Durante años, hablar de seguridad en correo electrónico era casi sinónimo de hablar de phishing: usuarios distraídos, ligas maliciosas, archivos adjuntos con sorpresa y ese clásico correo que promete resolver todos tus problemas si solo entregas tus credenciales con una sonrisa. Pero la investigación más reciente de Proofpoint apunta hacia un giro más incómodo: los atacantes no siempre necesitan engañar al usuario para que entregue la llave, a veces prefieren comprometer directamente la cerradura. En este caso, la cerradura son los servidores de correo.
Proofpoint documentó una campaña de ciberespionaje atribuida a UNK_MassTraction, un clúster de actividad que la firma evalúa como probablemente alineado con intereses chinos, dirigido contra departamentos de física e ingeniería en universidades de Estados Unidos y Canadá. La campaña comenzó a observarse en mayo de 2026 y explotó vulnerabilidades en Roundcube, una plataforma de webmail ampliamente usada en organizaciones, universidades y proveedores que mantienen su propia infraestructura de correo. La parte importante no es solamente que se haya atacado el correo, sino cómo se usó: como un punto de entrada expuesto a internet para intentar pivotar hacia el resto de la red.

Qué detectó Proofpoint
| Punto | Información reportada | Lectura DD |
|---|---|---|
| Actor | UNK_MassTraction | Proofpoint lo evalúa como probablemente alineado con China, no como atribución estatal definitiva |
| Inicio observado | Mayo de 2026 | Campaña reciente y activa en el contexto del reporte |
| Objetivos observados | Departamentos de física e ingeniería en universidades de Estados Unidos y Canadá | Perfil académico, técnico y potencialmente vinculado a investigación sensible |
| Plataforma atacada | Roundcube Webmail | El objetivo ya no es solo la cuenta: también la infraestructura |
| Vector inicial | Correo abierto en una instancia vulnerable de Roundcube | No requiere que el usuario descargue un archivo; basta la ejecución del cliente vulnerable |
| Objetivo operativo | Robar credenciales, material de autenticación y lograr acceso al servidor | El correo funciona como puerta de entrada hacia la red |
| Malware / tooling | IceCube, SquareShell, VShell | Cadena con robo de sesión, webshell y backdoor persistente |
La diferencia es fundamental. Cuando un atacante compromete una cuenta de correo, obtiene mensajes, contactos, archivos, conversaciones y quizá acceso a otros servicios. Eso ya es grave. Pero cuando compromete el servidor que sostiene ese correo, el problema cambia de escala: puede robar material de autenticación, manipular sesiones, esconder actividad, instalar herramientas persistentes y usar ese servidor como trampolín hacia otros sistemas. Es como si antes el ladrón intentara copiar la llave de una oficina y ahora buscara meterse al cuarto de máquinas del edificio.
La cadena técnica descrita por Proofpoint inicia con la explotación de CVE-2024-42009, una vulnerabilidad XSS en Roundcube. Según la investigación, si el correo malicioso se abre desde una instancia vulnerable del cliente web, el JavaScript incrustado puede ejecutarse en el navegador de la víctima. Ese código funciona como cargador para una siguiente etapa llamada IceCube, un stealer diseñado para acceder al DOM completo del navegador y a la sesión de autenticación de Roundcube. A partir de ahí, puede robar nombres de usuario, contraseñas, material de autenticación de dos factores, cookies y otros valores útiles para el atacante.
Vulnerabilidades y componentes de la cadena
| Componente | Tipo | Función en la campaña |
|---|---|---|
| CVE-2024-42009 | XSS en Roundcube | Permite ejecutar JavaScript al abrir un correo en una instancia vulnerable |
| IceCube | Stealer / payload JavaScript | Roba credenciales, cookies, material de 2FA y datos de sesión |
| CVE-2025-49113 | Deserialización en Roundcube | Permite intentar instalación de webshell mediante abuso de objetos serializados |
| SquareShell | Webshell | Da capacidad de ejecución remota en el servidor comprometido |
| Loader ELF | Cargador | Descarga y ejecuta siguiente etapa según arquitectura del host |
| VShell | Backdoor escrito en Go | Facilita acceso persistente, shell interactiva y movimiento dentro de la red |
| DMARC laxo | Debilidad de autenticación de correo | Permite abuso de dominios para envío o suplantación más creíble |
Después del robo inicial, Proofpoint señala que IceCube intenta explotar una segunda vulnerabilidad, CVE-2025-49113, un fallo de deserialización en Roundcube, para instalar un webshell llamado SquareShell. Si esa ruta falla, la cadena puede recurrir a un canal alterno para descargar y ejecutar un loader ELF que termina cargando en memoria el backdoor VShell. Este último punto es relevante porque VShell no es un juguete improvisado: Proofpoint lo describe como un implante público escrito en Go, con capacidades de shell interactiva y port forwarding, características especialmente útiles para moverse dentro de una red comprometida.
Aquí es donde la nota deja de ser “otro malware más” y se vuelve una lectura de infraestructura. El atacante no está tratando al servidor de correo como un simple buzón lleno de mensajes interesantes; lo está tratando como un edge device, es decir, un activo expuesto al exterior que puede servir como acceso inicial. Es la misma lógica que hemos visto con VPNs, firewalls, appliances de seguridad, paneles de administración y servicios remotos: todo lo que vive en la frontera entre internet y la red interna puede convertirse en puerta de entrada si no está parchado, monitoreado y administrado con disciplina.
