Alerta: campaña de infostealer expone credenciales cloud y compromete a 50 organizaciones sin MFA

Una campaña infostealer sin MFA en 50 organizaciones está elevando el riesgo de intrusiones en plataformas corporativas de sincronización y compartición de archivos (EFSS). Según un informe atribuido a Hudson Rock, un único actor que opera bajo los alias Zestix o Sentap habría aprovechado credenciales cloud comprometidas para entrar en portales empresariales sin necesidad de explotar vulnerabilidades: el denominador común sería la no aplicación de Multi-Factor Authentication (MFA), lo que reduce el ataque a “solo una contraseña”.

El patrón descrito encaja con un cambio que preocupa a los equipos de seguridad: el acceso inicial no siempre llega por un exploit o un bypass sofisticado, sino por la combinación de robo de credenciales y controles de identidad débiles. En este caso, el actor actuaría como initial access broker y extorsionador desde al menos 2021, orientado a monetizar datos robados y accesos persistentes.

Qué se sabe de la campaña infostealer sin MFA en 50 organizaciones

El informe señala que el acceso se habría producido tras infecciones por information-stealing malware en endpoints corporativos (por ejemplo, familias de infostealers como RedLine, Lumma o Vidar), capaces de extraer credenciales almacenadas en navegadores, historiales y otros artefactos que luego se reutilizan contra servicios cloud y portales empresariales.

El foco operativo del actor estaría en plataformas EFSS utilizadas en entornos empresariales, incluyendo Progress ShareFile, Nextcloud y ownCloud. El componente crítico no sería un fallo de software, sino la explotación de credenciales válidas en entornos donde MFA no estaba exigido a usuarios o administradores.

Progress: no es una vulnerabilidad, es abuso de credenciales

De acuerdo con las declaraciones citadas por el medio original, Progress respondió indicando que las intrusiones investigadas no apuntan a vulnerabilidades de la plataforma, sino a un uso consistente de credenciales previamente robadas desde dispositivos infectados con infostealers, facilitado por la falta de MFA en los entornos afectados. La compañía reiteró la importancia de habilitar MFA como control estándar para reducir ataques basados en credenciales.

Fuentes oficiales: Progress y Nextcloud.

Sectores afectados y por qué el impacto puede ser crítico

La lista de presuntas víctimas mencionada en el informe incluye organizaciones asociadas a sectores de alta sensibilidad como utilities, aviación, robótica, vivienda e infraestructura. El riesgo no es solo la exposición de PII o documentación interna: en varios casos se apunta a información técnica, operativa o de seguridad (por ejemplo, ingeniería, SCADA/RTU, documentación de señalización, datos de flota o informes de pruebas), que puede amplificar el impacto más allá del fraude, habilitando escenarios de inteligencia industrial o compromisos encadenados.

Entre los ejemplos citados públicamente se mencionan supuestos conjuntos de datos con tamaños desde decenas de GB hasta varios TB, ofrecidos en mercados clandestinos. El informe también subraya que algunas credenciales habrían permanecido durante años en logs de infostealers, evidenciando fallos sistémicos de credential hygiene (rotación insuficiente de contraseñas e invalidación de sesiones).

Por qué la campaña infostealer sin MFA en 50 organizaciones marca tendencia

Más allá del incidente concreto, la campaña infostealer sin MFA en 50 organizaciones refleja un vector cada vez más frecuente: atacantes que “inician sesión” en lugar de “romper” perímetros. Cuando el acceso se realiza con credenciales legítimas, la detección se complica (telemetría aparentemente normal, menos indicadores de explotación), y la respuesta se vuelve una carrera contra el tiempo para revocar sesiones, rotar secretos y reconstruir la cadena de acceso.

En paralelo, el uso de EFSS como objetivo es especialmente atractivo: centralizan documentos, ingeniería, contratos, evidencias legales y datos operativos; además, suelen integrarse con identidades corporativas y flujos externos de colaboración, lo que multiplica superficies y rutas de exfiltración.

Contexto: infostealers como motor de accesos iniciales

La economía del cibercrimen lleva años profesionalizando el mercado de accesos iniciales. Los infostealers encajan como “recolectores” de credenciales a escala, y su eficacia crece cuando las organizaciones no fuerzan MFA o mantienen contraseñas reutilizadas. El resultado es un modelo de intrusión de bajo coste: infección oportunista, recolección, validación de credenciales y acceso directo a SaaS/portales corporativos.

Cierre

A falta de confirmaciones adicionales de todas las entidades citadas, el patrón técnico descrito es consistente con ataques modernos centrados en identidad: credenciales cloud robadas + MFA desactivado + acceso directo a EFSS. Si se confirma el alcance, la campaña infostealer sin MFA en 50 organizaciones se consolidará como otro caso de referencia sobre cómo un control básico de autenticación puede separar un incidente contenido de una filtración masiva con impacto multisectorial.