El Ecosistema Startup > Blog > Actualidad Startup > TeamPCP: hackers expulsan al grupo que comprometió 10.000 sistemas
Representación conceptual de ciberseguridad y defensa contra hackers en entornos startup con tonos naranja y negro.

TeamPCP: hackers expulsan al grupo que comprometió 10.000 sistemas

por

Qué está ocurriendo con TeamPCP y por qué es noticia hoy

Un grupo de hackers desconocido está infiltrándose en sistemas que TeamPCP ya había comprometido, expulsando al grupo cibercriminal original y eliminando sus herramientas de los sistemas víctimas. Este movimiento inusual convierte a las empresas atacadas en un campo de batalla entre actores maliciosos.

Para founders de startups tecnológicas, esto no es solo curiosidad del underworld: significa que tus sistemas podrían estar siendo disputados por múltiples actores sin que lo sepas, con riesgos de daño colateral, pérdida de datos y tiempos de inactividad impredecibles.

¿Quién es TeamPCP y por qué tiene miles de víctimas?

TeamPCP es un grupo cibercriminal emergente identificado desde febrero de 2025, especializado en ataques a la cadena de suministro de software. Su modus operandi: comprometer herramientas de desarrollo y seguridad de código abierto que miles de empresas usan diariamente.

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

El impacto es masivo:

  • Trivy (escáner de vulnerabilidades de Aqua Security): más de 10.000 equipos de desarrollo afectados cuando 76 de 77 tags fueron redirigidas a commits maliciosos
  • LiteLLM: librería Python para IA con 95 millones de descargas, exponiendo infraestructura de AI y cloud
  • 28 paquetes npm, repositorios PyPI, imágenes Docker Hub y SDK de Telnyx también comprometidos

TeamPCP inyectó malware que preservaba la funcionalidad original de las herramientas mientras extraía tokens de AWS/GCP, secretos de Kubernetes, credenciales de bases de datos (MySQL, PostgreSQL), webhooks de Slack/Discord y datos de criptomonedas (Solana). El FBI emitió una alerta urgente en marzo de 2025 advirtiendo sobre extorsiones masivas y brechas derivadas.

¿Por qué hackers atacarían a otros hackers?

Este fenómeno de "hackers contra hackers" tiene precedentes documentados, aunque es relativamente raro en ataques de supply chain como los de TeamPCP:

  • UNC5221/RedisRioter (2024): grupo chino expulsado de servidores Redis por otro actor (posiblemente ruso) mediante backdoors tipo NotPetya
  • LockBit vs. Conti (2022): ex-miembros de Conti formaron BlackBasta y atacaron infraestructura de LockBit
  • Minería de criptomonedas: casos documentados donde miners desplazan competidores matando procesos rivales (Elastic Security nota que TeamPCP escanea miners competidores)
  • DarkSide vs. REvil (2021): conflicto por infraestructura compartida

Las motivaciones típicas incluyen: robo de accesos ya establecidos (más fácil que encontrar nuevas víctimas), eliminación de competencia, o apropiación de infraestructura para campañas propias. En el caso de TeamPCP, los sistemas comprometidos ya tienen credenciales válidas y acceso persistente, lo que los convierte en activos valiosos.

Qué significa esto para tu startup

Si tu startup usa herramientas de código abierto en su pipeline de desarrollo (y casi todas lo hacen), este incidente tiene implicaciones directas:

Riesgo de daño colateral: Cuando dos grupos maliciosos disputan un sistema, las herramientas de eliminación pueden dañar archivos legítimos, corromper datos o dejar el sistema inestable. Tu startup podría sufrir downtime sin ser el objetivo original.

Persistencia invisible: TeamPCP estableció túneles (FRPS, GOST) y mecanismos de persistencia en contenedores Kubernetes. Si otro grupo los expulsa pero no limpia completamente, podrías quedar con backdoors residuales de ambos actores.

Extorsión en cascada: El FBI advirtió que las credenciales robadas por TeamPCP generarían brechas secundarias. Si tu startup fue víctima indirecta (usaste Trivy comprometido, por ejemplo), tus secretos podrían estar siendo vendidos o usados para ataques futuros.

Costos de recuperación: Según datos de IBM Cost of a Data Breach 2025, el promedio global es de $4.88 millones por brecha, con ataques de supply chain sumando $1.3M extra. Para startups, incluso una fracción de esto puede ser existencial.