De phishing tradicional a ataque contra infraestructura
| Enfoque | Ataque al usuario | Ataque al servidor de correo |
|---|---|---|
| Objetivo inicial | Engañar a una persona | Comprometer infraestructura expuesta |
| Resultado típico | Robo de credenciales o sesión | Acceso a servidor, sesiones, credenciales y posible pivote a red |
| Defensa común | Capacitación, filtros, MFA | Parches, hardening, monitoreo, segmentación, control de acceso |
| Riesgo principal | Cuenta comprometida | Activo crítico usado como puerta de entrada |
| Señal de alerta | Clics, adjuntos, ligas sospechosas | Versiones vulnerables, webshells, tráfico C&C, procesos anómalos |
| Error frecuente | Culpar solo al usuario | Olvidar que el servidor también puede ser el objetivo |
Para México, el punto no es decir que esta campaña haya atacado directamente a organizaciones mexicanas; Proofpoint no lo plantea así en la investigación pública. La lectura correcta es otra: si universidades, empresas, gobiernos, despachos, medios, proveedores y organizaciones locales mantienen servidores de correo propios, clientes webmail expuestos o sistemas heredados sin actualización constante, el patrón sí les importa. La digitalización del país sigue aumentando: la ENDUTIH 2024 del INEGI estimó que 83.1% de la población de seis años y más usa internet, equivalente a 100.2 millones de personas, y que 73.6% de los hogares cuenta con acceso a internet. Más operación digital significa más dependencia de plataformas, más cuentas, más correo, más colaboración y más superficie expuesta.
La parte incómoda es que muchas organizaciones siguen tratando el correo como una herramienta de oficina y no como infraestructura crítica. Se invierte en antivirus de usuario, capacitación anti-phishing y filtros, que son necesarios, pero luego el servidor queda como ese cuarto de archivo al que nadie entra hasta que huele raro. Y en seguridad, lo que no se revisa se convierte en fe. Los grupos de ciberespionaje entienden perfectamente esa diferencia: atacar al usuario es ruidoso y repetitivo; atacar infraestructura puede ser más silencioso y mucho más rentable si abre la red completa.
Durante la presentación local de la investigación, Luis Isselin, Country Manager de México en Proofpoint, resumió el cambio de enfoque de forma directa:
Cita original: “Durante mucho tiempo, las organizaciones concentraron sus esfuerzos en proteger a los usuarios frente al phishing. Hoy eso ya no es suficiente. Estamos viendo cómo los atacantes dirigen cada vez más sus esfuerzos hacia la infraestructura que sostiene el correo electrónico, porque saben que comprometer un servidor puede abrir la puerta al resto de la organización. En un mercado como México, donde la digitalización continúa acelerándose, proteger el correo debe entenderse como una prioridad estratégica para la continuidad del negocio.” — Luis Isselin, Country Manager de México en Proofpoint.
Un detalle interesante de la investigación es que Proofpoint observó indicios de que IceCube pudo haber sido creado con ayuda de un modelo de lenguaje grande. La firma lo plantea como una probabilidad, no como un hecho absoluto, a partir de características como comentarios extensos, fases bien marcadas y referencias a actualizaciones o correcciones dentro del propio código. Esto no significa que la IA generativa haya inventado la campaña ni que estemos ante un ciberataque autónomo de ciencia ficción; significa algo más terrestre y por eso más preocupante: herramientas de IA pueden estar reduciendo fricción para documentar, estructurar o acelerar partes del desarrollo malicioso.
Lo confirmado vs lo que debe matizarse
| Punto | Estado | Comentario DD |
|---|---|---|
| Campaña contra universidades de Estados Unidos y Canadá | Confirmado por Proofpoint | El reporte público se concentra en esos objetivos |
| Atribución a China | Evaluación de Proofpoint | Debe redactarse como “probablemente alineado con China”, no como hecho estatal absoluto |
| Uso de Roundcube vulnerable | Confirmado por Proofpoint | El riesgo aplica a organizaciones con instancias vulnerables o mal mantenidas |
| IceCube como stealer | Confirmado por Proofpoint | Roba credenciales, cookies, 2FA y datos de sesión |
| Uso de VShell | Confirmado por Proofpoint | Puede facilitar pivote y acceso persistente |
| IA generativa en el malware | Indicio / probabilidad | Proofpoint lo plantea como probable, no como certeza total |
| Impacto directo en México | No confirmado en el reporte público | La relevancia local es por exposición potencial y dependencia digital |
| Recomendación central | Confirmada por lógica de defensa | Tratar servidores de correo como infraestructura crítica expuesta a internet |
Las recomendaciones no son glamorosas, pero sí son las que importan: mantener servidores actualizados, aplicar parches de seguridad, revisar versiones de Roundcube u otros webmail, usar autenticación multifactor, monitorear accesos anómalos, proteger credenciales, revisar políticas de DMARC, auditar sistemas expuestos y tratar el correo como infraestructura crítica, no como una aplicación más. Proofpoint también reportó que los correos usados en la campaña venían de remitentes comprometidos y dominios abusados por políticas DMARC laxas, lo que refuerza que la defensa no vive en una sola herramienta, sino en varias capas que tienen que trabajar juntas.
Aporte DD: La investigación de Proofpoint es importante porque mueve la conversación del “no le des clic al correo raro” hacia algo más profundo: ¿quién está cuidando el servidor que permite que ese correo exista? En organizaciones grandes, universidades y empresas con infraestructura propia, el correo no es solo una bandeja de entrada; es identidad, autenticación, historial, operación y puerta de acceso a otros servicios. El phishing sigue siendo un problema, claro, pero si el servidor está vulnerable, el usuario puede hacer todo bien y aun así la organización quedar expuesta. Al final del día, no basta con entrenar al piloto si dejamos el hangar abierto.




Comentarios
Aún no hay comentarios. ¡Sé el primero en comentar!