Palo Alto Networks ha advertido sobre una vulnerabilidad de severidad crítica en el portal de autenticación User‑ID (conocido como Captive Portal) de PAN‑OS que ya está siendo explotada en ataques dirigidos. Identificada como CVE‑2026‑0300, se trata de un desbordamiento de búfer que permite a un atacante no autenticado ejecutar código arbitrario con privilegios de root en dispositivos PA‑Series y VM‑Series expuestos a Internet mediante paquetes especialmente manipulados.
La capacidad de ejecutar código como root en un cortafuegos implica un riesgo extremo: un atacante puede desactivar controles, crear persistencia, interceptar o manipular tráfico, y utilizar el equipo comprometido como trampolín para moverse lateralmente dentro de la red. Por eso Palo Alto ha calificado el fallo con la máxima severidad y ha indicado que ya hay evidencia de explotación limitada contra portales de autenticación accesibles desde direcciones no confiables o la Internet pública.
Si su organización utiliza PAN‑OS, verifique de inmediato si el portal de autenticación está habilitado y expuesto. Palo Alto ofrece una página con detalles técnicos y recomendaciones iniciales en su aviso oficial: https://security.paloaltonetworks.com/CVE-2026-0300. También es conveniente comprobar la configuración concreta del Captive Portal en la documentación técnica del producto para identificar y mitigar rápidamente la exposición: https://docs.paloaltonetworks.com/…/configure-captive-portal.
Un dato preocupante de contexto: servicios de rastreo de Internet detectan miles de instancias de firewalls PAN‑OS accesibles públicamente. Shadowserver, por ejemplo, reporta más de 5.800 firewalls VM‑Series expuestos online, concentrados principalmente en Asia y Norteamérica; eso significa que la superficie de ataque potencial es grande y que muchas organizaciones podrían estar en riesgo mientras no se aplique un parche o mitigación definitiva. Consulte el seguimiento público aquí: https://dashboard.shadowserver.org/….
Hasta que Palo Alto publique un parche, la medida más urgente y práctica es reducir la exposición: restrinja el acceso al User‑ID Authentication Portal a zonas de red de confianza y, si no puede garantizar esa restricción, desactive el portal temporalmente. Esa recomendación es coherente con las prácticas de seguridad en gestión de perímetros: nunca dejar servicios sensibles accesibles desde redes no confiables sin controles adicionales.
Además de deshabilitar o acotar el acceso, implemente controles compensatorios: aplique reglas de listas de control de acceso (ACL) en bordes de red y en proveedores de tránsito para bloquear acceso a la interfaz desde direcciones públicas, obligue el uso de VPNs o túneles de gestión para la administración remota, y asegure que la gestión del firewall no esté directamente expuesta a Internet. Monitorice con prioridad los logs de eventos y las alertas de integridad del dispositivo buscando comportamientos anómalos (reinicios no planificados, cambios de configuración no autorizados, conexiones a IPs sospechosas).
Si sospecha compromiso, proceda con un plan de respuesta: aíslese el equipo afectado de la red, recopile artefactos forenses (logs del sistema, configuraciones, capturas de tráfico), no confíe en la imagen del dispositivo hasta una reconstrucción limpia desde una imagen conocida y firme las credenciales administrativas tras la recuperación. Considere la ayuda de un equipo forense externo y comunique el incidente a las partes pertinentes según requisitos regulatorios y contratos.
Esta vulnerabilidad se enmarca en una tendencia: en los últimos meses varios fallos de PAN‑OS han sido explotados en la naturaleza, mostrando que los dispositivos de seguridad con interfaces expuestas son objetivos prioritarios para atacantes que buscan control persistente. Dado que Palo Alto es proveedor de una porción amplia de la infraestructura crítica y corporativa global, los impactos potenciales abarcan desde interrupciones puntuales hasta brechas que comprometan información sensible de clientes y empleados.
Finalmente, documente y automatice la detección y mitigación: inventarie todos los firewalls y portales de autenticación, priorice aquellos expuestos públicamente, aplique reglas de acceso emergentes y planifique la aplicación del parche oficial en cuanto esté disponible. Manténgase informado a través del aviso del fabricante y de feeds de inteligencia reputados; la ventana entre la divulgación y la explotación masiva puede ser corta, por lo que la rapidez y la disciplina operativa son claves para minimizar el impacto.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...