El repositorio robado que la organización no sabía documentar: amnesia tecnológica y la cadena de suministro

Tras el ataque a GitHub, responder exige saber qué extensiones, paquetes y credenciales usa cada equipo. Esa memoria casi nunca existe.

2026-05-24

El robo de unos 3.800 repositorios internos de GitHub vía una extensión de VS Code troyanizada deja una pregunta operativa por delante de la técnica: ¿puede tu organización listar hoy qué desarrolladores instalaron esa extensión, qué credenciales tocaron sus máquinas y dónde quedaron guardadas? Cuando esa lista no existe, el incidente revela amnesia tecnológica.

El **20 de mayo de 2026**, GitHub confirmó el robo de cerca de 3.800 repositorios internos. El vector fue una extensión de VS Code troyanizada —Nx Console, con 2,2 millones de instalaciones— que estuvo activa apenas 18 minutos en el Visual Studio Marketplace. El código malicioso recolectó tokens de GitHub y npm, llaves de AWS, bóvedas de 1Password y archivos de configuración de herramientas de IA. La pregunta operativa llega antes que la técnica: ¿puede la organización listar hoy qué desarrolladores instalaron esa extensión, qué credenciales tocaron sus máquinas y dónde quedaron guardadas? Cuando esa lista no existe, el incidente revela una forma concreta de **amnesia tecnológica**. ## El mapa de dependencias vive en la cabeza de cada persona Responder a un ataque de cadena de suministro exige un inventario vivo: qué extensiones y paquetes usa cada equipo, qué tokens existen y con qué alcance, en qué servicios quedaron configurados. En la mayoría de las organizaciones ese registro nunca se construyó. El conocimiento queda repartido entre máquinas locales y la memoria individual de cada desarrollador, y los sistemas de información operan en silos que nadie cruza. Esa es la quinta forma de amnesia corporativa que describimos en Tabuga: los datos existen, y aun así nadie los puede consultar de manera eficiente. El ataque la vuelve visible. Sin un mapa institucional de dependencias y credenciales, la empresa pierde la capacidad de medir su exposición y de rotar lo comprometido a tiempo. ## La memoria organizacional como capacidad de respuesta Lo que protege a una organización después de un incidente así es un conocimiento ordenado y disponible: - Un inventario mantenido de extensiones, paquetes y servicios que el equipo emplea. - Un registro de credenciales y tokens, con su alcance y su ubicación. - Protocolos de rotación documentados y accesibles para cualquier responsable. - Herramientas que vuelvan ese conocimiento consultable, sin depender de una persona clave. La velocidad de un atacante se mide en minutos. La velocidad de respuesta de una organización se mide por la calidad de su memoria. Construir esa memoria convierte un susto en un trámite. Fuente: [The Hacker News, 20 may 2026](https://thehackernews.com/2026/05/github-internal-repositories-breached.html)