Progress Software ha parcheado un fallo crítico en MOVEit Automation que permite el salto de autenticación sin interacción y abre la puerta al robo masivo de datos empresariales. La vulnerabilidad, registrada como CVE-2026-4670, fue descubierta por Airbus SecLab y puede ser explotada a través del puerto de comandos del servicio backend.
Lo veo como la reedición de una pesadilla que ya vivimos en 2023 con el ransomware Clop. La misma familia de soluciones de transferencia de archivos, el mismo vector de entrada que saltó entonces, y ahora un nuevo fallo de omisión de autenticación que deja expuestos a cientos de grandes clientes corporativos sin necesidad de credenciales previas.
Anatomía del salto de autenticación: un acceso directo al backend
CVE-2026-4670 tiene una puntuación CVSS de 9.8 y, según el propio aviso de Progress, «permite eludir la autenticación a través de las interfaces del puerto de comandos del servicio backend». Dicho en claro: un atacante sin cuenta puede conectarse al núcleo de MOVEit Automation y ejecutar operaciones como si fuera un administrador. Junto a ella, se corrige también CVE-2026-5174, una escalada de privilegios que permitiría pasar de un acceso limitado al control total.
Los investigadores de Airbus SecLab —Anaïs Gantet, Delphine Gourdou, Quentin Liddell y Matteo Ricordeau— entregaron los detalles a Progress el pasado abril. No hay solución provisional: solo el parche. Las versiones afectadas son todas las ramas anteriores a 2025.1.4, 2025.0.8 y 2024.1.7.
Estos fallos tienen una característica especialmente peligrosa: se automatizan muy rápido. Una vez que un grupo de amenazas desarrolla un código de explotación, la misma herramienta sirve para barrer internet en busca de instancias vulnerables. No hablamos de un ataque dirigido: hablamos de que cualquier actor con un exploit funcional puede comprometer decenas de sistemas en horas.
El fantasma de Clop y la lección de 2023 que nadie quiso aprender
En agosto de 2023, la consultora Emsisoft contabilizó más de 1.000 organizaciones y 60 millones de personas afectadas por la campaña del grupo de ransomware Clop contra MOVEit Transfer. La banda explotó el zero-day CVE-2023-34362 para acceder a los servidores y robar datos antes de que los parches estuvieran listos. Después llegó la extorsión masiva.
Ahora la historia se repite, aunque la vulnerabilidad no sea un zero-day. Las prisas por parchear son las mismas. La superficie de exposición, idéntica. El sector financiero, las aseguradoras y las administraciones públicas figuran entre los mayores usuarios de MOVEit en España y Europa. Doy por hecho que el CCN-CERT ya prepara una alerta de nivel muy alto, si no la ha distribuido ya.
La diferencia entre un zero-day y un fallo parcheado a tiempo es cuestión de días, no de semanas. Y en ciberguerra, los días cuentan.
Dossier Moncloa: Ojos en la Sombra
La amenaza es de libro: un fallo de software de transferencia de archivos ampliamente implantado se convierte en el punto de compromiso inicial de una campaña de espionaje o de ransomware a escala global. El vector, ciberataque mediante omisión de autenticación y escalada de privilegios. Las agencias implicadas son, por ahora, solo las que investigan: Airbus SecLab en la parte defensiva y Progress Software como responsable del parche. Pero los observadores apuntan a que grupos APT vinculados a Rusia (como APT29) y a China (APT40) han explotado anteriormente este tipo de software en operaciones de inteligencia de señales. Que yo sepa, ningún servicio de inteligencia ha reivindicado todavía el hallazgo como operación propia, pero la ventana de vulnerabilidad sin parchear es un caramelo para cualquier unidad cibernética con capacidad de desarrollar un exploit.
En España, el CNI y el CCN-CERT monitorizan desde hace años este tipo de brechas en infraestructuras críticas. Ya advertí en El quinto elemento que «el próximo 11S empezará con un clic» y que «en España hay 8.000 infraestructuras críticas y atacables a través de Internet». MOVEit Automation no es una red eléctrica ni un sistema de control del agua, pero las empresas que lo utilizan intercambian con él facturas, pólizas y nóminas de millones de ciudadanos. El material involucrado sensu stricto no está clasificado, pero si un actor estatal accede a esos repositorios el daño colateral sería de clasificación Confidencial, y el responsable último, como me consta, sería de Seguridad Nacional.
La lectura confidencial es clara: no se trata de una alerta más de parche. Es la repetición de un patrón que ya costó sesenta millones de afectados. Y esta vez, sin necesidad de un zero-day: solo un fallo de diseño que Airbus SecLab cazó antes de que los malos lo hicieran. Por poco.
Me preocupa que, como siempre, las empresas medianas tardarán más en aplicar el parche. Y ahí es donde aparecerá el grupo oportunista. Estimo que en menos de 72 horas veremos los primeros escaneos automatizados buscando instancias vulnerables. Si usted es responsable de TI, no espere a que el lunes sea tarde. Ya ha pasado antes.
