MOVEit Transfer + Cl0p ransomware: anatomía del supply chain attack que toca a cientos
  • ALCA
  • 14 de junio, 2023
  • Ciberseguridad

MOVEit Transfer + Cl0p ransomware: anatomía del supply chain attack que toca a cientos

El 27 de mayo, Progress Software publicó un aviso urgente sobre CVE-2023-34362, una vulnerabilidad crítica de SQL injection en MOVEit Transfer, una herramienta utilizada por miles de organizaciones en todo el mundo para transferencia segura de archivos entre sistemas y entre socios. La vulnerabilidad permitía a atacantes no autenticados acceder a la base de datos del producto y, desde ahí, ejecutar acciones no autorizadas, incluyendo descarga masiva de archivos.

Para cuando se publica este artículo, las víctimas confirmadas se cuentan por cientos. La BBC, British Airways, Boots, agencias gubernamentales en Estados Unidos y Reino Unido, despachos profesionales, empresas de servicios financieros. El grupo de ransomware Cl0p reclamó responsabilidad y empezó a publicar listas de víctimas en su sitio de filtraciones, usando la información robada como palanca de extorsión. La cronología, los detalles técnicos y la respuesta del ecosistema dejan lecciones útiles para cualquier empresa mediana, use o no MOVEit.

La cronología corta

Los hechos confirmados hasta la fecha.

  • Antes de mayo. Cl0p ya estaba explotando la vulnerabilidad de manera activa, posiblemente desde 2021 según análisis posteriores, sin que nadie identificara la causa.
  • 27 de mayo. Progress publica el aviso de seguridad y libera un parche. La instrucción es aplicar inmediatamente y aislar el servidor si no se puede parchar.
  • 31 de mayo. Comienzan a aparecer las primeras víctimas conocidas públicamente, con datos exfiltrados antes del parche.
  • 6 de junio. Cl0p publica un comunicado dando un ultimátum a las organizaciones afectadas para negociar antes de filtrar los datos.
  • Mediados de junio. Las víctimas siguen sumándose a la lista. Progress libera parches adicionales para vulnerabilidades relacionadas (CVE-2023-35036, CVE-2023-35708) descubiertas durante la respuesta.

La característica que vuelve a este caso especialmente doloroso: incluso organizaciones que parcharon rápidamente ya tenían datos exfiltrados de antes del 27 de mayo. El parche detuvo la sangría, pero la herida ya estaba hecha.

Anatomía del ataque

Vale la pena entender técnicamente cómo se desarrolló, porque el patrón se repite en otros casos de cadena de suministro.

Vulnerabilidad zero-day. Una vulnerabilidad desconocida para el proveedor pero conocida para el atacante. Cl0p tuvo ventana de meses para operar sin detección.

Producto de transferencia de archivos. Atacar una herramienta de transferencia es estratégico: los archivos que pasan por ahí suelen ser sensibles (datos de clientes, información financiera, archivos legales) y muchas veces se almacenan temporalmente en el mismo sistema.

Acceso a bases de datos vinculadas. La vulnerabilidad permitía consultar la base de datos interna de MOVEit, donde residía el catálogo de archivos transferidos y, en muchos casos, los archivos mismos.

Exfiltración masiva y silenciosa. Cl0p extrajo datos sin disparar alertas convencionales, porque las consultas se veían como tráfico legítimo del propio producto.

Doble extorsión. En vez de cifrar para pedir rescate, robaron y amenazan con publicar. El modelo es más eficiente operativamente y más doloroso para víctimas reguladas.

Lo que aplica a empresas medianas mexicanas

No todas las organizaciones usan MOVEit. Pero la categoría de productos a la que pertenece (managed file transfer) está presente en muchas más empresas de las que la registran formalmente, y los principios para defenderse aplican en general.

