Grupo hacker envenena repositorios open source a escala sin precedentes

TeamPCP no inventó los supply chain attacks, pero sí cambió la escala del juego. Lo sofisticado no es la técnica (typosquatting, dependency confusion, compromiso de mantenedores) sino la industrialización: cientos de paquetes infectados simultáneamente, targeting de ecosistemas específicos (Python, npm, Go), persistencia a través de múltiples plataformas.

Para empresas construyendo sobre open source — es decir, todas — esto plantea una pregunta incómoda: ¿cuántas de tus 847 dependencias transitivas podés defender? La respuesta honesta suele ser "menos de 10". El resto son confianza ciega en mantenedores anónimos que pueden estar comprometidos, quemados, o simplemente ausentes.

Las soluciones de corto plazo (SBOMs, scanners de vulnerabilidades, registros privados) ayudan pero no resuelven el problema de fondo: el modelo económico del open source no escala para el nivel de seguridad que ahora exigen sistemas críticos. Necesitamos nuevos mecanismos de funding y gobernanza, o seguiremos parcheando incendios.