Qué pidió Progress a los clientes

La instrucción de Progress Software fue tajante: apagar la máquina. El 10 de julio de 2026, con una cobertura más amplia al día siguiente, se pidió a los administradores con ShareFile y Storage Zone Controllers locales apagar físicamente esos controladores ante una amenaza que el proveedor calificó de creíble.

No hay parche que aplicar, ni CVE con nombre que seguir, ni detalle público sobre la amenaza en sí. Progress también dejó claro que bloquear el acceso en la capa de nube no basta. La exposición es el propio controlador, el equipo situado dentro de la red del cliente, y la única guía sobre la mesa es dejar de ejecutarlo.

Una vulnerabilidad de Progress de gravedad 9,8, CVE-2026-2699, circula por ahí, pero Progress no la ha vinculado oficialmente a esta advertencia. Para un responsable la posición práctica es simple e incómoda: un proveedor de confianza le dice que el estado más seguro de su producto es apagado.

Por qué 'apagarlo' supera a 'esperar un parche'

Tirar del enchufe es el paso honesto cuando no hay nada que parchear. Un apagado elimina la superficie de ataque de inmediato, mientras que esperar invita al escenario exacto que la industria ya vivió con MOVEit, el anterior producto de transferencia de archivos de Progress cuya crisis de 2023 provocó una de las mayores oleadas de brechas en Europa.

Ese precedente es la razón por la que esta advertencia pesa más allá de una sola línea de producto. La misma categoría de software de transferencia de archivos de confianza, situada en la costura donde documentos sensibles se mueven entre socios, ha producido ya dos emergencias declaradas por el proveedor del mismo suministrador. Cuando la solución no está disponible, la única palanca que controla un responsable es la disponibilidad, y apagar el servicio es la única acción que ningún atacante puede adelantar.

El simulacro de riesgo de terceros que se debe a sí mismo

La lección aquí no es este único producto. Es que sus proveedores de transferencia gestionada de archivos y de intercambio de ficheros son un riesgo de terceros concentrado, y que una instrucción repentina de apagar un sistema en producción es un simulacro que ya debería poder ejecutar bajo NIS2 y DORA.

Ambos regímenes tratan un evento así, activado por un proveedor, como un incidente de terceros notificable, y el plazo puede empezar antes de confirmarse cualquier compromiso. Eso significa que las preguntas que hoy merece la pena responder no son solo sobre ShareFile: qué proveedores podrían enviarle mañana el mismo mensaje, quién tiene la autoridad para apagar un sistema en menos de una hora, y con qué rapidez podría presentar la notificación que exige la ley.

Haga el ejercicio ahora, mientras solo le cuesta una tarde. Las empresas que gestionarán con calma la próxima de estas llamadas son las que ensayaron el apagado antes de que un proveedor lo forzara.