Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > Otra vulnerabilidad en MOVEit. El mismo patrón. Diferentes consecuencias.

Otra vulnerabilidad en MOVEit. El mismo patrón. Diferentes consecuencias.

by Patrick Spencer updated mayo 12, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 9 minutes

El 30 de abril de 2026, Progress Software reveló dos vulnerabilidades en MOVEit Automation, el motor de flujos de trabajo y programación que miles de organizaciones utilizan para automatizar transferencias de archivos empresariales. Las entradas en la Base Nacional de Datos de Vulnerabilidades se publicaron el mismo día. El aviso del proveedor apareció en la Comunidad de Clientes de Progress. Los equipos de seguridad que utilizan MOVEit Automation ahora están en un ciclo de parches de emergencia.

Conclusiones clave

  1. Dos fallos críticos, una familia de productos conocida. Progress Software reveló CVE-2026-4670 (CVSS 9.8) y CVE-2026-5174 (CVSS 8.8 NIST/7.7 CNA) en MOVEit Automation el 30 de abril de 2026. Encadenados, permiten que un atacante pase de no tener acceso a controlar la administración.
  2. No hay solución temporal. La remediación exige actualizar a MOVEit Automation 2025.1.5, 2025.0.9 o 2024.1.8 usando el instalador completo. El sistema debe detenerse durante la actualización.
  3. No hay explotación confirmada — aún. Progress informa que no hay explotación activa al momento de la divulgación. La campaña de MOVEit Transfer en 2023 comenzó cuatro días antes de la divulgación pública. Las ventanas para aplicar parches no se han extendido.
  4. Esto es la norma, no la excepción. Cleo, CrushFTP, Wing FTP y ahora MOVEit Automation. El software de transferencia de archivos gestionada se ha convertido en un objetivo estructural porque se ubica en el perímetro y resguarda los datos de mayor valor.
  5. La verdadera pregunta es arquitectónica. Cada nueva vulnerabilidad en MFT es una emergencia aparte. Consolidar en una sola plataforma de intercambio de datos reforzada y de tenencia única cambia la ecuación.

La vulnerabilidad principal de MOVEit es CVE-2026-4670, una omisión de autenticación en MOVEit Automation que NIST califica con CVSS 9.8 — el nivel máximo de gravedad para una vulnerabilidad remota. La segunda, CVE-2026-5174, es un fallo de validación de entradas que NIST califica con CVSS 8.8 Alto y Progress (como CNA) con CVSS 7.7. Ambas residen en las interfaces del puerto de comando del backend del servicio. Usadas juntas, permiten pasar de acceso no autenticado en red a control administrativo del entorno MOVEit Automation. Progress lo deja claro: «La explotación puede llevar a acceso no autorizado, control administrativo y exposición de datos».

El mérito del hallazgo es de las investigadoras Anaïs Gantet, Delphine Gourdou, Quentin Liddell y Matteo Ricordeau de Airbus SecLab, según The Hacker News. Al momento de la divulgación, no se ha confirmado explotación activa. No existe una prueba de concepto pública. Esa es la buena noticia. La mala noticia es lo que la historia indica sobre cuánto dura esa condición para una vulnerabilidad crítica de MFT previa a la autenticación.

Por qué MOVEit Automation es un objetivo productivo

MOVEit Automation — antes conocido como MOVEit Central y previamente Ipswitch MOVEit Central — no es un producto de nicho. Es el motor de programación y flujos de trabajo que las organizaciones usan para mover nóminas, transacciones financieras, archivos de socios, historiales médicos y datos de ingeniería en ciclos automatizados. La plataforma almacena o accede rutinariamente a credenciales incrustadas en tareas de automatización, porque así funciona la automatización.

Esa característica es exactamente la razón por la que la transferencia de archivos gestionada se ha convertido en un objetivo estructural para grupos de ransomware y brokers de acceso inicial. El Dragos 2026 OT/ICS Cybersecurity Year in Review documentó el patrón en múltiples plataformas MFT en 2024 y 2025. Cleo MFT (CVE-2024-50623, CVE-2024-55956) fue explotado por Cl0p a finales de 2024, con más de 300 víctimas reclamadas en transporte, manufactura y alimentación. CrushFTP enfrentó dos campañas en 2025 — CVE-2025-31161 en marzo y CVE-2025-54309 en julio. Wing FTP cayó ante CVE-2025-47812 mediante inyección Lua que permitió RCE a nivel SYSTEM. La conclusión de Dragos fue directa: Las plataformas de transferencia de archivos se han convertido en un objetivo persistente para grupos de ransomware y brokers de acceso inicial que buscan ganancias financieras mediante extorsión o reventa de accesos.