Acciones concretas que debes implementar esta semana

No esperes a ser noticia. Toma estas medidas inmediatas:

  • Audita tus dependencias OSS: Verifica tags e imágenes Docker que usas. No confíes en "latest". Revisa si usaste Trivy, Checkmarx KICS, LiteLLM o paquetes npm/PyPI entre febrero y abril 2025. Compara hashes con repositorios oficiales.
  • Escanea secretos expuestos: Usa herramientas como TruffleHog, GitHub Advanced Security o GitLeaks para buscar credenciales que pudieron ser extraídas de tus repositorios y pipelines CI/CD.
  • Rotación inmediata de credenciales: Si hay posibilidad de compromiso, rota TODOS los tokens de AWS/GCP, secretos de Kubernetes, credenciales de bases de datos y API keys. Asume que fueron comprometidos.
  • Implementa least-privilege: Revisa permisos de todos los tokens y servicios. Ninguna credencial debería tener acceso admin completo. Usa credenciales efímeras cuando sea posible.
  • Monitoreo runtime en contenedores: Herramientas como Elastic D4C, Falco o Datadog Cloud Security pueden detectar ejecución maliciosa en tiempo real dentro de tus contenedores y pods de Kubernetes.
  • SBOM y firma de dependencias: Implementa Software Bill of Materials (SBOM) y usa Sigstore para verificar la integridad de las dependencias que instalas. Esto te permite detectar si un paquete fue modificado.

El ecosistema hispanohablante en la mira

TeamPCP no discriminó por región. Startups en España, México, Argentina, Colombia y Chile que usan estas herramientas están igualmente expuestas. El CERT-EU atribuyó a TeamPCP filtraciones masivas de datos de instituciones europeas, demostrando su alcance global.

En Latinoamérica, donde muchas startups operan con equipos de seguridad limitados y priorizan velocidad sobre seguridad, el riesgo es mayor. La dependencia de herramientas OSS sin verificación adecuada crea una superficie de ataque amplia.

Conclusión

Este incidente de "hackers hackeando a víctimas de otros hackers" es un recordatorio brutal de que la seguridad de tu startup no depende solo de tus defensas directas, sino de la integridad de cada herramienta en tu cadena de suministro. TeamPCP comprometió herramientas que miles de equipos consideraban "seguras" por definición.

La lección para founders: asume que cualquier dependencia externa puede estar comprometida. Implementa verificación continua, rotación de secretos y monitoreo runtime. Y cuando aparezcan alertas como esta, actúa de inmediato—no esperes a confirmar si fuiste afectado.

La ciberseguridad no es un gasto, es un multiplicador de supervivencia para tu startup.

¿Quieres estar al día de amenazas como esta?

En Ecosistema Startup compartimos semanalmente alertas de seguridad, análisis de tendencias y acciones concretas para founders. Únete gratis a nuestra comunidad de +200K founders hispanohablantes y recibe insights que protegen tu negocio.

Fuentes

  1. https://techcrunch.com/2026/05/07/hackers-hack-victims-hacked-by-other-hackers/ (fuente original)
  2. https://latam.kaspersky.com/blog/critical-supply-chain-attack-trivy-litellm-checkmarx-teampcp/29085/ (análisis TeamPCP)
  3. https://www.elastic.co/es/security-labs/teampcp-container-attack-scenario (escenario de ataque)
  4. https://www.qore.com/programacion/teampcp-hackea-trivy-y-litellm-fbi-emite-alerta-urgente/ (alerta FBI)

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Artículos relacionados:

Ataque supply chain a Trivy con exfiltración de credenciales CI/CD mostrando equipo de ciberseguridad defendiendo pipelines en entorno digital.Ataque supply chain a Trivy: como robaron credenciales Campaña masiva de hackers rusos atacando cuentas de Signal y WhatsApp, alerta en ciberseguridad para startups.Hackers rusos atacan Signal y WhatsApp: alerta global Verificación de edad con credenciales anónimas y zero-knowledge proof preservando la privacidad digital en startups tecnológicas.Credenciales Anónimas: Verificación de Edad sin Exponer Datos Amenaza crítica de ransomware y gestión de credenciales de máquina en ciberseguridad, destacando el punto ciego fatal en la protección TI.Ransomware y Machine Credentials: El Punto Ciego Fatal Impacto del Supply Chain Attack en Trivy y claves de seguridad DevOps para startups tecnológicas.Supply Chain Attack en Trivy: consecuencias y claves para startups

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.

Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly