Las redes modernas dependen cada vez más de plataformas centralizadas para gestionar cientos o miles de dispositivos; esa conveniencia, sin embargo, convierte a los paneles de administración en objetivos de alto valor. Cisco Catalyst SD‑WAN Manager —la solución de gestión que reúne en un mismo tablero el control de cientos o miles de elementos SD‑WAN— vuelve a estar en el centro de la noticia porque la propia Cisco confirmó que dos fallos de seguridad adicionales están siendo explotados en entornos reales, y ha pedido a los administradores que actualicen cuanto antes sus equipos.
Los problemas denunciados no son teóricos: hay explotación activa en la naturaleza, según la actualización de la compañía publicada recientemente. Cisco amplió la advertencia que lanzó en febrero y señaló que las vulnerabilidades identificadas como CVE‑2026‑20122 y CVE‑2026‑20128 han sido utilizadas por atacantes. Puede consultarse la nota oficial en el centro de seguridad de Cisco en este enlace: Cisco Security Advisory.
Para entender la gravedad conviene fijarse en los vectores de acceso: la vulnerabilidad catalogada como CVE‑2026‑20122 permite la sobreescritura arbitraria de ficheros y, aunque su explotación remota exige credenciales de sólo lectura con acceso a la API, ello no la hace inocua; manipulando ficheros críticos un atacante puede alterar configuraciones, plantar puertas traseras o preparar pasos posteriores para escalar privilegios. La descripción técnica de esta falla está disponible en el NVD: CVE‑2026‑20122 (NVD).
La otra vulnerabilidad activa, CVE‑2026‑20128, es de menor severidad según la clasificación pero igualmente preocupante porque permite la filtración de información sensible si un atacante local cuenta con credenciales válidas en vManage. Los detalles se pueden revisar en el registro de vulnerabilidades del NIST: CVE‑2026‑20128 (NVD). Cisco destaca que ambos fallos afectan al software de Catalyst SD‑WAN Manager independientemente de cómo estén configurados los dispositivos, lo que amplía la superficie de riesgo.
Este aviso llega en contexto: hace poco se hizo pública la explotación sostenida desde al menos 2023 de una vulnerabilidad crítica en la misma suite de gestión, identificada como CVE‑2026‑20127, que permitió a atacantes sofisticados añadir pares “rogue” (falsos peers) a redes SD‑WAN comprometidas y así insertar aparatos maliciosos que parecen legítimos. La información sobre esa vulneración figura también en las bases de datos públicas: CVE‑2026‑20127 (NVD).
La sensibilidad del problema motivó respuestas de las autoridades. En Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) lanzó la Directiva de Emergencia ED 26‑03, que obliga a las agencias federales a inventariar dispositivos Cisco SD‑WAN, preservar artefactos forenses, externalizar registros, desplegar parches y revisar posibles incidencias relacionadas con esas vulnerabilidades. El texto completo de la directiva está disponible aquí: CISA ED 26‑03.
Al mismo tiempo, Cisco ha publicado actualizaciones para otros productos sensibles, como su Secure Firewall Management Center, donde se corrigieron fallos que podrían permitir desde eludir la autenticación hasta ejecutar código remoto con privilegios de root (CVE‑2026‑20079 y CVE‑2026‑20131); las referencias en el catálogo de vulnerabilidades permiten seguir la pista técnica de esos problemas: CVE‑2026‑20079 (NVD) y CVE‑2026‑20131 (NVD).
¿Qué debe hacer un administrador ahora? La primera medida es aplicar las versiones corregidas del software que Cisco ha puesto a disposición: la compañía insiste en que la actualización es la vía más fiable para eliminar estos vectores de ataque. Además, es aconsejable restringir el acceso a las APIs de gestión, revisar y rotar credenciales con prioridad, y segmentar la red para separar el plano de gestión del resto de trafico de producción, de forma que una ruptura en el entorno de usuarios no permita un salto directo al controlador central.
No basta con instalar parches: conviene investigar la posible actividad previa. Cisco y las agencias han recomendado recoger y conservar registros, buscar señales de creación de peers no autorizados, cambios inesperados en plantillas o políticas, certificados nuevos emitidos sin control y tráfico saliente inusual hacia destinos desconocidos. Esa labor forense es clave para distinguir una actualización preventiva de una respuesta a una intrusión ya consumada. Cisco facilita guías y detalles técnicos en su nota de seguridad: Cisco Security Advisory, y la directiva de CISA explica pasos operativos mínimos para entornos federales: CISA ED 26‑03.
La lección que deja este episodio es clara: las piezas que centralizan control en infraestructuras críticas concentran riesgo. Un fallo en el gestor no solo compromete un dispositivo aislado, sino que potencialmente abre la puerta a toda la red que depende de él. Por eso, combinar actualizaciones puntuales con una buena higiene de seguridad —control de accesos, registros externos, segmentación y monitorización continua— es la única manera de reducir el impacto de fallos de este tipo.
Si gestionas equipos Catalyst SD‑WAN Manager, planifica una ventana de mantenimiento para aplicar los parches y lanza una comprobación exhaustiva de tu entorno. Aprovecha la documentación oficial de Cisco y las recomendaciones de autoridades como CISA para que la intervención sea completa y no deje cabos sueltos. Enlaces útiles para empezar: la propia nota de Cisco (advisory), las entradas del NVD sobre las CVE mencionadas (CVE‑2026‑20122, CVE‑2026‑20128, CVE‑2026‑20127) y la directiva de CISA (ED 26‑03).
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...