Desde GitHub han desvelado que han sufrido un acceso no autorizado preocupante. Aunque todavía están trabajando en ello para llegar a conocer la magnitud de lo ocurrido, ya explican qué ha pasado y qué datos pueden estar en riesgo. En GitHub últimamente no paran de sufrir problemas. La plataforma, uno de los repositorios más famosos de la red y muy importante tanto para usuarios como para profesionales, está sufriendo demasiados ataques.
El último se ha producido a través de un dispositivo de uno de sus empleados. Los atacantes se han colado en GitHub Muchos usuarios y profesionales llevan tiempo pidiéndole a Microsoft que tenga cuidado con Visual Studio Code, puesto que está siendo protagonista por las razones equivocadas. Y, en esta ocasión, el problema se ha vuelto a producir con este editor de código abierto de la empresa de Windows. Tal y como explican desde GitHub, el dispositivo de su empleado ha sido infectado por una extensión maligna de Visual Studio Code.
Por el momento, no han desvelado el nombre de la extensión en cuestión. Desde Microsoft aseguran que han actuado con rapidez, han eliminado la extensión, han aislado la infección para que no tenga una mayor repercusión y han tomado otras medidas para evitar más problemas. GitHub@github1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub’s internal repositories.Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version, 20 de mayo, 2026 • 06:04 3.1K 311 ¿Qué se ha filtrado en esta brecha de seguridad?
Las publicaciones que han hecho desde GitHub en redes sociales dejan claro que hay cierta ambigüedad en el aire sobre la magnitud de lo sucedido. Explican que su evaluación actual apunta a que la brecha solo ha afectado a repositorios internos de GitHub. Indican que estarían fuera de riesgo tanto los repositorios de sus clientes, como las empresas que trabajan con ellos y los datos de usuarios que están fuera de sus sistemas internos. El ataque se habría concentrado, por lo tanto, a nivel interno.
El atacante, el grupo TeamPCP, ya ha dejado claro cuáles han sido sus objetivos y el alcance que ha tenido la brecha, mientras que desde GitHub han coincidido en que sus resultados coinciden. Se habla de 3800 repositorios internos afectados cuyos datos han robado para intentar venderlos en un lote al que han puesto un precio de 50.000 dólares. Los datos que habrían sido robados, según lo que indican los cibercriminales, incluiría archivos internos de los repositorios y la organización, así como código fuente de la plataforma. Lo que hizo GitHub al descubrir lo que había pasado fue actuar con extrema velocidad para proteger los datos más sensibles.
Mencionan que comenzaron por nivel de confidencialidad para proteger con rapidez aquella información que no debería filtrarse por ninguno de los motivos. De todas formas, el equipo de GitHub sigue trabajando y analizando lo sucedido. El robo de datos que se ha producido podría incluir documentos de las API, datos de acceso a las zonas de pruebas, scripts y otros servicios y datos. El mayor riesgo es que hayan sido robados los códigos fuentes, puesto que supone un riesgo elevado.
GitHub@github4/ We continue to analyze logs, validate secret rotation, and monitor for any follow-on activity. We will take additional action as the investigation warrants.20 de mayo, 2026 • 06:04 311 3 ¿Existe peligro todavía? GitHub está trabajando para analizar todo lo que ha pasado, los datos que pueden haber sido robados y las posibles consecuencias a las que se podrían enfrentar los afectados. También explican que se trata de información delicada que puede llegar a dar problemas no solo ahora, sino cuando haya pasado la tormenta y se piense que la situación está bajo control.
Esto es algo que los atacantes suelen hacer: esperar a que se hayan introducido medidas de defensa y luego aprovechar los accesos que todavía puedan tener en sus manos. En paralelo, GitHub recomienda a sus clientes que hagan un cambio en las claves de las API por si existiera alguna posibilidad de riesgo. En principio remarcan que no se ha producido ningún robo de información en repositorios externos y que los usuarios no deberían estar preocupados, pero recomiendan cambiar la clave para curarse en salud ante esta situación. También han dicho que siguen investigando y que, si descubren algo que sea relevante para sus clientes, les informarán con la máxima rapidez.