Progress no pidió a algunos clientes de ShareFile que instalaran un parche. Les pidió apagar servidores.

Arquitectura corporativa de intercambio de archivos con un servidor local aislado tras una alerta de seguridad

Ese es el dato importante para los equipos de TI. El 10 de julio, Progress Software dijo a clientes con ShareFile Storage Zone Controllers que apagaran manualmente los servidores Windows que alojan esos controladores. La razón fue una "credible external security threat" contra el componente on-premises de la arquitectura híbrida de ShareFile.

La página pública de estado todavía mostraba, en la comprobación realizada, un incidente abierto: "ShareFile customers with Storage Zone Controllers are not operational at this time", publicado el 10 de julio a las 12:12 EDT y marcado como Investigating. Progress dijo después a medios que el acceso cloud para clientes afectados se había restaurado el domingo 12 de julio por la tarde, pero que los controladores debían seguir apagados durante la investigación.

Progress también dijo que no tenía evidencia de acceso no autorizado a cuentas o datos de clientes de ShareFile, ni una amenaza activa identificada en esa declaración. Es importante. Pero no equivale a un permiso para volver a encender los controladores.

Qué hacen los Storage Zone Controllers

ShareFile puede funcionar como servicio cloud, pero algunas organizaciones usan Storage Zone Controllers para mantener archivos en su propio almacenamiento. El controlador corre en un servidor Windows gestionado por el cliente. La nube de ShareFile gestiona autenticación, usuarios y colaboración; el controlador mueve subidas y descargas entre usuarios y almacenamiento interno.

El modelo tiene sentido para equipos legales, sanidad, finanzas y empresas con requisitos de residencia de datos. La contrapartida es que el controlador se convierte en un componente de borde con mucha confianza: cerca de documentos sensibles, conectado a la nube y a menudo accesible desde internet.

Un servidor de intercambio de archivos en el borde no es middleware decorativo. Es una ruta de datos.

Por qué una orden de apagado es rara

El ciclo normal de seguridad empresarial es conocido: advisory, versiones afectadas, CVE, parche, workaround, notas de detección y monitorización. A veces duele, pero encaja en patch management.

Esto no encaja. Según BleepingComputer y otros medios que citaron el correo a clientes, Progress dijo que desactivar el acceso desde ShareFile cloud no bastaba. Había que apagar manualmente el servidor como medida crítica adicional para proteger datos.

Eso no prueba un zero-day. No prueba explotación activa. No prueba compromiso. Progress no lo ha dicho públicamente.

Sí muestra que el proveedor vio suficiente riesgo para preferir downtime antes que exposición continuada. En producción, esa señal pesa.

Lo que se sabe

Progress describió una amenaza externa creíble contra ShareFile Storage Zone Controllers. El componente afectado es el controlador gestionado por el cliente, no las cuentas cloud-only estándar. La status page confirma impacto operativo. BleepingComputer, The Hacker News, SecurityWeek y The Register confirmaron la sustancia de la comunicación.

Progress dice que no hay evidencia de acceso no autorizado a cuentas o datos de clientes. SecurityWeek y The Register reportaron una declaración posterior: el acceso al servicio cloud fue restaurado para clientes con Storage Zone Controllers el domingo por la tarde, pero los controladores deben seguir apagados.

El hilo de r/sysadmin que hizo público el correo fue visible por RSS. Sirve como señal de comunidad, no como base factual principal. La base son la status page, las declaraciones de Progress y la confirmación de medios especializados.

Lo que no se sabe

Progress no ha explicado públicamente la naturaleza de la amenaza, si algún controlador fue comprometido, si hay una vulnerabilidad, qué versiones están afectadas o cuándo se puede reiniciar con seguridad.

La comprobación de NVD no mostró una entrada nueva de julio de 2026 para "ShareFile Storage Zone Controller". Eso no descarta un problema; solo indica que no había metadatos públicos de vulnerabilidad o que el incidente no sigue el formato normal de un CVE.

Hay contexto histórico. CVE-2023-24489 afectó a Citrix ShareFile Storage Zones Controller y permitía compromiso remoto sin autenticación. En 2026, CVE-2026-2699 y CVE-2026-2701 describieron fallos críticos en Progress ShareFile Storage Zones Controller. Pero el incidente actual no está públicamente vinculado a esos casos.

El impacto de negocio existe aunque no haya brecha confirmada

ShareFile se usa para intercambio de documentos. Apagar Storage Zone Controllers puede parar portales de clientes, flujos legales, sanidad, finanzas, onboarding de proveedores y procesos de RR. HH.

Por eso no es solo un problema del equipo de seguridad. También pone a prueba continuidad de negocio. ¿Quién aprueba una vía temporal de intercambio? ¿Qué datos no pueden moverse por herramientas improvisadas? ¿Quién avisa a clientes? Si la respuesta es "lo resolverá el administrador de ShareFile", falta un runbook.

Qué hacer

Primero, seguir la instrucción del proveedor. Si Progress dice que los controladores afectados deben seguir apagados, tener una versión reciente no es permiso para reiniciar.

Segundo, preservar evidencia. Según el entorno, puede incluir snapshots, logs de Windows e IIS, logs de aplicación, reverse proxy, EDR y firewall. Si el servidor ya está apagado, coordina con respuesta a incidentes antes de encenderlo solo para recoger datos.

Tercero, revisar versiones y exposición. Identifica cuántos controladores existen, qué versiones ejecutan, qué puertos están expuestos, si hay WAF o reverse proxy y si la administración está demasiado abierta.

Cuarto, separar guía oficial de especulación. The Hacker News sugirió revisar archivos .aspx desconocidos y confirmar versiones actuales, pero eso no reemplaza la autorización de Progress ni un proceso forense propio.

Quinto, hablar con negocio. Define flujos caídos, alternativas aprobadas, clientes afectados y límites de datos regulados.

Preguntas para Progress o el MSP

Pregunta si tu tenant y tus controladores están afectados. Pide versiones afectadas, logs o indicadores a recoger y si Progress ha visto explotación contra controladores gestionados por clientes.

Aclara qué cubre "no evidence of unauthorized access": cuentas cloud, datos de cliente, hosts de controladores o todo lo anterior.

Pregunta cuándo se podrá reiniciar y bajo qué condiciones. Si la respuesta es "todavía no", documéntalo y mantén informada a la dirección.

También pregunta si el acceso cloud temporal cambia compromisos de residencia de datos, contratos o controles de compliance.

La lección para file-transfer

A los atacantes les gustan estos sistemas porque mueven archivos sensibles y suelen estar expuestos a usuarios externos. Progress ya vivió MOVEit en 2023; ShareFile tuvo problemas Citrix-era ese mismo año. El caso actual no debe mezclarse con esos incidentes, pero pertenece a la misma categoría de riesgo.

Esa categoría necesita inventario, logs, aislamiento probado y owners claros. Los gateways de transferencia, conectores de almacenamiento, MFT, reverse proxies, cuentas de servicio y repositorios detrás de ellos deben aparecer en los ejercicios de respuesta.

El mensaje no es "no uses ShareFile". Es este: si un proveedor dice "apágalo", la organización ya debería saber qué significa eso técnica, legal y operativamente.