Investigadores detectaron que atacantes están vendiendo información sensible obtenida tras acceder a servicios de almacenamiento en la nube sin autenticación multifactor, utilizando credenciales robadas mediante malware.
Una investigación reciente reveló un patrón preocupante de acceso no autorizado a plataformas de intercambio de archivos utilizadas por organizaciones de múltiples sectores. De acuerdo con la firma de inteligencia de ciberseguridad Hudson Rock, un actor conocido como Zestix estaría ofreciendo a la venta datos corporativos robados a decenas de empresas, presuntamente obtenidos tras comprometer instancias de ShareFile, Nextcloud y ownCloud que no contaban con autenticación multifactor (MFA).
Según el informe, el acceso inicial no se habría producido mediante la explotación de vulnerabilidades técnicas en estas plataformas, sino a través del uso de credenciales legítimas obtenidas previamente por malware del tipo infostealer. Entre los programas identificados figuran RedLine, Lumma y Vidar, herramientas ampliamente distribuidas mediante campañas de malvertising y ataques de ingeniería social como ClickFix, y que suelen extraer contraseñas almacenadas en navegadores, aplicaciones de mensajería y billeteras de criptomonedas.
Hudson Rock explicó que algunos de los nombres de usuario y contraseñas analizados llevaban años circulando en bases de datos criminales, lo que sugiere fallas prolongadas en la rotación de credenciales y en la invalidación de sesiones activas. En los casos revisados, los atacantes lograron iniciar sesión en servicios corporativos simplemente porque la protección MFA no estaba habilitada.
Zestix operaría como un intermediario de acceso inicial, ofreciendo en foros clandestinos entradas a entornos de alto valor pertenecientes a organizaciones de sectores como aviación, defensa, salud, transporte público, telecomunicaciones, servicios legales, bienes raíces y organismos gubernamentales. Los volúmenes de datos ofrecidos a la venta van desde decenas de gigabytes hasta varios terabytes e incluyen, según los anuncios, manuales de mantenimiento aeronáutico, bases de datos de clientes, historiales clínicos, planos de transporte masivo, mapas de infraestructuras críticas, configuraciones de redes y contratos gubernamentales.
Los investigadores advirtieron que la exposición de este tipo de información puede derivar en riesgos graves de privacidad, espionaje industrial e incluso seguridad nacional, especialmente cuando se trata de documentos vinculados a servicios públicos o contratos estatales. Los especialistas señalaron que, si bien no existe confirmación pública de brechas por parte de todas las organizaciones mencionadas, en al menos 15 casos se verificó que credenciales de empleados habían sido recolectadas por infostealers.
A raíz de estos hallazgos, la empresa ownCloud emitió una advertencia urgente a sus usuarios para que habiliten MFA en sus entornos autogestionados. En el comunicado, la compañía fue enfática: “La plataforma ownCloud no fue hackeada ni vulnerada”. Y añadió: “El informe de Hudson Rock confirma explícitamente que no se utilizaron exploits de día cero ni vulnerabilidades de la plataforma”.
La empresa ownCloud explicó que los incidentes se produjeron a través de una cadena de ataque distinta, en la cual “los actores de amenaza obtuvieron credenciales de usuario mediante malware infostealer instalado en dispositivos de empleados, y luego las usaron para iniciar sesión en cuentas que no tenían activada la autenticación multifactor”. En ese sentido, la empresa recomendó habilitar MFA de forma inmediata, restablecer contraseñas, invalidar sesiones activas y revisar los registros de acceso en busca de actividad sospechosa.
El propio informe de Hudson Rock resume el problema indicando que “estas fallas de seguridad catastróficas no fueron el resultado de exploits de día cero en la arquitectura de la plataforma” y “sin exploits, sin cookies, solo una contraseña”.