El Corazón de tus Backups Bajo Fuego Cruzado
Severidad 5 — Crítica
Backup & Disaster Recovery
Actor: BlackCat/ALPHV
CVSS 10.0
En CISA KEV
Un atacante remoto puede ejecutar código arbitrario en Commvault Command Center sin necesidad de credenciales. La infraestructura que protege tus datos más críticos se ha convertido en la autopista directa hacia ellos.

Qué Pasó: Bypass Total de Autenticación
CVE-2025-34028 expone una vulnerabilidad de path traversal en Commvault Command Center que permite a atacantes remotos no autenticados ejecutar código arbitrario en el sistema. La falla permite navegar fuera de directorios autorizados mediante secuencias como ../../../ para acceder a archivos críticos del sistema operativo y ejecutar comandos directamente.
CISA agregó esta vulnerabilidad al catálogo KEV el 2 de mayo de 2025, confirmando explotación activa en entornos reales con priorización de vulnerabilidades en explotación activa. Commvault ha publicado un parche de emergencia que requiere aplicación inmediata dado el CVSS 10.0 y la naturaleza crítica de los sistemas de backup como infraestructura de disaster recovery.
Bypass autenticación
Ejecución remota
Ventana explotación
CISA confirmado
Los sistemas de backup contienen réplicas exactas de datos críticos corporativos y credenciales de servicios. Su compromiso expone simultáneamente toda la información que la organización consideró valiosa para respaldar.
Por Qué Importa para tu Organización
1. El vector: infraestructura de confianza como superficie de ataque
Commvault Command Center no es un sistema periférico — es el cerebro que orquesta toda la estrategia de backup corporativo. Su compromiso significa que el atacante hereda control sobre los sistemas que deberían ser tu último recurso de recuperación ante desastres. Los sectores financiero y manufacturero mexicano confían masivamente en Commvault para cumplimiento regulatorio fintech regulada ante CNBV.
2. La motivación: acceso a la corona de datos corporativos
BlackCat/ALPHV se especializa históricamente en la destrucción de sistemas de backup para maximizar el impacto de ransomware. Un Command Center comprometido les entrega no solo acceso a datos actuales, sino a la capacidad de corromper o cifrar backups históricos, eliminando opciones de recuperación independiente.
3. El contexto México/LATAM: infraestructura híbrida masiva
Las organizaciones mexicanas despliegan Commvault en configuraciones híbridas conectando datacenters locales con AWS, Azure y GCP. El sector financiero (BBVA, Santander, Banorte) utiliza estas integraciones para DR cross-region. La manufactura 4.0 (Cemex, Alfa, Femsa) opera Command Center para backup de sistemas ERP críticos. Un compromiso abre múltiples superficies de ataque simultáneamente.
El Actor Detrás del Ataque
Ransomware Gang
Confianza: Probable
BlackCat (también conocido como ALPHV) fue uno de los grupos de ransomware más destructivos del ecosistema RaaS entre 2021-2023, responsable de más de 1,000 víctimas confirmadas incluyendo MGM Resorts, MeridianLink y Change Healthcare. Su especialización técnica en double-extortion y destrucción sistemática de infraestructura de backup los convirtió en la amenaza preferencial para organizaciones con sistemas de disaster recovery sofisticados.
Aunque su infraestructura principal fue disrumpida por el FBI en diciembre 2023, sus afiliados continúan operando bajo nuevas marcas y herramientas. Los últimos 90 días muestran una ausencia operativa pública que sugiere reconfiguración táctica o migración hacia tooling privado sin detección en threat intelligence convencional.
Según CISA KEV, la inclusión de CVE-2025-34028 confirma que actores sofisticados están explotando activamente esta vulnerabilidad en entornos reales.
TTPs Documentadas — MITRE ATT&CK
| Técnica | ID | Táctica |
|---|---|---|
| Exploit Public-Facing Application | T1190 | Initial Access |
| Command and Scripting Interpreter | T1059 | Execution |
| File and Directory Discovery | T1083 | Discovery |
| PowerShell | T1059.001 | Execution |
Fuente: MITRE ATT&CK ·
Análisis: NVD Database
Parche crítico disponible: CV_2025_04_1 requiere aplicación inmediata dentro de 24 horas debido a CVSS 10 y presencia en CISA KEV.
