Cuando la herramienta que busca amenazas se convierte en la amenaza
Trivy es uno de los escáneres de vulnerabilidades de código abierto más ampliamente utilizados en el mundo. Mantenido por Aqua Security, está integrado en miles de pipelines CI/CD para el escaneo de imágenes de contenedores, análisis de sistemas de archivos y generación de SBOM. Es el tipo de herramienta en la que confías implícitamente — después de todo, analiza tus imágenes en busca de las vulnerabilidades de otros.
¿Qué ocurre entonces cuando Trivy se convierte en un vector de ataque a la cadena de suministro? No es una hipótesis. A principios de 2026, un compromiso dirigido al workflow de GitHub Actions trivy-action expuso a organizaciones que ejecutaban análisis de seguridad automatizados al robo de credenciales, la manipulación del pipeline y la supresión silenciosa de análisis. El incidente es un ejemplo de manual de por qué confiar en el nombre de una herramienta no equivale a confiar en su integridad en tiempo de ejecución.
Esta publicación analiza qué ocurrió, cómo funcionó técnicamente el ataque y qué medidas defensivas importan realmente. No las teóricas. Las prácticas que puedes implementar esta semana.
Qué es Trivy y por qué importa aquí
Trivy realiza análisis estáticos de imágenes de contenedores, repositorios Git, sistemas de archivos, clústeres de Kubernetes y configuraciones cloud. Su GitHub Action — aquasecurity/trivy-action — está integrada en pipelines CI/CD de empresas que ejecutan desde cargas de trabajo fintech hasta infraestructura crítica. A principios de 2026, la action ha sido bifurcada más de 4.000 veces y se referencia en millones de ejecuciones de workflow al mes.
Precisamente esa ubicuidad la convierte en un objetivo atractivo. Compromete una GitHub Action ampliamente utilizada y tienes un punto de apoyo en los pipelines de organizaciones que nunca caerían en un correo de phishing pero que encantadas obtienen una referencia de action sin fijar de un registro público.
El incidente de seguridad de Trivy: Lo que sabemos
El incidente siguió un patrón que MITRE ATT&CK categoriza bajo T1195.001. Un adversario obtuvo acceso de escritura a una dependencia consumida por el workflow trivy-action. En lugar de modificar el binario principal de Trivy, el atacante inyectó lógica maliciosa en la capa de orquestación del workflow, apuntando específicamente al script de punto de entrada de la action.
El payload era sutil. No bloqueaba análisis ni producía resultados obviamente incorrectos. En cambio, exfiltraba variables de entorno — incluidos secretos expuestos al runner — mediante exfiltración DNS hacia un dominio controlado por el atacante. El payload secundario era posiblemente más peligroso: supresión selectiva de análisis. Para ciertos digests de imagen, la action devolvía resultados limpios independientemente de los hallazgos reales.
Por qué este es un ejemplo clásico de ataque a la cadena de suministro
El incidente de Trivy se sitúa junto a SolarWinds, XZ Utils y la brecha de Codecov en el creciente catálogo de ejemplos de ataques a la cadena de suministro. Los atacantes ya no atraviesan tu perímetro. Entran a través de las dependencias que ya has invitado. El informe de IBM 2026 señaló que los compromisos de la cadena de suministro representan el 14% de todos los vectores de brecha y conllevan un costo de remediación un 28% mayor que las intrusiones directas.
La anatomía técnica del ataque
Paso 1: Referencias sin fijar
El vector inicial explotó la práctica de referenciar GitHub Actions por etiqueta en lugar de SHA de commit. Las etiquetas son mutables. Un atacante con acceso de escritura puede mover una etiqueta para que apunte a un commit diferente y malicioso. La solución es trivial: fijar a un SHA de commit completo.
Paso 2: Exfiltración de secretos mediante DNS tunneling
El script malicioso enumeró las variables de entorno disponibles para el runner. El mecanismo de exfiltración usó consultas DNS codificando valores de secretos como etiquetas de subdominio. El tráfico DNS raramente recibe el mismo escrutinio que el egress HTTP/S.
Paso 3: Manipulación de resultados
La action obtenía un archivo de configuración JSON remoto desde un endpoint CDN controlado por el atacante. Para cualquier imagen cuyo digest coincidiera con la lista de bloqueo, la action escribía un archivo de resultados SARIF vacío. Los pipelines CI/CD veían cero hallazgos — un certificado de buena salud para imágenes potencialmente vulnerables.
Medidas defensivas que realmente funcionan
Fijar actions a SHA de commits
Innegociable en 2026. Toda GitHub Action de terceros debería referenciar un SHA de commit inmutable. Esta sola medida habría neutralizado el incidente de Trivy para cualquier organización que la hubiera implementado.
Validar el output del escáner de forma independiente
Nunca uses un único escáner como barrera de producción. Container Image Scanning a nivel de plataforma proporciona la independencia necesaria frente a las actions integradas en CI/CD.
Restringir agresivamente los permisos del runner
El acceso de red saliente desde los runners debe filtrarse a través de un proxy de egreso que registre consultas DNS. Vulnerability Management que trata la seguridad del pipeline CI/CD como in-scope detecta desviaciones de comportamiento antes de que se conviertan en brechas.
Seguridad de la cadena de suministro en 2026
La guía de CISA de 2026 menciona explícitamente las herramientas de pipeline CI/CD como una categoría de componentes de alto riesgo. La aplicación de Policy-as-Code puede codificar estos controles automáticamente en la gobernanza de tu pipeline. Las herramientas SAST también pueden escanear los propios archivos de workflow en busca de configuraciones erróneas de seguridad.
Reconstruyendo la confianza en tu infraestructura de escaneo
La respuesta correcta después de un incidente es construir una arquitectura de seguridad donde el compromiso de una sola herramienta no pueda neutralizar silenciosamente toda tu capacidad de detección. Secret Detection debe ejecutarse de forma independiente de Trivy, no como un plugin dentro de él.