Las revelaciones de MOVEit en 2026 encajan en ese patrón. No lo requieren. La economía del adversario lo impulsa. MFT está en el perímetro, resguarda datos valiosos, tiene una amplia implementación y es operado por equipos de TI que pueden o no aplicar parches de emergencia. Desde la perspectiva del atacante, es un objetivo estructuralmente atractivo. Desde la perspectiva del comprador, es información que debe influir en las decisiones arquitectónicas.

Lo que realmente mostró 2023

En mayo de 2023, Progress reveló CVE-2023-34362, una vulnerabilidad de inyección SQL en MOVEit Transfer — un producto diferente dentro de la familia MOVEit y una clase distinta de vulnerabilidad respecto a las de 2026. A los pocos días, el grupo de ransomware Cl0p, rastreado por CISA como TA505, la explotó a gran escala mediante el web shell LEMURLOOT. CISA añadió el CVE a su catálogo de vulnerabilidades explotadas conocidas el 2 de junio de 2023. Cuando terminó la campaña, más de 2,700 organizaciones habían sido afectadas y decenas de millones de personas se vieron impactadas. Luego siguieron las demandas colectivas consolidadas en tribunales federales.

La manera correcta de usar esa historia no es como pronóstico de lo que ocurrirá con CVE-2026-4670. Los productos son distintos. Las vulnerabilidades son distintas. Al momento de la divulgación, no hay evidencia de explotación de los fallos de 2026. La manera incorrecta de usar esa historia es tratarla como irrelevante para la evaluación de riesgos. Lo que 2023 estableció fue una tasa base: Las vulnerabilidades críticas de MFT previas a la autenticación tienen una vida útil corta antes de que alguien las aproveche. La campaña de Cl0p comenzó el 27 de mayo de 2023 — cuatro días antes de que Progress publicara el aviso. Los defensores que respondieron después del aviso público ya llevaban cuatro días de retraso respecto a los atacantes.

Esa es la decisión que los equipos de seguridad que gestionan MOVEit Automation están tomando ahora. Aplicar el parche con el instalador completo, aceptar la interrupción planificada y esperar que el patrón histórico no se repita. La pregunta a largo plazo, para todos los que usan MFT sin importar el proveedor, es si la decisión arquitectónica de poner un puerto de comando independiente en el perímetro sigue teniendo sentido.

Lo que dicen los números sobre la seguridad de MFT hoy

La respuesta defendible a esa pregunta arquitectónica requiere datos. El Informe de la encuesta sobre seguridad de datos y riesgos de cumplimiento: MFT 2025 de Kiteworks encontró que el 59% de las organizaciones sufrió incidentes de seguridad relacionados con MFT en el último año, a pesar de declarar programas de seguridad maduros. Las causas están en la arquitectura, no en la sofisticación de las amenazas. El 63% no ha integrado MFT con SIEM o SOC, lo que crea puntos ciegos importantes en la detección de amenazas. El 62% opera sistemas fragmentados entre MFT, correo electrónico, uso compartido de archivos y formularios web. Cada punto de fragmentación es una política aparte, un registro de auditoría diferente y una postura de parches de emergencia separada.

La madurez en automatización se relaciona aún más claramente con los resultados de incidentes. El Informe de la encuesta MFT 2025 encontró que las organizaciones con menos del 50% de automatización MFT reportaron una tasa de incidentes del 71%. El 13% de las organizaciones con 90 a 100% de automatización — las que lo tratan como un control estratégico y no como un proceso manual — reportaron solo el 29%. La diferencia no es casualidad. La automatización de extremo a extremo obliga a consolidar controles que resisten una divulgación de emergencia. Los procesos manuales generan las brechas que explotan los CVE críticos.

El enfoque de cadena de suministro del Informe de brechas de terceros 2026 de Black Kite es aún más contundente. 136 eventos de brechas de terceros verificados en 2025. 719 empresas víctimas nombradas públicamente. Se estima que otras 26,000 empresas afectadas nunca fueron nombradas. Mediana de retraso en la divulgación pública: 73 días. Cuando una plataforma MFT como MOVEit es explotada a gran escala, la mayoría de las organizaciones afectadas no sabrá que lo fue hasta más de dos meses después, en promedio. El control que pueden ejercer los compradores es aguas arriba: Elegir infraestructura de intercambio de datos con la menor superficie de ataque posible y la mayor capacidad de auditoría posible.

Cómo es el panorama de amenazas en 2026

La vulnerabilidad de MOVEit en 2026 no aparece en un entorno de amenazas tranquilo. El Informe Global de Amenazas 2026 de CrowdStrike documenta un aumento interanual del 89% en actividad de adversarios habilitada por IA, un tiempo promedio de avance de eCrime de 29 minutos desde el acceso inicial hasta el movimiento lateral, y el 82% de las detecciones ahora clasificadas como libres de malware. El mensaje es claro: los atacantes se mueven más rápido, explotan debilidades de identidad y configuración en vez de firmas, y aceleran el reconocimiento y la ingeniería social con ayuda de IA.

