Underc0de - La Casa de los Informáticos

La plataforma de intercambio y colaboración de archivos ownCloud ha emitido una advertencia de seguridad crítica instando a todos sus usuarios a activar la autenticación multifactor (MFA) de forma inmediata, con el objetivo de bloquear accesos no autorizados derivados del uso de credenciales comprometidas. La recomendación surge tras la publicación de un informe de la firma israelí de ciberseguridad Hudson Rock, que reveló múltiples incidentes de acceso no autorizado a plataformas de intercambio de archivos autoalojadas, incluidas instancias de ownCloud Community Edition.

ownCloud es una de las soluciones de almacenamiento y colaboración más utilizadas a nivel mundial, con más de 200 millones de usuarios, incluyendo empresas privadas, instituciones públicas y organismos de alto perfil. Entre sus clientes se encuentran organizaciones como la Organización Europea para la Investigación Nuclear (CERN), la Comisión Europea, el grupo tecnológico alemán ZF Group, la aseguradora Swiss Life y el Banco Europeo de Inversiones, lo que subraya la importancia y el impacto potencial de estas advertencias de seguridad.

ownCloud no fue vulnerada, pero los usuarios sí

En su aviso oficial, ownCloud fue enfática al aclarar que la plataforma no fue hackeada ni explotada mediante vulnerabilidades internas. Según la compañía, el informe de Hudson Rock confirma explícitamente que no se utilizaron exploits zero-day ni fallos de seguridad propios de ownCloud durante los incidentes analizados.

Citar"Los incidentes ocurrieron a través de una cadena de ataque diferente", explicó ownCloud.
"Los actores maliciosos obtuvieron las credenciales de los usuarios mediante malware infostealer instalado en los dispositivos de los empleados, y posteriormente accedieron a cuentas que no tenían habilitada la autenticación multifactor (MFA)".

Este matiz es clave: el problema no radica en la seguridad del software, sino en la exposición de credenciales válidas robadas fuera de la plataforma, una de las técnicas más efectivas y frecuentes utilizadas por los ciberdelincuentes en la actualidad.

Malware infostealer: la puerta de entrada silenciosa

Hudson Rock identificó como vector inicial de ataque a varias familias de malware infostealer, entre ellas RedLine, Lumma y Vidar, herramientas ampliamente utilizadas en campañas de cibercrimen para robar:

• Credenciales de inicio de sesión
• Cookies de sesión
• Tokens de autenticación
• Datos de navegadores y clientes FTP
• Información corporativa sensible

Estos infostealers suelen propagarse mediante archivos maliciosos, cracks de software, extensiones falsas o campañas de phishing, infectando los dispositivos de los empleados sin levantar sospechas inmediatas. Una vez robadas las credenciales, los atacantes pueden acceder directamente a servicios corporativos legítimos como ownCloud, especialmente cuando no existe una segunda capa de autenticación.

MFA: la barrera que bloquea el acceso no autorizado

Ante este escenario, ownCloud recomienda activar MFA de manera inmediata en todas las instancias, ya que esta medida de seguridad puede neutralizar por completo los ataques basados en credenciales robadas, incluso cuando los usuarios han sido comprometidos por malware.

La autenticación multifactor añade una verificación adicional —como una app de autenticación, un token físico o un código temporal— que impide que un atacante acceda a la cuenta solo con usuario y contraseña. En el contexto actual de amenazas, MFA ya no es opcional, sino un requisito básico de ciberseguridad.

Medidas de seguridad adicionales recomendadas por ownCloud

Además de habilitar MFA, ownCloud aconseja a las organizaciones implementar de inmediato una serie de acciones defensivas para reducir el riesgo de intrusiones y exfiltración de datos:

• Restablecer todas las contraseñas de los usuarios, especialmente aquellas que no hayan sido rotadas recientemente.
• Invalidar todas las sesiones activas, forzando la reautenticación para expulsar posibles accesos no autorizados.
• Revisar exhaustivamente los registros de acceso, en busca de inicios de sesión sospechosos, direcciones IP inusuales o accesos fuera de horario.
• Concienciar a los empleados sobre los riesgos del malware infostealer y las buenas prácticas de seguridad digital.

El actor Zestix y la venta de datos corporativos

Esta advertencia se produce en un contexto aún más preocupante. Un actor malicioso conocido como Zestix ha estado ofreciendo a la venta datos corporativos robados de decenas de empresas, presuntamente obtenidos tras comprometer instancias de ShareFile, Nextcloud y ownCloud.

Según Hudson Rock, los atacantes habrían utilizado credenciales robadas por malware infostealer para obtener acceso inicial a los servidores de intercambio de archivos. En su informe del 5 de enero, la firma de inteligencia cibernética reveló haber identificado miles de ordenadores infectados, algunos pertenecientes a redes de organizaciones de alto perfil como Deloitte, KPMG, Samsung, Honeywell, Walmart y los CDC de Estados Unidos.

La seguridad empieza en el endpoint

El caso de ownCloud refuerza una realidad incuestionable: la seguridad de las plataformas depende en gran medida de la higiene digital de los usuarios y de la protección de los endpoints. Aunque el software sea robusto, el uso de contraseñas comprometidas sin MFA convierte cualquier sistema en un objetivo vulnerable.

Activar autenticación multifactor, fortalecer las políticas de acceso y combatir el malware infostealer debe ser una prioridad para cualquier organización que gestione información sensible. En un entorno donde las credenciales robadas se venden y reutilizan a escala industrial, MFA es la diferencia entre un intento fallido y una filtración masiva de datos.

Fuente: https://www.bleepingcomputer.com/