El mundo de la seguridad informática vuelve a mirar hacia los servidores de correo de Zimbra después de que investigadores y agencias gubernamentales detectaran explots activos aprovechando una falla grave en Zimbra Collaboration Suite (ZCS). Se trata de la vulnerabilidad CVE-2025-66376, un error de tipo stored cross-site scripting (XSS) que, en entornos vulnerables, puede ser el primer paso para lograr ejecución remota de código y tomar el control del servidor de correo y de cuentas individuales.
La propia Zimbra publicó un parche en noviembre para corregir el fallo; las versiones afectadas y las actualizaciones están detalladas en su aviso de lanzamiento, por lo que la recomendación inmediata para administradores es aplicar esos parches cuanto antes. Puede consultarse la nota oficial de la compañía en su blog técnico: Patch release — Zimbra 10.1.13 / 10.0.18. El fallo también aparece referenciado en el catálogo de vulnerabilidades del NVD: CVE-2025-66376 (NVD).
La gravedad del asunto escaló cuando la Cybersecurity and Infrastructure Security Agency (CISA) de Estados Unidos añadió la vulnerabilidad a su catalogo de vulnerabilidades explotadas en la práctica y ordenó a las agencias federales corregir sus servidores en un plazo de dos semanas, en aplicación de la Binding Operational Directive 22-01. La alerta y la inclusión en el catálogo subrayan que hay explotación activa en el terreno y la obligación de mitigar en entornos federales: Aviso de CISA sobre la inclusión de CVE-2025-66376 y el acceso al catálogo de vulnerabilidades explotadas aquí. La directiva vinculante que fuerza la respuesta rápida está disponible en la web de CISA: BOD 22-01.
En el plano operativo, el grupo APT28 —vinculado a la inteligencia militar rusa (GRU) y conocido también como Fancy Bear o Strontium— ha sido atribuido por investigadores a campañas que abusan de esta vulnerabilidad para atacar entidades ucranianas. El laboratorio Seqrite publicó un análisis técnico de la campaña bautizada como Operation GhostMail, donde documenta cómo los atacantes envían correos sin adjuntos maliciosos ni enlaces sospechosos: la cadena de ataque reside íntegramente en el cuerpo HTML del mensaje. El informe de Seqrite está disponible en: Operation GhostMail — Seqrite Labs.
El mecanismo descrito por los investigadores es técnicamente sencillo pero efectivo: el correo entrega un JavaScript ofuscado que aprovecha el XSS almacenado cuando el destinatario abre el mensaje en una sesión webmail de Zimbra vulnerable. El script se ejecuta silenciosamente en el navegador del usuario y comienza a recolectar credenciales, tokens de sesión, códigos de respaldo de autenticación de dos factores, contraseñas guardadas en el navegador y hasta el contenido del buzón de correo de los últimos 90 días, enviando esa información a los servidores de los atacantes por canales como DNS y HTTPS. Ese comportamiento convierte un simple mensaje en una intrusión completa sin necesidad de archivos adjuntos ni macros.
Este tipo de explotación no es nueva en el ecosistema de Zimbra: la plataforma ha sido un objetivo recurrente para actores estatales y criminales. En campañas anteriores firmas vinculadas a Rusia ya habían abusado de fallos XSS y otros vectores en Zimbra para espiar comunicaciones de organizaciones alineadas con la OTAN y para comprometer miles de servidores vulnerables en diferentes olas de intrusión. La recurrencia del riesgo tiene que ver con la amplia adopción de Zimbra en gobiernos y empresas, lo que convierte a cualquier fallo explotable en un vector de alto impacto.
Si administras servidores Zimbra o gestionas cuentas que dependen de esa infraestructura, hay una serie de medidas urgentes que conviene implementar de forma coordinada y con prioridad. La primera y más crítica es aplicar la actualización oficial de Zimbra que corrige la CVE-2025-66376. Además, validar políticas de bloqueo de correo HTML en entornos sensibles, endurecer el control de acceso a las consolas administrativas, revisar registros de inicio de sesión y actividad de buzones, forzar la rotación de credenciales y de claves de respaldo 2FA cuando haya sospecha de compromiso, y controlar el trafico saliente (incluyendo consultas DNS) para detectar o bloquear exfiltración atípica son pasos que reducen el riesgo mientras se completa la corrección.
Más allá de mitigaciones técnicas puntuales, la inclusión de la vulnerabilidad en el catálogo de CISA y la orden a agencias federales sirven como recordatorio de que la respuesta a incidentes y la higiene básica —parcheo rápido, monitoreo y segmentación de redes— siguen siendo la defensa más eficaz contra campañas dirigidas por actores avanzados. Para administradores que necesiten la referencia oficial del parche, la nota de Zimbra indica las versiones corregidas y pasos recomendados: Parche y actualización — Zimbra, y el aviso de CISA contextualiza la amenaza y las obligaciones en el sector público: Alerta de CISA.
La lección para organizaciones pequeñas y grandes es clara: las puertas de entrada pueden estar en lugares que no parecen peligrosos —un correo sin adjuntos ni enlaces puede ser suficiente para comprometer un sistema entero si el servicio de correo presenta una vulnerabilidad explotable—. Mantener software actualizado, reducir la superficie de ataque (por ejemplo, deshabilitando renderizado activo de HTML en webmail cuando no es necesario) y preparar planes de respuesta que incluyan la revocación rápida de accesos y la inspección de tráfico saliente son medidas que marcan la diferencia cuando aparecen campañas sofisticadas como Operation GhostMail.
Si quieres profundizar en los detalles técnicos del exploit o necesitas las referencias citadas en este artículo, aquí están las fuentes consultadas: el registro de la vulnerabilidad en el NVD (CVE-2025-66376), el aviso de parche de Zimbra (Zimbra Patch Release), el informe técnico de Seqrite sobre Operation GhostMail (Seqrite Labs) y la comunicación oficial de CISA (Alerta de CISA), además del catálogo de vulnerabilidades explotadas (Known Exploited Vulnerabilities Catalog).
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...