Breaking the Pipeline: Anatomía de un ataque en la cadena de suministro de CI/CD

By Daniel Malvaceda Canales

Elevator Pitch

¿Qué tan lejos puede escalar una falla en tu CI/CD? En este workshop revelaremos cómo un ataque real de cadena de suministro atraviesa silenciosamente las fronteras de confianza del pipeline y escala hasta comprometer un entorno empresarial, y cómo evitar que eso ocurra.

Description

Descripción

En este workshop ejecutaremos un escenario de ataque a la cadena de suministro que inicia con una dependencia comprometida y evoluciona a través de configuraciones inseguras en CI/CD. Los participantes recorrerán un flujo completo de escalamiento dentro del pipeline, comprendiendo cómo detalles en el diseño pueden amplificar el impacto.

A lo largo del workshop analizaremos cómo un vector inicial puede transformarse en persistencia dentro de un runner, exposición de secretos y propagación hacia otros repositorios. Más importante aún, identificaremos los puntos de control que interrumpen ese escalamiento y permiten fortalecer el diseño del pipeline.

Al finalizar, los asistentes no solo entenderán cómo se produce este tipo de compromisos, sino que contarán con un modelo claro para evaluar y reforzar la seguridad de sus propios entornos empresariales CI/CD.

Contenido

1. Introducción: CI/CD como Cadena de Confianza

  • ¿Por qué CI/CD es hoy un objetivo crítico?
  • Cadena de suministro vs cadena de confianza

2. Escenario de Ataque en CI/CD

Exploraremos los puntos donde comúnmente se generan riesgos:

  • Dependencias externas (supply chain)
  • Workflows mal configurados (permisos y contextos)
  • Self-hosted runners vs runners efímeros
  • Gestión de secretos y scopes excesivos

3. Fase 1 — Vector Inicial (Cadena de Suministro)

  • Compromiso inicial mediante dependencia comprometida
  • Obtención de credenciales como acceso inicial
  • Por qué el problema no termina en el desarrollador

4. Fase 2 — Compromiso del Runner

  • Identificación del workflow mal diseñado
  • Abuso del workflow para comprometer el runner
  • Persistencia lógica dentro del entorno del runner
  • Introducimos el concepto de “espera de evento privilegiado”.

5. Fase 3 — Escalamiento y Captura de Secretos

  • Captura de secretos privilegiados
  • Exfiltración de secretos en variables, contextos y outputs

6. Fase 4 — Abuso de Privilegios

  • Modificación de workflows reutilizables
  • Movimiento lateral entre repositorios
  • Acceso a recursos de infraestructura

7. Conclusiones: CI/CD como Sistema Complejo

  • Lecciones clave
  • Seguridad transversal como principio DevSecOps

Notes

Observación: Esta workshop es de 2 personas Daniel Malvaceda y Ricardo Sanchez (Ricardo.sanchezb25@gmail.com) nos comunicamos reiteradas veces con el equipo de soporte de papercall indicando que no funciona su sistema de registro ni la invitación probando mediante diferentes correos usuarios. Pedimos su comprensión y dejo su descripción.

Ricardo Sanchez es arquitecto de Seguridad con más de 8 años de experiencia, especializado en DevSecOps y prácticas avanzadas de AppSec durante los últimos 3 años. Su enfoque trasciende el código y se centra en la protección de la infraestructura donde se construye y despliega el software, combinando inteligencia de amenazas con análisis técnico profundo.

Ha sido speaker a nivel nacional (Perú) e internacional (Argentina y Estados Unidos), destacando su participación en Ekoparty y DEF CON, donde presentó investigaciones sobre la anatomía de malware y dirigió workshops de emulación adversaria enfocados en comprender y modelar el comportamiento de atacantes.

Más información: https://github.com/rrsb25 https://www.linkedin.com/in/ricardo-sanchez-bermudez/

Este workshop nació de una pregunta que los equipos DevOps rara vez se hacen: ¿qué tan lejos puede escalar una falla en el pipeline? Está construido desde experiencia directa junto a mi compañero trabajando con flujos CI/CD en entornos empresariales, donde la velocidad de entrega y la seguridad conviven, o chocan.

Los escenarios están basados en patrones y casos reales de ataques a la cadena de suministro como Shai-Hulud, Ghost Actions y otros documentados recientemente.

Hemos participado como speakers en comunidades como Ekoparty (Argentina) y conferencias técnicas en Perú.

Sobre el contenido

El workshop cubre un flujo de ataque completo y progresivo sobre CI/CD, desde una dependencia comprometida hasta movimiento lateral entre repositorios. Cada fase está diseñada para que los participantes no solo vean el ataque, sino que identifiquen el punto de control que lo interrumpe.

El objetivo no es generar alarma, sino que cada asistente salga con un modelo mental claro para evaluar sus propios pipelines.

Requerimientos técnicos

  • Proyector / pantalla
  • Los participantes necesitan una laptop con conexión a internet
  • El entorno de trabajo será aprovisionado por los nosotros; el software y accesos necesarios se comunicarán con anticipación a los asistentes confirmados