La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) acaba de actualizar su catálogo de Vulnerabilidades Conocidas y Explotadas (Known Exploited Vulnerabilities, KEV) con cuatro fallos que, según la agencia, ya están siendo aprovechados en entornos reales. Esta lista de “vulnerabilidades activas” sirve como una advertencia para administradores y responsables de seguridad: cuando CISA añade un fallo al KEV, lo hace porque existen indicios de explotación, y las organizaciones deben actuar con rapidez. Puedes consultar la alerta oficial de CISA aquí y el catálogo completo aquí.
Entre los cuatro errores incorporados hay una mezcla que abarca navegadores, soluciones antiransomware, servidores de correo/collaboration y controles ActiveX antiguos en Windows. El primero, identificado como CVE-2026-2441, es un problema de tipo use-after-free en Google Chrome con una puntuación CVSS alta (8.8) que podría permitir que una página HTML maliciosa provoque corrupción de memoria y ejecución remota. CISA remarca que existe evidencia de explotación en la naturaleza y, en ese contexto, es crítico aplicar las actualizaciones del navegador cuanto antes.
Otro caso relevante es CVE-2024-7694, un fallo de subida de archivos arbitraria en ciertas versiones del producto TeamT5 ThreatSonar Anti-Ransomware (3.4.5 y anteriores). Este tipo de vulnerabilidad permite a un atacante colocar archivos maliciosos en el servidor y, en escenarios extremos, ejecutar comandos en la máquina afectada. Un boletín de coordinación de incidentes taiwanés ya describió cómo funciona la mecánica del fallo; puedes leer la nota técnica aquí.
El catálogo también volvió a incorporar una vulnerabilidad más antigua pero extremadamente peligrosa: CVE-2020-7796, una falla SSRF (Server-Side Request Forgery) en la suite Zimbra Collaboration (ZCS). Investigaciones previas han mostrado que explotadores automatizados han escaneado y atacado instancias vulnerables en distintos países, lo que demuestra que las SSRF son una vía efectiva para pivotar desde una aplicación web hacia sistemas internos.
Finalmente, aparece una vulnerabilidad histórica con explotación conocida: CVE-2008-0015, un desbordamiento de búfer en el control ActiveX “Windows Video” que puede llevar a ejecución remota si un usuario abre una página web manipulada. Microsoft mantiene entradas en su enciclopedia de amenazas que describen cómo exploits asociados pueden descargar y ejecutar malware, incluyendo el gusano conocido como Dogkild, con capacidades de propagación y sabotaje de medidas de seguridad. La documentación de Microsoft sobre este exploit está disponible aquí.
¿Qué nos dice, en términos prácticos, esta actualización del KEV? Primero, que la superficie de ataque sigue siendo heterogénea: desde navegadores modernos hasta componentes legados como ActiveX o software específico de respaldo y seguridad. Segundo, que los atacantes combinan técnicas antiguas y nuevas: escaneos masivos para SSRF, explotación dirigida de bugs en navegadores y abusos de funcionalidades de subida de archivos. Un análisis público previo de actores que escanearon la red global para explotar SSRF incluye un patrón de actividad con cientos de direcciones IP apuntando a instancias vulnerables, lo que ilustra la escala del problema; para una vista general sobre actividades de escaneo y telemetría, la plataforma GreyNoise ofrece contexto sobre cómo se comportan estos clusters aquí.
Para equipos técnicos y responsables de riesgo, la prioridad es clara: aplicar parches y mitigaciones cuanto antes. CISA suele acompañar estas incorporaciones del KEV con plazos orientativos para entidades federales; en este caso, las agencias del Gobierno Federal Civil (FCEB) tienen como fecha recomendada el 10 de marzo de 2026 para desplegar las correcciones pertinentes. Pero esa fecha no es una excusa para esperar —si su entorno es público o crítico, actualice de inmediato.
Más allá de parchear, conviene adoptar medidas complementarias: reducir la exposición pública de servicios que no deban estar accesibles desde Internet, revisar registros y telemetría en busca de indicadores de compromiso, endurecer políticas de subida de archivos (validación, sandboxing, análisis de contenido) y desplegar reglas de firewall o WAF que mitiguen vectores conocidos mientras se aplica la corrección definitiva. En el caso de los navegadores, forzar actualizaciones automáticas y concienciar a los usuarios sobre el riesgo de abrir enlaces o archivos sospechosos es básico.
Un aspecto importante que suelen destacar los analistas es la necesidad de priorizar según el contexto: un CVE con puntuación 9.x (como la SSRF de Zimbra) merece atención inmediata, pero la decisión final debe ponderar activos expuestos, compensaciones operativas y mitigaciones disponibles. Las herramientas de gestión de parches y los inventarios de activos ayudan a identificar qué servidores o estaciones están en riesgo y a acelerar la respuesta.
Finalmente, y quizás lo más práctico para administradores: revisen las referencias publicadas por las propias organizaciones afectadas y por organismos de confianza. Las fichas de CISA y el catálogo KEV ofrecen resúmenes de la amenaza y enlaces a parches; las páginas de CVE contienen detalles técnicos; y fuentes como la documentación de proveedores o equipos de respuesta local proporcionan procedimientos de mitigación y actualizaciones. A continuación están los recursos principales citados en esta pieza: la alerta de CISA https://www.cisa.gov/news-events/alerts/2026/02/17/cisa-adds-four-known-exploited-vulnerabilities-catalog, el catálogo KEV https://www.cisa.gov/known-exploited-vulnerabilities-catalog, y las entradas de cada CVE en CVE (por ejemplo, CVE-2026-2441, CVE-2024-7694, CVE-2020-7796, CVE-2008-0015). Para detalles sobre el vector de TeamT5 consulte el boletín taiwanés https://www.twcert.org.tw/en/cp-139-8000-e5a5c-2.html, y para información sobre el exploit histórico y familias de malware relacionadas, la enciclopedia de amenazas de Microsoft ofrece contexto https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Exploit:HTML/CVE-2008-0015 y https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Worm:Win32/Dogkild.A.
La lección que deja esta actualización es sencilla: las amenazas no respetan antigüedad ni popularidad del software. Un componente antiguo y ampliamente instalado puede ser igual de peligroso que un bug de un navegador moderno si está correctamente explotado. La ciberdefensa efectiva combina parcheo rápido, visibilidad permanente y respuestas coordinadas, y cuando CISA coloca algo en el KEV, conviene tomarlo como una alerta roja y actuar en consecuencia.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...