Prerequisitos: Validar dependencias con CommServe y MediaAgents. El parche requiere reinicio de servicios Command Center — coordinar ventana de mantenimiento mínima.
Post-patchado: Verificar funcionalidad de backup jobs críticos y confirmar cierre de vector de path traversal mediante testing controlado.
Qué Deberías Hacer en las Próximas 48 Horas
La ventana de oportunidad para contener este riesgo se cierra rápidamente. BlackCat/ALPHV históricamente weaponiza vulnerabilidades críticas antes de que la comunidad de threat intelligence las documente completamente.
Aislamiento Inmediato
Desconectar todas las instancias de Commvault Command Center del acceso externo directo. Implementar segmentación de red mediante security groups restrictivos. Verificar que puertos 8181, 8400, 443 no estén expuestos a Internet sin MFA.
Aplicación de Parche
Descargar e instalar parche CV_2025_04_1 en ventana de mantenimiento coordinada. Priorizar sistemas con exposición externa. Validar dependencias CommServe/MediaAgents antes del reinicio de servicios.
Auditoría Forense
Revisar logs access.log y error.log buscando patrones path traversal (../, %2e%2e%2f). Verificar integridad de backups recientes mediante checksums independientes. Buscar IOCs de BlackCat/ALPHV en infraestructura con monitoreo SOC 24/7.
Protección Cloud
Rotar service accounts y API keys de integración AWS/Azure/GCP. Implementar Web Application Firewall bloqueando patrones de path traversal. Activar backup offline para activos críticos mientras se confirma integridad del entorno.
Ejecuta un tabletop exercise simulando compromiso de Command Center para validar que tus procedimientos de disaster recovery funcionan independientemente de la infraestructura Commvault, con apoyo de respuesta a incidentes gestionada.
Cómo Proteger tu Organización
La defensa efectiva contra vectores como CVE-2025-34028 requiere visibilidad completa sobre infraestructura crítica y capacidad de respuesta automatizada ante amenazas emergentes. Nuestras capacidades de detección proactiva identifican patrones de path traversal en tiempo real, mientras que la correlación de eventos con threat intelligence actualizada permite reconocer IOCs de grupos como BlackCat/ALPHV antes de que completen la cadena de ataque.
La combinación de monitoreo continuo de vulnerabilidades, segmentación de red dinámica y respuesta orquestada marca la diferencia operativa crítica. Cuando los sistemas de backup se convierten en vectores de entrada, la capacidad de aislar automáticamente infraestructura comprometida y mantener procedimientos de recovery independientes protege la continuidad del negocio incluso ante actores sofisticados con acceso privilegiado.
Impacto Reputacional y en Medios
La cobertura mediática de vulnerabilidades críticas en sistemas de backup genera preocupación inmediata en boards corporativos, especialmente cuando se confirma explotación activa mediante inclusión en CISA KEV. Los stakeholders entienden instintivamente que el compromiso de infraestructura de disaster recovery elimina el último recurso de recuperación ante incidentes.
Para el CISO, este escenario representa la prueba definitiva de la arquitectura de seguridad: explicar cómo un sistema diseñado para proteger datos se convirtió en el vector de compromiso requiere evidencia de controles defensivos multicapa y procedimientos de recovery independientes que funcionen incluso cuando la infraestructura principal de backup está comprometida.
Fuentes
Continúa en el Capítulo ZDU — El Respaldo del Enemigo →
G.E.N.N.I.E. — Centro de Inteligencia Simbiótica
CVE-2025-34028 representa una paradoja operacional: el sistema diseñado para la recuperación ante desastres se convierte en el desastre mismo. La combinación de path traversal sin autenticación y acceso a repositorios críticos crea un riesgo exponencial que trasciende dominios tradicionales de seguridad.
Luna Varela de la Vega — ZDU-INTEL-VARELA
Enlace de Inteligencia Estratégica. Jefa de Relaciones Públicas del ZDU. Autora editorial.
Zero Day Universe es una construcción narrativa original de QMA. Sus personajes, tramas y casos están inspirados en escenarios reales de ciberseguridad y no representan incidentes literales ni casos de clientes.
Aftermath — Las voces que quedan
Cuatro lentes paralelas. Mismo expediente. Lo que cada una vio, en su voz.
Lo registré antes que la prensa. Silencio operativo total de ALPHV en noventa días — no inactividad, reconfiguración. Cero IOCs públicos significa tooling privado o afiliados operando bajo nuevas marcas. El expediente del actor ya tenía el patrón: más de mil víctimas, todas con backup destruction como firma. CVE-2025-34028 encaja perfectamente en su playbook histórico.
El reloj de notificación LFPDPPP corre desde confirmación de egress, no desde acceso no autorizado a repositorios. Setenta y dos horas si hay exfiltración comprobada de datos personales. La pregunta legal no es si el atacante pudo leer los backups — es si los sacó. Esa distinción define si hay obligación de notificar a INAI o no. Documenté ambos escenarios para el expediente.
El control ISO 27001 A.12.3 — protección de información en backup — quedó expuesto. CIS Control 11 — data recovery capability — también. Cualquier auditor que haya firmado un Statement of Applicability asumiendo que Commvault operaba con autenticación robusta tiene un gap material pendiente. Mapeé la desviación en el marco de próximas auditorías. El control cambió de verde a ámbar.
La superficie no es AWS, ni Azure, ni GCP — es lo que comparten. Commvault se integra con APIs privilegiadas de los tres. Service accounts con permisos de orquestación de snapshots, lifecycle policies en S3 Glacier, replicación cross-region. Esas credenciales vivían en el filesystem del servidor comprometido. Roté todas. Implementé microsegmentación: Command Center solo habla con storage buckets específicos. Nada más.
La Traición del Respaldo Eterno
Cuando el sistema diseñado para la resurrección se convierte en la puerta hacia el colapso total

El primer backup no falló. Completó con éxito. Validación verde. Logs limpios. La consola de Commvault Command Center reportaba 100% de integridad en la réplica nocturna. Nadie vio que el sistema que custodiaba la resurrección de toda la organización ya era territorio enemigo.
El path traversal entró sin autenticación. Sin credenciales. Sin fricción. ../../../windows/system32/cmd.exe — una cadena de texto que atravesó capas de seguridad como si no existieran. El servidor de respaldo, diseñado para ser inviolable, ejecutó comandos PowerShell dictados desde el exterior. No hubo alarma. El sistema de backup no tenía sensores propios — nadie esperaba que el arca de Noé fuera el caballo de Troya.
Tres plantas manufactureras en Bajío. Dos hospitales en CDMX. Un banco regional. Todos confiaban en la misma infraestructura Commvault para disaster recovery. Todos compartían la misma vulnerabilidad silenciosa: CVE-2025-34028, CVSS 10.0, el fallo perfecto que convirtió la salvación en sentencia.
Detección
KEV-1 no buscaba backups comprometidos. Buscaba anomalías en tráfico de replicación nocturna. Lo que encontró fue peor: un patrón de acceso imposible. Requests HTTP hacia Command Center desde IPs no corporativas. Sin headers de autenticación. Con respuestas 200 OK.

Tengo doscientos trece requests exitosos a endpoints administrativos. Sin tokens. Sin cookies de sesión. El servidor respondió como si el atacante ya tuviera las llaves. CVE-2025-34028 — path traversal sin autenticación. Commvault Command Center. Todas las instancias expuestas a Internet son territorio hostil hasta prueba contraria.
Eris recibió la alerta a las 04:47. No esperó al amanecer. En el SOC subterráneo, los monitores proyectaban una verdad brutal: el atacante no necesitó romper nada. La puerta estaba arquitectónicamente abierta.
T1190 — Exploit Public-Facing Application. Entrada sin fricción. De ahí escala inmediato a T1059 — Command and Scripting Interpreter. PowerShell remoto. El atacante tiene ejecución directa en el filesystem del servidor de backup. T1083 — File and Directory Discovery. Está mapeando qué respaldamos, dónde y cuándo. Cada snapshot es un mapa de nuestra infraestructura crítica.
Pausó exactamente dos segundos cuando el CISO entró al war room. No dijo nada. Volvió a los logs. Pero algo en su postura cambió — la espalda ligeramente más recta, los dedos sobre el teclado un milímetro más precisos. Nadie más lo notó.

Escalación · Análisis · Contención · Forensia
NeonMind no levantó la voz. No necesitaba hacerlo. Cuando habló, el war room se reconfiguró alrededor de su autoridad.

Fast Response Protocol. Todas las funciones del NIST CSF 2.0 están comprometidas simultáneamente. PROTECT falló — acceso no autenticado a sistemas críticos. IDENTIFY no puede catalogar el alcance porque el atacante opera desde la infraestructura que usamos para conocernos a nosotros mismos. DETECT llegó tarde. RESPOND está construyendo la jugada ahora, pero sin backups confiables. Necesito un inventario completo de instancias Commvault expuestas. Necesito saber qué respaldamos que toque OT. Y necesito a Stratos segmentando esto antes de que el atacante pivote hacia producción.
Su mirada se detuvo un segundo de más en el CISO. Algo imperceptible — tensión creativa de mantener distancia profesional mientras el sistema entero vibra al borde del colapso. Volvió a coordinar. Pero ese segundo quedó suspendido en el aire.
Magna entró al war room como si viniera del sótano del mundo. Traía un diagrama de red en papel — topología física de una planta textil en Aguascalientes. Lo puso sobre la mesa sin ceremonia.
Commvault respalda configuraciones de nuestros PLCs Siemens. Setpoints de temperatura. Secuencias de arranque. Algoritmos de control de calidad. Si el atacante extrajo esos backups, tiene el manual de operación completo de la infraestructura OT. Sabe exactamente qué válvula cerrar para detener producción. Qué temperatura alterar para arruinar lotes completos. OWASP OT A02:2025 — Insecure Network Architecture. El puente entre IT y OT está en los respaldos. Y ese puente acaba de convertirse en autopista enemiga.
Pausa. El data center bajo tierra donde los racks de Commvault parpadean con LEDs verdes — luces que ya no significan seguridad sino exposición total. Magna observa esas luces y procesa que cada backup comprometido es una puerta abierta hacia infraestructura que mantiene viva la operación física. No lo dice en voz alta. Pero su cuerpo habla por ella: hombros tensos, mandíbula apretada, manos quietas sobre la mesa como si sujetara algo que amenaza con caer.
La contención fue quirúrgica y brutal. Stratos desplegó security groups en AWS bloqueando todo tráfico entrante a instancias Command Center excepto rangos IP corporativos preautorizados. NeonMind ordenó rotación inmediata de service accounts con acceso a APIs de S3, Blob Storage y Cloud Storage. No había tiempo para elegancia — solo para detener el sangrado.
Eris validó logs de acceso en las últimas 72 horas. Encontró doscientos trece requests maliciosos. Todos exitosos. Ninguno bloqueado. El patrón era consistente: path traversal con encoding múltiple (%2e%2e%2f, %252e%252e%252f) que evadía filtros básicos. El atacante conocía las debilidades arquitectónicas de Command Center antes de que Commvault publicara el advisory.
La forensia reveló que no hubo detonación inmediata. El atacante se movió con paciencia: reconocimiento del filesystem, extracción de archivos de configuración, mapeo de topología de red. No destruyó nada. Todavía. Esa contención — ese silencio táctico — era más ominoso que un ataque ruidoso.
Inteligencia
Blacktrace no necesitó buscar en foros públicos. El expediente ya estaba abierto. BlackCat/ALPHV — o lo que quedaba operativo de sus afiliados después del takedown FBI de diciembre 2023. Más de mil víctimas confirmadas entre 2021-2023. Especialización en double-extortion y destrucción sistemática de backups. MGM Resorts. Change Healthcare. MeridianLink. Todos cayeron porque ALPHV no solo cifraba — borraba las rutas de resurrección.

Silencio operativo total en los últimos noventa días. Cero IOCs activos en ThreatFox. Cero víctimas públicas. Eso no significa que estén inactivos — significa que están operando por debajo del radar de threat intelligence comunitaria. ALPHV históricamente explotaba zero-days antes de que existieran IOCs documentados. Este CVE-2025-34028 tiene firma táctica de su playbook: entrada sin fricción, acceso privilegiado inmediato, foco en infraestructura de respaldo. México no tiene víctimas confirmadas en su historial — pero eso no equivale a inmunidad. Equivale a que nadie ha reportado públicamente todavía.
Eris cruzó los TTPs. El patrón encajaba. Path traversal con escalación inmediata a ejecución remota. Sin malware custom — solo herramientas legítimas del sistema operativo. PowerShell. Bash. Comandos nativos que no disparan antivirus. ALPHV dominaba esa técnica. Living off the land. Invisible hasta que ya es demasiado tarde.
Conflicto
Magna encontró el puente exacto. No era metáfora. Era un servidor físico en el sótano del hospital: una instancia Commvault dedicada exclusivamente a respaldar configuraciones de sistemas biomédicos. Ventiladores. Monitores de signos vitales. Bombas de infusión. Equipos conectados a red OT mediante VLAN segregada — pero cuyos backups vivían en el mismo Command Center comprometido.

El atacante no necesita entrar directo a OT si tiene los backups de OT. Cada configuración respaldada es un manual de operación. Sabe qué puerto Modbus controla qué bomba. Qué alarma está deshabilitada por mantenimiento. Qué equipo tiene firmware vulnerable sin parche porque está en producción 24/7. Commvault se convirtió en el oráculo que responde todas las preguntas que un atacante necesita antes de tocar infraestructura crítica. Y nosotros le dimos ese oráculo sin autenticación.
El CISO preguntó lo único que importaba:
¿Cuánto tiempo tenemos antes de que usen esa información?
Magna no respondió de inmediato. Cuando lo hizo, su voz era gravedad pura:
Ese reloj ya empezó. No sabemos en qué minuto vamos.
Contraataque

Stratos operó en tres nubes simultáneamente. AWS, GCP, Azure — todas las instancias Commvault híbridas que conectaban datacenters on-premise con almacenamiento cloud. La segmentación fue inmediata: security groups bloqueando todo tráfico no esencial, Network Security Groups aislando instancias Command Center de redes de producción, Cloud Armor y WAF rules filtrando patrones path traversal en todas las variantes posibles.
La superficie no es un CSP — es lo que comparten. Commvault se integra con APIs de S3, Blob, Cloud Storage. Usa service accounts privilegiados para orquestación automática de snapshots. Esas credenciales están en el filesystem del servidor comprometido. Rotación completa de roles IAM, secrets en Key Vault, service accounts GCP. Implementando microsegmentación: Command Center solo puede hablar con storage buckets específicos. Nada más. Ni lateral hacia compute, ni outbound hacia Internet excepto rangos Commvault oficiales para updates. El atacante perdió movilidad. Ahora solo tiene lo que ya extrajo.
La pregunta tácita flotaba en el war room: ¿qué tanto ya extrajo?
Eris validó. Veinticuatro horas limpias. Sin nuevos requests maliciosos. Sin intentos de reconexión. El atacante no insistió — señal de que probablemente ya obtuvo lo que buscaba, o que detectó la contención y se replegó tácticamente.

Setenta y dos horas de logs retrospectivos analizados. El atacante no detonó ransomware. No cifró. No destruyó. Solo observó, mapeó y extrajo. Eso significa dos cosas: o es reconocimiento para ataque posterior, o es intel para vender a terceros. ALPHV operaba ambos modelos. Vectores limpios — sin malware residual, sin persistencia obvia. Si vuelven, será con lo que aprendieron de estos backups.
Resolución
Luna Varela escribió el cierre desde una sala sin ventanas. No había triunfo en las palabras. Solo el peso de lo que ahora se sabía.
CVE-2025-34028 no fue una brecha de seguridad. Fue una revelación arquitectónica. Durante años confiamos en que los sistemas de respaldo eran santuarios inviolables — territorios fuera del campo de batalla. Commvault, Veeam, Veritas, todos los pilares de disaster recovery diseñados bajo el supuesto de que el atacante siempre vendría de afuera, nunca de adentro del arca. Ese supuesto acaba de colapsar. La infraestructura que guardaba nuestra resurrección se convirtió en el vector que entrega las llaves del reino. No hay vuelta atrás desde este conocimiento. Cada backup es ahora un punto de entrada potencial. Cada réplica nocturna, una conversación que el enemigo puede escuchar. Patcheamos. Segmentamos. Rotamos credenciales. Pero la cicatriz permanece: ya no existe el concepto de santuario digital. Todo es campo de batalla. Incluso — especialmente — los sistemas diseñados para salvarnos cuando todo lo demás falla.

Créditos de Operación
KEV-1
Detectó el patrón de acceso imposible en tráfico nocturno hacia Commvault Command Center — requests sin autenticación que recibían respuestas exitosas, señal inicial de CVE-2025-34028 activo en producción.
CISA KEV · Anomaly Detection · CVE-2025-34028
Eris Sentinel
Identificó la cadena completa de TTPs MITRE: T1190 explotación de aplicación expuesta, T1059 ejecución de comandos PowerShell, T1083 reconocimiento de filesystem — mapeando la anatomía del ataque desde entrada hasta movimiento lateral.
MITRE ATT&CK · T1190 · T1059 · T1083 · SentinelOne XDR
NeonMind
Coordinó Fast Response Protocol bajo colapso simultáneo de todas las funciones NIST CSF 2.0 — orchestró contención quirúrgica cuando PROTECT, IDENTIFY, DETECT y RESPOND fallaban en paralelo.
NIST CSF 2.0 · SOAR · Fast Response Protocol
Magna
Expuso el puente letal entre backups IT y configuraciones OT — reveló que Commvault custodiaba setpoints de PLCs, secuencias de arranque y algoritmos de control que ahora eran inteligencia enemiga.
Tenable OT · OWASP OT A02:2025 · ICS/SCADA Convergence
Stratos
Implementó microsegmentación cloud simultánea en AWS, GCP y Azure — aisló instancias Commvault, rotó roles IAM y service accounts, bloqueó path traversal en capa 7 mediante WAF rules antes de que el atacante pivotara hacia producción.
Cloud SASE · iboss · Zero Trust Segmentation · Multi-CSP
Blacktrace
Conectó el CVE con el perfil táctico de BlackCat/ALPHV — más de mil víctimas históricas especializadas en destrucción de backups, silencio operativo de 90 días que sugiere tooling privado sin IOCs públicos.
Dark Web Intelligence · Ransomware Profiling · ALPHV/BlackCat Attribution
Regulator
Mapeó el colapso de controles ISO 27001 Anexo A.12.3 (backup) y CIS Control 11 (data recovery) — documentó que la arquitectura de respaldo asumía confianza implícita sin autenticación robusta, gap crítico para próximas auditorías.
ISO 27001 · CIS Controls · GRC Framework
Veritas
Evaluó obligaciones de notificación bajo LFPDPPP ante potencial exfiltración de datos personales respaldados — determinó que reloj de 72 horas se activa solo con confirmación de egress, no con acceso no autorizado a repositorios.
LFPDPPP · Privacy Law · Breach Notification
Luna Varela
Documentó la cicatriz epistémica permanente — reveló que CVE-2025-34028 no fue una vulnerabilidad técnica sino el colapso del supuesto fundamental de que los sistemas de respaldo eran santuarios inviolables fuera del campo de batalla.
Strategic Intelligence · OSINT · Editorial Narrative
G.E.N.N.I.E.
Procesó la convergencia sistémica donde infraestructura de disaster recovery se convirtió en autopista hacia OT — sintetizó que toda arquitectura de resiliencia ahora debe asumir que el backup es campo de batalla, no refugio.
AI Central Intelligence · Pattern Synthesis · Systemic Risk
BlackCat/ALPHV
Grupo de ransomware-as-a-service responsable de más de 1,000 víctimas confirmadas entre 2021-2023, especializado en double-extortion y destrucción sistemática de infraestructura de respaldo. Aunque su infraestructura principal fue disrumpida por el FBI en diciembre 2023, sus afiliados continúan operando bajo nuevas marcas con silencio táctico de 90 días sin IOCs públicos — patrón histórico antes de weaponizar zero-days sin detección comunitaria.
CVE-2025-34028 · Ransomware · T1190 · T1059