Inventario real de herramientas de transferencia. Si te preguntan hoy cuántas herramientas de transferencia segura de archivos tiene tu organización en producción, ¿puedes responder con número, ubicación y dueño? Casi nadie puede. SFTP propios, herramientas como GoAnywhere, MOVEit, Cleo, integraciones con socios. Hacer ese inventario es el primer paso.

Parcheo de aplicaciones críticas en SLA agresivo. El parche de MOVEit estaba disponible el 27 de mayo. Las organizaciones que lo aplicaron en menos de 24 horas redujeron exposición. Las que tardaron una semana se sumaron a la lista de víctimas. Tener un SLA documentado para parchar vulnerabilidades críticas en aplicaciones expuestas a internet es básico.

Segmentación de servidores de transferencia. Estos servidores no deben tener acceso amplio a la red interna ni alojar datos persistentes. Una arquitectura donde el archivo entra, se procesa y se borra del servidor de transferencia, con los datos persistiendo en otro lugar con controles distintos, limita el daño cuando algo así ocurre.

Monitoreo de tráfico saliente anómalo. Las exfiltraciones masivas dejan huella en el volumen de tráfico saliente. Si tienes baseline de cuánto tráfico saliente es normal por servidor y alertas cuando se desvía, se detectan más rápido los incidentes.

Plan de respuesta a incidentes practicado. Las empresas que tenían IR plan ensayado pasaron las primeras 72 horas tomando decisiones, no improvisándolas. Sin practicar el plan, el plan vale poco.

Comunicación con socios y reguladores. Si los datos comprometidos incluyen información de clientes, socios o empleados, hay obligaciones de notificación. La política y los contactos deben estar definidos antes del incidente, no en el momento.

Cómo evaluar tus proveedores hoy

Una conversación con tus proveedores críticos antes de fin de junio es ejercicio razonable.

Para cada proveedor de software con acceso a tus sistemas o datos, las preguntas que rinden más.

  • ¿En cuánto tiempo se compromete a comunicarme una vulnerabilidad crítica que afecte a mi instalación?
  • ¿Qué procesos tiene para detectar explotación temprana en su producto?
  • ¿Cómo me compromete a apoyarme con respuesta a incidente si su producto fue el vector?
  • ¿Mi contrato actual me obliga a aceptar parches automáticamente o requiere mi aprobación?

Las respuestas vagas son señal a vigilar. La conversación misma sirve como recordatorio al proveedor de que el cliente está prestando atención.

La conversación de fondo

MOVEit no es la última. Es continuidad de SolarWinds, Kaseya, Log4j y otras vulnerabilidades de la cadena de suministro de los últimos años. La superficie de ataque que importa cuidar ya no es solo la propia, es la de todos los proveedores cuyos productos viven en tu infraestructura.

Para una empresa mediana, eso significa profesionalizar la gestión de proveedores de software con criterios de seguridad, no solo comerciales. Programa de evaluación de proveedores, requerimientos contractuales mínimos en materia de seguridad y notificación, monitoreo continuo de avisos de seguridad de los proveedores en uso, y arquitectura que asuma que cualquier proveedor puede ser el vector del próximo incidente.

¿Tu empresa usa MOVEit u otros file transfer? Hagamos un assessment. En ALCA hacemos una revisión específica de tu cadena de transferencia de archivos y de tu inventario de proveedores críticos en dos semanas. Agenda una llamada y arrancamos antes de fin de mes.

Artículos relacionados

Survex: escaneo continuo de vulnerabilidades para equipos que ya están cansados del ruido

2 de mayo, 2026 Survex: escaneo continuo de vulnerabilidades para equipos que ya están cansados del ruido

Anatomía del compromise de Axios npm (mar 2026): lecciones de un supply chain attack que afectó a miles

1 de abril, 2026 Anatomía del compromise de Axios npm (mar 2026): lecciones de un supply chain attack que afectó a miles

RSAC 2026: por qué la conversación de ciberseguridad se mueve de prevención a resiliencia

25 de febrero, 2026 RSAC 2026: por qué la conversación de ciberseguridad se mueve de prevención a resiliencia