La postura de datos no está alcanzando el ritmo. El Informe de amenazas de datos 2026 de Thales halló que solo el 33% de las organizaciones sabe con certeza dónde almacena sus datos. Si dos tercios no pueden localizar sus datos sensibles, no pueden delimitar la exposición cuando la plataforma que mueve esos datos es comprometida. El Global Cybersecurity Outlook 2026 del WEF cuenta la misma historia desde la sala de juntas: La disrupción en la cadena de suministro es ahora la segunda preocupación cibernética para los CISOs y sigue subiendo en la lista de inquietudes de los CEOs. Las vulnerabilidades de IA ya están entre las cinco principales para los CEOs de organizaciones altamente resilientes.

Si se comparan estas señales con la divulgación de MOVEit en 2026, la implicación para los equipos de seguridad es clara. Los ciclos de parches son cada vez más cortos, el ritmo de los atacantes aumenta, la visibilidad de los datos no mejora y la concentración de riesgo estructural en el software MFT no ha cambiado. Un parche corrige una vulnerabilidad. Los parches no corrigen la exposición arquitectónica.

La alternativa arquitectónica de Kiteworks

Kiteworks no está aprovechando la divulgación de la vulnerabilidad de MOVEit. Ofrece una alternativa arquitectónica que los compradores deberían evaluar por sus propios méritos. La propuesta es estructural: Consolidar transferencia de archivos gestionada, correo electrónico seguro, uso compartido de archivos, SFTP, formularios web e integraciones de datos IA en un solo dispositivo virtual reforzado con un único motor de políticas, un registro de auditoría consolidado y un solo conjunto de controles de seguridad. La arquitectura cambia la ecuación de tres maneras.

Primero, la plataforma está reforzada a nivel de dispositivo, no en la capa de infraestructura del cliente. El firewall de red, el firewall de aplicaciones web y la detección de intrusiones están gestionados por Kiteworks. La configuración de seguridad del lado del cliente no es la dependencia que sí existe con productos MFT en infraestructura gestionada por el cliente. El modelo de defensa en profundidad es demostrable: Cuando Log4Shell tuvo un CVSS de 10 en la industria, el impacto dentro de la arquitectura de Kiteworks se redujo a un CVSS de 4 porque los controles en capas contuvieron la exposición. No se afirma que Kiteworks sea inmune a vulnerabilidades. Ninguna plataforma lo es. Se afirma que la arquitectura limita la exposición cuando surge una vulnerabilidad.

Segundo, cada implementación de Kiteworks es de tenencia única. Bases de datos, sistemas de archivos y entornos de ejecución no se comparten entre clientes. Los patrones de ataque entre inquilinos que afectan a servicios en la nube multi-inquilino no pueden cruzar límites que no existen. Para el intercambio de datos regulados — transacciones financieras, historiales médicos, datos de defensa, credenciales de socios — el aislamiento de tenencia única es un control estructural, no una opción de configuración.

Tercero, la consolidación reemplaza soluciones puntuales. MFT es solo un canal. Las empresas reales también intercambian datos sensibles por correo electrónico, formularios web, uso compartido de archivos, SFTP, APIs y cada vez más mediante asistentes y agentes IA. Cuando cada canal opera en una tecnología de proveedor diferente con su propio ciclo de parches, cada divulgación se convierte en una emergencia aparte. Unificarlos bajo una sola plataforma y un solo registro de auditoría reduce tanto la superficie de ataque como el esfuerzo operativo. Esa es la respuesta arquitectónica al ciclo recurrente de CVE en MFT.

Qué hacer esta semana, este trimestre y este año

Acciones concretas, no aspiraciones. Primero, si usas MOVEit Automation, aplica el parche ya. Actualiza a 2025.1.5, 2025.0.9 o 2024.1.8 usando el instalador completo según el aviso de Progress. No hay solución temporal ni atajos. Planifica el tiempo de inactividad, comunícalo a las unidades de negocio dependientes y completa la actualización según el cronograma recomendado por el proveedor. Verifica la versión después de actualizar en Ayuda > Acerca de.

Segundo, audita tu exposición MFT. Localiza todas las instancias de MOVEit Automation — incluyendo las que aún tengan la marca MOVEit Central o Ipswitch MOVEit Central en tu inventario. Los entornos heredados suelen actualizarse sobre la marcha en vez de reconstruirse, lo que deja componentes rezagados fuera de los ciclos de parches. Los entornos de automatización de larga duración son justo donde se esconden las instancias no gestionadas.

Tercero, restringe la exposición de red en las interfaces del puerto de comando del backend del servicio. No deben ser accesibles desde internet pública. Confirma que el acceso esté limitado solo a sistemas autorizados y valida la restricción con un escaneo de red, no solo con una revisión de configuración. Los datos del Informe de la encuesta MFT 2025 de Kiteworks muestran que el 63% de las organizaciones no ha integrado MFT con SIEM o SOC — lo que significa que, aunque cambie la exposición, la mayoría de los equipos no lo verán en su monitoreo.

Cuarto, revisa los registros de auditoría del periodo entre la divulgación y el parche. Busca cambios inesperados de privilegios, nuevas cuentas administrativas, actividad anómala relacionada con las interfaces del backend y cualquier transferencia de archivos que no coincida con los flujos de trabajo documentados. Según el Informe de brechas de terceros 2026 de Black Kite, la mediana de retraso en la divulgación pública de brechas de terceros es de 73 días. Descubrirlo en tu propio entorno es más rápido que esperar a que alguien más te lo informe.

Quinto, agenda la revisión arquitectónica para este trimestre. La pregunta no es si debes aplicar el parche a MOVEit — ya lo estás haciendo. La pregunta es cuántos ciclos más de vulnerabilidades tipo MFT puede soportar tu equipo y tu negocio con la arquitectura actual. Los datos del Informe de la encuesta MFT 2025 de Kiteworks muestran que el 62% de las organizaciones opera sistemas fragmentados entre MFT, correo electrónico, uso compartido de archivos y formularios web. Cada fragmento es una postura de respuesta de emergencia esperando activarse.

Sexto, lleva la conversación a Legal y Cumplimiento. Una vez que un CVE se publica en la NVD, las organizaciones tienen conocimiento formal para marcos de cumplimiento que exigen remediar vulnerabilidades conocidas. La postura de descubrimiento cambia en el momento de la divulgación. Documenta el cronograma del parche, la revisión de auditoría y la decisión arquitectónica. La defensa de la respuesta depende de la evidencia, no solo de la rapidez del parche.

La pregunta final no es si MOVEit Automation será explotado en la naturaleza. Puede que sí. Puede que no. La pregunta clave, para toda organización que mueve datos sensibles mediante software MFT, es si la próxima divulgación crítica será un caos o solo una nota al pie. La arquitectura lo decide.

Preguntas frecuentes

Primero, aplica el parche. Actualiza a MOVEit Automation 2025.1.5, 2025.0.9 o 2024.1.8 usando el instalador completo y luego verifica la versión en Ayuda > Acerca de. Progress indica que no hay solución temporal. Restringe la exposición de las interfaces del puerto de comando del backend del servicio desde internet pública. Después revisa los registros de auditoría para el periodo entre la divulgación y el parche. Consulta el aviso de Progress para detalles de versiones.

Sí, de forma significativa. Una vez que un CVE se publica en la Base Nacional de Datos de Vulnerabilidades, las organizaciones tienen conocimiento formal para marcos que exigen remediar vulnerabilidades conocidas — HIPAA, CMMC, divulgación ante la SEC, leyes estatales de brechas. El Informe de la encuesta sobre seguridad de datos y riesgos de cumplimiento: MFT 2025 de Kiteworks encontró que el 59% de las organizaciones tuvo incidentes MFT; documentar los tiempos de remediación es parte de cualquier postura de cumplimiento defendible.

MOVEit Transfer y MOVEit Automation son productos distintos. CVE-2023-34362 fue una inyección SQL en MOVEit Transfer, explotada por Cl0p antes de la divulgación pública según la CISA Advisory AA23-158a. CVE-2026-4670 y CVE-2026-5174 son omisión de autenticación y escalada de privilegios en MOVEit Automation, sin explotación confirmada al momento de la divulgación. La lección se mantiene; los hechos específicos no.

Los datos del Informe de la encuesta sobre seguridad de datos y riesgos de cumplimiento: MFT 2025 de Kiteworks son claros: Las organizaciones con 90 a 100% de automatización MFT reportan una tasa de incidentes del 29% frente al 71% de las que tienen menos del 50% de automatización. El 63% no ha integrado MFT con SIEM. Las plataformas consolidadas estuvieron sobrerrepresentadas entre las organizaciones sin incidentes en la encuesta. El argumento es empírico, no aspiracional.

CMMC 2.0 nivel 2 exige remediación documentada de vulnerabilidades conocidas bajo las familias de controles de Evaluación de Riesgos e Integridad del Sistema e Información. Una vulnerabilidad MFT con CVSS 9.8 dentro del alcance genera hallazgos de auditoría si no se documenta el tiempo de remediación. El Informe de la encuesta sobre seguridad de datos y riesgos de cumplimiento: MFT 2025 de Kiteworks señaló que las arquitecturas fragmentadas dificultan la recolección de evidencia en múltiples controles simultáneamente.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks