Recientemente, la plataforma de intercambio de archivos ownCloud ha publicado una advertencia de seguridad instando a todos sus usuarios a activar la autentificación multifactor (MFA) en sus cuentas. Esta recomendación llega después de que varias organizaciones informaran de accesos no autorizados a sus instancias de ownCloud debido a credenciales comprometidas, no por una vulnerabilidad en la plataforma en sí.
¿Qué ha ocurrido?
Según informes recientes de la empresa de ciberinteligencia Hudson Rock, varios ataques exitosos contra instalaciones de files-haring como ownCloud, Nextcloud y ShareFile se han producido sin explotar vulnerabilidades técnicas del software, sino a través de credenciales robadas en dispositivos infectados con malware tipo infostealer (como RedLine, Lumma o Vidar).
Los atacantes consiguieron usuarios y contraseñas legítimos almacenados en máquinas comprometidas, y al no existir una capa adicional de verificación (MFA), pudieron autenticarse directamente, accediendo a datos corporativos sensibles.
ownCloud ha sido muy claro:
la plataforma no fue vulnerada ni hubo explotación de un “zero-day”; los accesos se dieron porque las credenciales se usaron tal cual estaban.
Recomendaciones urgentes de seguridad
Ante esta situación, ownCloud e Infordisa aconseja de inmediato:
✔️ Activar MFA en todos los usuarios y servicios.
✔️ Forzar el reinicio de contraseñas.
✔️ Invalidar sesiones activas para obligar a reautenticación.
✔️ Revisar y auditar los logs de acceso, buscando patrones sospechosos.
Estas medidas ayudan no solo a contener el impacto del incidente, sino también a elevar el nivel de resiliencia global ante amenazas de robo de cuentas (Account Takeovers).
La importancia crítica del FMA (Factor de Múltiple Autenticación)
Este caso vuelve a poner sobre la mesa un principio de ciberseguridad que no es opcional, sino crítico para cualquier organización:
⚠️ El 99 % de los ataques de toma de control de cuentas se detienen con una MFA correctamente configurada.
Incluso si un atacante dispone de usuario y contraseña, sin la segunda (o tercera) forma de verificación, el acceso queda bloqueado. Esto es especialmente relevante en servicios cloud y colaborativos que manejan datos sensibles o estratégicos.
Lecciones para SOC y administradores
- No basta con contraseñas fuertes:
Sin MFA, los sistemas siguen siendo extremadamente vulnerables a infostealers y filtraciones previas. - Configurar y forzar MFA globalmente:
En ningún caso debería ser una opción que un usuario pueda desactivar. - Monitorizar eventos de autenticación:
Detectar intentos de acceso con credenciales comprometidas es clave para respuesta temprana. - Educar y reforzar hygiene de contraseñas:
La MFA mitiga riesgos, pero un buen manejo de credenciales reduce la superficie de ataque.
En un entorno donde las credenciales robadas circulan libremente en mercados clandestinos y los infostealers evolucionan constantemente, la MFA actúa como la última barrera eficaz entre un atacante y tus activos digitales.
👉 Si aún no has aplicado MFA en tus servicios críticos (incluido ownCloud), es urgente incorporarlo ahora.
Font: ownCloud
