Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > Las filtraciones en MFT persisten: fallos de arquitecturas heredadas al descubierto

Las filtraciones en MFT persisten: fallos de arquitecturas heredadas al descubierto

by Patrick Spencer updated mayo 13, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 10 minutes

La historia de las filtraciones en transferencia de archivos gestionada (MFT) en la década de 2020 no es la historia de un proveedor con un mal año. Es la historia de un patrón arquitectónico a nivel de categoría que produce fallos previsibles. La divulgación del 30 de abril de 2026 de CVE-2026-4670, una vulnerabilidad de omisión de autenticación con CVSS 9.8 en MOVEit Automation, y CVE-2026-5174, una falla encadenada de escalada de privilegios, hacen imposible descartar este patrón como simple mala suerte.

Aspectos clave

  1. La divulgación de 2026 es la tercera ola crítica en tres años. El 30 de abril, Progress divulgó dos vulnerabilidades en MOVEit Automation, una de ellas con CVSS 9.8. No existe solución temporal.
  2. No es un problema de un solo proveedor. Cleo en diciembre de 2024, CrushFTP en marzo de 2025, Wing FTP en julio de 2025 y MOVEit nuevamente en abril de 2026: cuatro vulnerabilidades críticas de MFT en dieciocho meses, en cuatro proveedores diferentes.
  3. La mayoría de los incidentes de MFT no son zero-day.El 59% de las organizaciones sufrió un incidente relacionado con MFT el año pasado, y los fallos se agrupan en torno a datos en reposo sin cifrar, sin integración con SIEM y sistemas fragmentados.
  4. El alcance del daño lo determina la arquitectura, no la velocidad de parcheo. Cuando la misma clase de vulnerabilidad afecta a un dispositivo reforzado de tenencia única con defensa en profundidad, el impacto práctico se reduce en órdenes de magnitud: el CVSS 10 de Log4Shell en la industria se contuvo a CVSS 4 en uno de estos entornos.
  5. El siguiente parche no es la respuesta. La decisión arquitectónica es si la seguridad es una carga de configuración para el cliente añadida a una aplicación web expuesta a Internet, o una capacidad del producto en un dispositivo reforzado con un solo motor de políticas y un registro de auditoría.

Tres años. Once CVE divulgados en las líneas de productos de MOVEit. Cinco con CVSS 9.0 o superior. Y en cada ola, se mantuvieron las mismas condiciones arquitectónicas: una aplicación web expuesta a Internet, un sistema operativo gestionado por el cliente, una capa de base de datos a la que la aplicación podía acceder directamente y un almacenamiento de archivos en el mismo límite de confianza que todo lo demás.

La ola de 2023 fue la que llegó a los titulares. El 27 de mayo de ese año, el grupo de ransomware Cl0p comenzó a explotar masivamente CVE-2023-34362, una vulnerabilidad de inyección SQL con CVSS 9.8 en MOVEit Transfer. Progress publicó un parche cuatro días después. Mandiant informó posteriormente que el tiempo promedio desde la intrusión inicial hasta la exfiltración de datos fue de aproximadamente cinco minutos. Al final del año, más de 2,700 organizaciones habían sido comprometidas, exponiendo datos personales de unos 93 millones de personas. CISA estimó que más de 8,000 entidades a nivel mundial se vieron afectadas al considerar la exposición indirecta.

La ola de 2024 consistió en dos omisiones de autenticación: CVE-2024-5805 y CVE-2024-5806, ambas finalmente calificadas con CVSS 9.1. La Shadowserver Foundation observó intentos de explotación a las pocas horas de la divulgación. WatchTowr Labs publicó un código funcional de prueba de concepto el mismo día. La divulgación de 2025 de CVE-2025-2324 afectó al módulo SFTP Shared Accounts. Y la advertencia de 2026 cerró el ciclo: una omisión de autenticación CVSS 9.8 y una falla encadenada de escalada de privilegios en MOVEit Automation, con Shodan identificando más de 1,440 instancias expuestas a Internet en riesgo, incluidas 16 conectadas a gobiernos estatales y locales de EE. UU.

Un proveedor puede tener código defectuoso de vez en cuando. Una categoría tiene mala arquitectura siempre.

