 es "The bridge to possible."
El puente se cayó.
Lo que el escáner encontró
El pipeline de CI/CD de Cisco corría Trivy. El 19 de marzo, Trivy corrió a Cisco.
El credential stealer de TeamPCP — documentado por CrowdStrike como "TeamPCP Cloud Stealer" — dumpeaba la memoria de los runners de CI/CD. No buscaba archivos específicos. Cosechaba todo: procesos, environment variables, llaves de acceso efímeras. El equivalente digital de vaciar una oficina entera en una bolsa de basura.
En el caso de Cisco, la bolsa contenía bastante.
Más de 300 repositorios privados de GitHub fueron clonados usando credenciales robadas del pipeline. Source code de AI Assistants. Source code de AI Defense — la herramienta que Cisco vende para proteger infraestructura de IA. Source code de productos que no habían sido anunciados públicamente.
Múltiples llaves de acceso de AWS fueron robadas y utilizadas para actividad no autorizada en cuentas de Cisco. Docenas de workstations de desarrolladores y laboratorios comprometidas. Y lo que hace este incidente particularmente tóxico: source code de clientes — bancos, BPOs, y agencias del gobierno de Estados Unidos — que estaba almacenado en los repos de Cisco como parte de contratos de integración.
Cisco no perdió sus propios secretos. Perdió los de sus clientes.
ShinyHunters entra en escena
Como si TeamPCP no fuera suficiente, otro grupo olió sangre.
ShinyHunters — también trackeados como UNC6040 y UNC6395 — reclamó tres vectores de ataque separados contra Cisco en las semanas siguientes:
Primero: Salesforce CRM, vía voice phishing. Llamadas a empleados de Cisco. Ingeniería social para obtener tokens de OAuth. Viejo y efectivo.
Segundo: Salesforce Aura — el framework de Experience Cloud — vía controles de acceso de guest user mal configurados. Una herramienta open source llamada AuraInspector fue suficiente para enumerar los endpoints expuestos.
Tercero: entornos de AWS. Este vector es el que conecta las dos historias. Si las llaves de AWS fueron robadas vía Trivy el 19 de marzo, y ShinyHunters utilizó acceso a AWS en las semanas siguientes — ¿compraron credenciales de la misma cosecha? ¿Las encontraron en los 300GB de credenciales comprimidas que Mandiant estimó fueron robadas en la campaña TeamPCP?
Nadie ha confirmado la conexión. Pero el timing es quirúrgico.
El resultado combinado: más de tres millones de registros de Salesforce con información personal identificable de personal del FBI, DHS, DISA, IRS, NASA, el Ministerio de Defensa de Australia, y agencias del gobierno de India.
El 31 de marzo, ShinyHunters publicó un "FINAL WARNING" en su sitio de leaks. Deadline: 3 de abril de 2026. Responda Cisco o los datos se publican.
Cisco no ha emitido respuesta pública.
El efecto cascada documentado
Esto no es especulación sobre supply chain risk. Esto es supply chain risk materializado en un ejemplo de libro de texto.
Un PAT robado de un bot de GitHub → 76 tags reescritos en Trivy → CI/CD pipelines envenenados globalmente → credenciales de Cisco exfiltradas → 300+ repos clonados → source code de IA robado → source code de clientes gubernamentales comprometido. Y posiblemente: credenciales en el mercado negro → ShinyHunters ataca Salesforce → 3 millones de registros de agencias federales → extorsión pública.
De un solo token robado a registros del FBI.
GitGuardian ya había documentado el ratio de fan-out de esta campaña: 474 repos públicos comprometidos como lower bound. Cisco demuestra que el upper bound — los repos privados, los que no aparecen en ningún search de GitHub — es donde estaba el verdadero daño.
Y esto es solo una víctima. Mandiant estima entre 1,000 y 10,000 entornos SaaS comprometidos. Cisco fue lo suficientemente grande para ser noticia. ¿Cuántas empresas más pequeñas perdieron sus repos, sus llaves, sus datos de cliente — y todavía no lo saben?
La ironía es el producto
Cisco AI Defense es un producto que monitorea y protege aplicaciones de IA contra ataques de supply chain, prompt injection, y model poisoning. Su marketing literal dice: "Secure AI by design."
El source code de ese producto fue robado porque un escáner de vulnerabilidades en el pipeline de CI/CD de Cisco fue comprometido por un grupo que opera desde un canal de Telegram.
La herramienta diseñada para proteger IA fue robada por la misma clase de ataque que dice prevenir.
Y esto no es la primera vez. En octubre de 2024, IntelBroker descargó 4.5 TB del portal DevHub de Cisco — source code de Catalyst, IOS, WebEx, SASE — porque un script de migración de datos estaba mal configurado. Cisco confirmó la autenticidad. Dijo que el root cause era "un error de configuración." Dijo que no habilitaría futuras brechas.
Diecisiete meses después, una configuración — un tag mutable de GitHub — habilitó una brecha mayor.
La culpa en tres niveles
El ejecutor: TeamPCP. Un grupo criminal que encontró que las herramientas de seguridad son el vector perfecto porque corren con privilegios máximos y nadie las audita. ShinyHunters. Un grupo de extorsión que encontró la puerta abierta — o compró la llave.
Los facilitadores: GitHub, cuyo sistema de tags mutables sigue sin log de transparencia ni firma criptográfica dos meses después de CVE-2026-33634. Cisco, cuyo pipeline de CI/CD no pinneaba a SHA. Y Cisco de nuevo, cuya instancia de Salesforce tenía guest access mal configurado en 2026.
El sistema: Un modelo de confianza donde las herramientas de seguridad reciben acceso total a los secretos de una organización como requisito funcional, y donde la verificación de integridad de esas herramientas es opcional. Un modelo que confía en que el escáner es seguro porque es el escáner.
Cisco vende protección de IA. Su IA fue robada por un escáner de IA comprometido, y los datos de sus clientes gubernamentales están a horas de ser publicados por alguien que posiblemente compró las llaves en el mismo marketplace de credenciales. La pregunta no es quién protege a los protectores. La pregunta es por qué alguien seguiría creyendo que los protectores se protegen solos.