Un devastador ciberataque ha comprometido la seguridad del proveedor de correo alemán Cock.li, exponiendo información personal de más de 1 millón de usuarios. Los atacantes explotaron una vulnerabilidad crítica de inyección SQL en Roundcube Webmail, convirtiendo este incidente en una de las brechas de seguridad más significativas en el sector de servicios de correo privados.
Dimensión del Compromiso de Datos
La administración del servicio confirmó que el ataque afectó precisamente a 1,023,800 cuentas de usuario que habían accedido al servicio desde 2016. Adicionalmente, se comprometieron los datos de contacto de 93,000 usuarios adicionales, amplificando el alcance de esta brecha de seguridad.
Afortunadamente, los datos más sensibles permanecieron protegidos. Las contraseñas de usuarios, el contenido de los correos electrónicos y las direcciones IP no fueron comprometidos, ya que esta información crítica se almacenaba en bases de datos separadas que los atacantes no lograron penetrar.
Análisis Técnico: Explotación de CVE-2021-44026
La investigación forense reveló que los ciberdelincuentes aprovecharon la vulnerabilidad conocida CVE-2021-44026, una falla de inyección SQL en Roundcube Webmail. Esta vulnerabilidad permite a los atacantes ejecutar consultas SQL arbitrarias contra la base de datos de la aplicación, obteniendo acceso no autorizado a la información almacenada.
Irónicamente, el equipo de Cock.li había estado analizando recientemente una vulnerabilidad RCE más reciente en Roundcube (CVE-2025-49113), que ya está siendo explotada activamente. Como resultado de este análisis, Roundcube fue completamente eliminado de la plataforma en junio de 2025.
Perfil del Servicio y Base de Usuarios
Cock.li opera como un proveedor gratuito de hosting de correo enfocado en la privacidad, administrado por un único administrador bajo el seudónimo Vincent Canfield. Desde su lanzamiento en 2013, el servicio se ha posicionado como una alternativa a los grandes proveedores comerciales, soportando protocolos estándar SMTP, IMAP y TLS.
Su audiencia principal incluye profesionales de ciberseguridad, entusiastas del software libre y usuarios desconfiados de las grandes corporaciones tecnológicas. Sin embargo, el servicio también ha ganado popularidad entre cibercriminales, incluyendo miembros de grupos de ransomware como Dharma y Phobos.
Cronología del Incidente y Respuesta
Los primeros indicios de problemas surgieron a finales de la semana pasada cuando Cock.li cesó operaciones abruptamente sin explicación. Posteriormente, apareció en el foro de hackers XSS una oferta para vender dos bases de datos con información de usuarios del servicio. El atacante estableció el precio del dump en mínimo un bitcoin (aproximadamente $104,000 USD).
La confirmación oficial del compromiso llegó días después, cuando la administración publicó una declaración detallada sobre el incidente. Se recomienda encarecidamente a todos los usuarios activos desde 2016 cambiar inmediatamente las contraseñas de sus cuentas.
Impacto en la Industria de Ciberseguridad
Los administradores de Cock.li reconocieron que mejores prácticas de seguridad podrían haber prevenido este incidente. En su comunicado oficial declararon: «Cock.li nunca debería haber usado Roundcube». El servicio ha decidido discontinuar permanentemente la oferta de la interfaz web Roundcube.
Los expertos en seguridad señalan que esta filtración podría tener valor significativo para investigadores y autoridades, ya que la información expuesta podría facilitar la identificación de criminales que utilizan activamente esta plataforma.
Este incidente subraya la importancia crítica de mantener actualizados los componentes de software y implementar estrategias de seguridad multicapa. Las organizaciones deben realizar auditorías regulares de seguridad y aplicar parches de vulnerabilidades inmediatamente, especialmente en sistemas que procesan datos confidenciales de usuarios. La segmentación adecuada de bases de datos, como demostró Cock.li al proteger las contraseñas y contenido de emails, puede limitar significativamente el impacto de futuras brechas de seguridad.