El patrón entre proveedores que demuestra que es un problema arquitectónico

Si MOVEit fuera el único caso, la evidencia sería circunstancial. No lo es. En los dieciocho meses entre diciembre de 2024 y abril de 2026, cuatro plataformas diferentes de transferencia de archivos gestionada presentaron vulnerabilidades críticas, cada una explotada poco después de su divulgación pública.

Cleo, diciembre de 2024. Cl0p explotó masivamente una cadena de vulnerabilidades en los productos Harmony, VLTrader y LexiCom de Cleo. Más de 300 organizaciones fueron víctimas en sectores de transporte, manufactura y cadenas de suministro alimentario.

CrushFTP, marzo de 2025. Una omisión de autenticación que afectó a servidores CrushFTP fue seguida por una divulgación en julio de 2025 que permitió la toma de control total del servidor.

Wing FTP, julio de 2025. Una vulnerabilidad de ejecución remota de código sin autenticación mediante inyección Lua permitió obtener privilegios root y de nivel SYSTEM.

MOVEit, abril de 2026. La advertencia actual. Sin solución temporal. Se requiere actualización completa del instalador.

El Informe de Ciberseguridad OT/ICS de Dragos 2026 sitúa este patrón en contexto operativo. Durante 2025, afiliados de ransomware apuntaron cada vez más a firmas de ingeniería, proveedores de servicios OT y fabricantes de equipos ICS, precisamente la base de clientes concentrada en plataformas MFT heredadas. La explotación por parte de Cl0p de Cleo MFT, CrushFTP y posteriormente Oracle E-Business Suite, según Dragos, demostró cómo una sola vulnerabilidad en software de transferencia de archivos ampliamente desplegado puede exponer documentos operativos, datos de ingeniería e integraciones proveedor-cliente en cientos de organizaciones industriales, incluso cuando el atacante nunca accede directamente a la red OT.

Así se ve el riesgo arquitectónico a nivel de categoría. El nombre del proveedor cambia. El modo de fallo no.

Lo que el 59% de las organizaciones ya sabe por experiencia

El hallazgo más relevante en el Informe de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks: Encuesta MFT 2025 es que el problema de los incidentes de MFT no es ocasional ni está impulsado principalmente por zero-days. El 59% de las organizaciones sufrió un incidente de seguridad relacionado con MFT el año pasado. Solo el 39% evitó incidentes por completo.

El desglose por madurez de automatización es aún más revelador. Las organizaciones con menos del 50% de las transferencias de archivos automatizadas mediante MFT reportaron una tasa de incidentes del 71%. Las que tenían entre 50-69% de automatización reportaron un 61%. Con 70-89% de automatización, la tasa bajó al 52%. Y el 13% de las organizaciones que alcanzaron entre 90-100% de automatización de extremo a extremo reportaron solo un 29%.

El Informe de la Encuesta MFT 2025 enmarca los fallos como tres brechas estructurales. La primera es una brecha de cifrado: el 76% de las organizaciones cifra los datos de MFT en tránsito, pero solo el 42% cifra los datos en reposo con AES-256. Las agencias gubernamentales solo cifran el 8% de los datos almacenados de MFT. El sector salud cifra el 11%. Los datos almacenados —los que los atacantes alcanzan cuando ocurre una vulnerabilidad de MFT— son los menos protegidos.

La segunda es una brecha de visibilidad. El 63% de las organizaciones no tiene integración SIEM ni SOC con su entorno MFT. Sus centros de operaciones de seguridad monitorizan el tráfico de red y la actividad en endpoints, pero las transferencias de archivos —que suelen transportar los datos más sensibles de la organización— operan a ciegas.

La tercera es una brecha de complejidad. El 62% de las organizaciones opera arquitecturas fragmentadas entre MFT, correo electrónico, uso compartido de archivos y formularios web. Cada herramienta tiene sus propias políticas, su propio registro de auditoría y su propia configuración. Cada brecha entre ellas es un lugar donde la evidencia se disuelve.

No se trata de vulnerabilidades exóticas. Son controles fundamentales que deberían haber sido estándar hace una década.

Por qué la arquitectura MFT sigue fallando de la misma manera

Cuatro propiedades arquitectónicas definen la categoría MFT heredada, y cada una se relaciona directamente con un modo de fallo documentado en el registro de CVE.

