El desarrollador de software de correo confirma que su red fue comprometida debido a una sola máquina virtual sin parches, permitiendo a los atacantes cifrar servidores y afectar a clientes alojados.
La pesadilla de la “Shadow IT” ha golpeado a un proveedor de tecnología. Hoy 10 de febrero de 2026, que SmarterTools, la empresa detrás del popular servidor de correo SmarterMail, ha sufrido una brecha de seguridad a manos del grupo de ransomware Warlock (también conocido como Storm-2603).
El incidente, ocurrido el 29 de enero, es un recordatorio brutal de que la seguridad de una red es tan fuerte como su eslabón más débil. Según Derek Curtis, Director Comercial de la empresa, todo se debió a una sola máquina virtual (VM) configurada por un empleado y olvidada, que no recibió las actualizaciones críticas de seguridad.
La Anatomía del Fallo
Los atacantes explotaron vulnerabilidades conocidas en una instancia desactualizada de SmarterMail para entrar a la red corporativa.
- Los Exploits: Se sospecha el uso de CVE-2026-23760 (Bypass de Autenticación que permite resetear la contraseña de admin) o CVE-2026-24423 (Ejecución Remota de Código). Ambos fallos tienen parches disponibles, pero la máquina olvidada no los tenía.
- Movimiento Lateral: Una vez dentro de esa VM “zombie”, los atacantes esperaron pacientemente entre 6 y 7 días. Durante este tiempo, tomaron control del Directorio Activo, crearon usuarios falsos y se movieron lateralmente hacia el centro de datos de control de calidad (QC).
- El Impacto: Cifraron 12 servidores internos y afectaron a clientes que utilizaban la versión alojada de SmarterTrack (su software de helpdesk), ya que ese entorno era más accesible desde la red comprometida.
Warlock y su “Navaja Suiza” (Velociraptor)
- El grupo Warlock despliega Velociraptor, una potente herramienta de análisis forense digital y respuesta a incidentes (DFIR).
- Irónicamente, usan esta herramienta diseñada para cazar hackers para mantener persistencia, ejecutar comandos y espiar la red sin levantar las sospechas que generaría un troyano convencional.
Lecciones Aprendidas
Tim Uzzanti, CEO de SmarterTools, asegura que el código fuente y los datos de cuentas principales no fueron comprometidos, pero el daño reputacional es real.
- Inventario Riguroso: No puedes parchear lo que no sabes que existe. Las VMs de prueba y desarrollo son a menudo la puerta de entrada principal.
- Parcheo Inmediato: Las vulnerabilidades de SmarterMail (CVE-2026-23760/24423) están siendo explotadas activamente. Si administras tu propio servidor de correo, actualiza a la Build 9526 hoy mismo.
- Segregación de Red: Los entornos de prueba/calidad no deberían tener “puentes” abiertos hacia los servidores de producción o datos de clientes.