Superficie de aplicación web expuesta a Internet. Todas las plataformas MFT heredadas requieren una interfaz web pública para el acceso de socios. Esa interfaz es la superficie por la que han llegado todas las inyecciones SQL divulgadas, omisiones de autenticación y fallos de validación de entrada. También es una superficie que no puede eliminarse sin romper la función principal del producto.

Infraestructura gestionada por el cliente. Las plataformas MFT heredadas se ejecutan en Windows Server, IIS, SQL Server reforzados por el cliente y controles de red configurados por el cliente. La seguridad depende de que el cliente refuerce correctamente cada componente. Cada configuración incorrecta es un posible CVE en el entorno operativo. Cada ciclo de parches es responsabilidad del cliente.

Sin contención una vez dentro. Una vez que un atacante logra ejecución remota de código en un entorno MFT heredado, nada aísla la capa de aplicación de la base de datos, el almacenamiento de archivos o las credenciales de almacenamiento en la nube. El alcance del daño es la plataforma. La cadena de ataque de Cl0p en 2023 lo ilustró con brutalidad: una inyección SQL en la capa web expuso tokens de administrador, una falla de deserialización convirtió el token en ejecución remota de código y un web shell ASP.NET personalizado llamado LEMURLOOT canalizó la exfiltración mediante cabeceras HTTP personalizadas. Nada en esa cadena ofreció resistencia significativa a nivel de capa.

Ciclo de parches sin solución temporal. Cada CVE divulgado de MOVEit ha requerido una actualización completa del instalador. Se ha observado explotación a las pocas horas de la divulgación en varios casos. El ciclo se agrava: cuanto más tiempo permanece la plataforma en producción, más CVE se acumulan y más difícil se vuelve justificar su continuidad.

El Informe de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks: Pronóstico 2026 lo resume así: la infraestructura heredada no puede soportar la gobernanza de datos moderna. El uso compartido de archivos desagregado y las soluciones MFT de décadas carecen de las capacidades de seguridad necesarias para construir controles de contención, registros de auditoría de calidad probatoria o garantías de soberanía. El Informe de Pronóstico 2026 encontró que solo el 39% de las organizaciones tiene intercambio de datos unificado con cumplimiento; el 34% tiene cobertura parcial con brechas; el 16% opera solo soluciones específicas por canal; el 11% tiene gobernanza mínima o nula.

El 61% de las organizaciones intenta construir registros de auditoría de calidad probatoria sobre infraestructura fragmentada. La infraestructura no puede soportar lo que ahora exige el regulador.

Lo que están haciendo los reguladores con este patrón

Cada filtración de MFT genera un registro regulatorio. Y los reguladores están mejorando su capacidad para leer esos registros.

La SEC abrió una investigación formal a Progress Software el 2 de octubre de 2023, tras la campaña Cl0p MOVEit. Bajo el SEC Item 1.05, las empresas públicas deben divulgar incidentes cibernéticos materiales en el Formulario 8-K en un plazo de cuatro días hábiles. Ese plazo comienza cuando la empresa concluye que el incidente es material —y tras Cl0p, la SEC ha dejado claro que los retrasos en la evaluación de materialidad también están bajo escrutinio.

En el sector salud, los Centros de Servicios de Medicare y Medicaid informaron la filtración vinculada a MOVEit que afectó a 3.1 millones de personas a la Oficina de Derechos Civiles del HHS. El estándar de «protecciones razonables» de la Regla de Seguridad HIPAA en 45 CFR §164.308 es el marco regulatorio, y las sanciones de la OCR pueden alcanzar los 2.1 millones de dólares anuales por nivel de infracción.

En la UE, el artículo 32 del GDPR exige medidas técnicas y organizativas apropiadas al riesgo, y la directiva NIS 2, en vigor desde octubre de 2024, añade un requisito de alerta temprana en 24 horas y notificación de incidentes en 72 horas. La multa de 14 millones de libras de la ICO del Reino Unido contra Capita en octubre de 2025 citó directamente el artículo 32.

En Australia, la Ley de Enmienda de Privacidad 2024 elevó las sanciones civiles máximas a 50 millones de AUD o el 30% de la facturación ajustada por interferencia grave o reiterada con la privacidad. Los informes de filtraciones de datos notificables a la Oficina del Comisionado de Información de Australia aumentaron un 25% interanual en 2024.

La pregunta del regulador, tras tres olas críticas de MFT en tres años, no es si la filtración era previsible. Es si continuar operando una plataforma con ese historial de divulgaciones califica como una protección razonable.

La alternativa arquitectónica

Cambiar un producto MFT heredado por otro solo reinicia el ciclo de parches sin modificar el modelo subyacente. La respuesta arquitectónica es un modelo diferente.

Kiteworks consolida el intercambio de datos —correo electrónico, uso compartido de archivos, SFTP, MFT, formularios web, APIs e integraciones de IA— en un solo dispositivo virtual reforzado con un motor de políticas y un registro de auditoría. El dispositivo incluye un firewall de red integrado, un firewall de aplicaciones web integrado, un sistema de detección de intrusiones integrado y un sistema operativo reducido que mantiene Kiteworks. Los clientes no configuran el SO. No gestionan la base de datos. No aplican parches por separado a la pila subyacente. Las actualizaciones de sistema completas con un solo clic actualizan todo el dispositivo —aplicación, entorno de ejecución, SO, librerías— en una sola operación coordinada.

Dentro de ese dispositivo, una arquitectura en capas aísla la capa web de la base de datos y el almacenamiento de archivos. Una capa de aplicación comprometida no puede consultar directamente la base de datos ni derivar claves a nivel de archivo. Los archivos en reposo están protegidos por dos capas de cifrado independientes —a nivel de archivo y de disco— usando módulos criptográficos validados por FIPS 140-3. TLS 1.3 protege los datos en tránsito. Hay gestión de claves controlada por el cliente opcional para cargas de trabajo sensibles a la soberanía.

El modelo administrativo también es clave. En MFT heredado, la consola de administración es el propio sistema operativo. Los administradores tienen acceso al código del servidor, el sistema de archivos y la capacidad de instalar aplicaciones. Un atacante que accede a la consola de administración accede a todo. En el modelo de Kiteworks, los administradores no tienen acceso al SO, sistema de archivos, código de aplicación ni base de datos. La consola de administración es una interfaz web con estrictos controles de acceso basados en roles. Las capacidades de administración manipulan el sistema solo mediante llamadas API específicas. Los administradores no pueden instalar software en el dispositivo.

La defensa en profundidad no es teórica en esta arquitectura. Durante el evento Log4Shell de diciembre de 2021, el CVSS de la industria para la falla subyacente de Log4j fue 10.0. Dentro del dispositivo Kiteworks, los controles en capas redujeron el impacto práctico a CVSS 4.0 antes de que llegara el parche formal. La próxima CVE crítica no se anunciará. Lo que determina el alcance del daño es la arquitectura existente cuando ocurre.

Qué deben hacer ahora las organizaciones que operan MFT heredado

Primero, aplica parches de inmediato. Si operas MOVEit Automation, actualiza a 2025.1.5, 2025.0.9 o 2024.1.8 usando el instalador completo. Progress confirma que no existe solución temporal para CVE-2026-4670 ni CVE-2026-5174. La misma urgencia aplica a cualquier entorno MFT heredado que siga en un ciclo de parches soportado: la ventana entre divulgación y explotación se ha medido en horas en varios proveedores.

Segundo, audita la distancia. El Informe de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks: Encuesta MFT 2025 reveló que el 63% de las organizaciones no tiene integración SIEM con su MFT, el 58% no cifra los datos de MFT en reposo con AES-256 y el 33% no ha adoptado control de acceso basado en atributos. Mapea tu entorno MFT actual frente a esos tres controles antes de que la próxima divulgación fuerce la conversación bajo presión.

Tercero, inventaría los canales. La mayoría de las organizaciones intercambia datos sensibles a través de cinco a diez herramientas diferentes —correo electrónico seguro, plataformas de uso compartido de archivos, servidores SFTP, MFT, formularios web, APIs y cada vez más integraciones de IA. Los datos del Informe de Pronóstico 2026 de Kiteworks muestran que el 61% de las organizaciones tiene infraestructura de intercambio de datos fragmentada, lo que significa que no es posible construir registros de auditoría de calidad probatoria sobre la base actual. Inventaría cada canal por donde salen datos regulados de tu perímetro y pregunta cuáles comparten motor de políticas y cuáles no.

Cuarto, pon la arquitectura en el ciclo de planificación. Migrar desde una plataforma MFT heredada es un proyecto real con plazos reales. El punto no es migrar en un trimestre. El punto es incluir la alternativa arquitectónica en el próximo ciclo presupuestario, la próxima revisión de arquitectura o la próxima ventana de actualización importante de MFT, antes de que el historial de CVE de la plataforma fuerce la conversación como emergencia. Los datos de la Encuesta MFT 2025 de Kiteworks muestran que el 13% de las organizaciones con 90-100% de automatización reportan menos de la mitad de la tasa de incidentes de aquellas que aún gestionan flujos de trabajo manuales significativos. La inversión en consolidación se recupera en un solo ciclo de divulgación.

Quinto, mide lo correcto. La velocidad de parcheo no es el indicador. El alcance del daño lo es. Dos organizaciones afectadas por la misma CVE tienen resultados diferentes cuando una opera un dispositivo reforzado de tenencia única y la otra una aplicación web gestionada por el cliente en un límite de confianza plano. Según el Informe de Filtraciones de Terceros 2026 de Black Kite, el retraso medio en la divulgación de filtraciones de terceros es de 73 días. La arquitectura que limita la exposición durante esos 73 días es la que determina el resultado regulatorio y reputacional.

El historial de MOVEit no es una historia sobre Progress Software. Es la historia de una categoría de arquitectura de intercambio de datos que ha llegado al final de su vida defendible bajo las condiciones de amenaza actuales. La próxima vulnerabilidad crítica de MFT ya está siendo descubierta. Lo que determina en qué titular apareces es el modelo de plataforma que elegiste antes de la divulgación.

Preguntas frecuentes

La velocidad de parcheo resuelve la vulnerabilidad divulgada. No resuelve el patrón arquitectónico que las produce. El Informe de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks: Encuesta MFT 2025 encontró que el 59% de las organizaciones sufrió un incidente relacionado con MFT el año pasado. Parchear te mantiene al día con los problemas conocidos. La arquitectura determina qué ocurre en la próxima ventana zero-day, cuando la explotación precede a la divulgación.

Actualiza a MOVEit Automation 2025.1.5, 2025.0.9 o 2024.1.8 usando el instalador completo — Progress indica que no existe solución temporal para CVE-2026-4670 ni CVE-2026-5174. Haz un inventario de las instancias de MOVEit Automation expuestas a Internet. Revisa los registros de auditoría en busca de indicadores de compromiso en las interfaces de puerto de comando del backend del servicio. Luego incluye una revisión arquitectónica en el próximo ciclo de planificación.

Los reguladores cada vez observan más la postura de riesgo sostenida, no solo la respuesta a incidentes. Tras tres olas críticas de MOVEit en tres años, el Informe de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks: Pronóstico 2026 encontró que el 33% de las organizaciones carece de registros de auditoría de calidad probatoria. SEC, OCR, ICO y OAIC han dejado claro que «aplicamos el parche» no es suficiente cuando el historial de divulgaciones de la plataforma indica un problema estructural.

Cuando ocurre una vulnerabilidad de MFT y un atacante accede al almacenamiento de archivos, el cifrado AES-256 en reposo es lo que separa al atacante de la información de salud protegida legible. El Informe de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks: Encuesta MFT 2025 halló que el sector salud solo cifra el 11% de los datos almacenados de MFT, pese a cifrar el 100% en tránsito. El estándar de protecciones razonables de HIPAA en 45 CFR §164.308 evalúa los controles realmente implementados cuando se accedió a los datos, no las políticas escritas.

Consolidar en un solo dispositivo reforzado de tenencia única reduce la superficie de ataque y unifica el registro de auditoría. El Informe de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks: Encuesta MFT 2025 encontró que el 62% de las organizaciones opera sistemas fragmentados, lo que genera políticas inconsistentes y evidencia dispersa. El SaaS multi-tenant genera riesgo de concentración porque miles de clientes comparten el mismo límite de confianza. La consolidación de tenencia única elimina la fragmentación sin crear exposición de destino compartido.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks