La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha añadido recientemente ocho vulnerabilidades a su catálogo de Known Exploited Vulnerabilities (KEV), una señal clara de que hay fallos que ya están siendo explotados o para los que existe evidencia de abuso en entornos reales. Esta inclusión obliga a administradores y responsables de seguridad a priorizar parcheos y mitigaciones: cuando CISA marca un problema como “con explotación conocida”, el riesgo deja de ser teórico y pasa a ser urgente.
Entre las vulnerabilidades añadidas hay problemas que afectan a soluciones muy usadas en empresas, desde impresoras y servicios de colaboración hasta plataformas de gestión y orquestación de redes. Se incluyen, por ejemplo, un fallo de autenticación en PaperCut NG/MF (CVE‑2023‑27351) que históricamente ha sido aprovechado en campañas de ransomware, y varias debilidades en JetBrains TeamCity y Kentico Xperience que permiten manipulaciones de rutas o acciones administrativas limitadas. También figuran tres fallos en Cisco Catalyst SD‑WAN Manager que, combinados, pueden permitir desde sobrescritura de ficheros en el sistema hasta la exposición de credenciales o información sensible.
La presencia de un CVE con puntuación máxima (10.0) relacionado con Quest KACE Systems Management Appliance (CVE‑2025‑32975) merece especial atención: un fallo de autenticación que permitiría a un atacante suplantar usuarios sin credenciales válidas representa una vía directa para comprometer entornos gestionados. De hecho, proveedores de detección y respuesta han documentado intentos de explotación contra appliance SMA sin parchear, lo que subraya la necesidad de revisar y aplicar actualizaciones cuanto antes. Puedes consultar información general sobre advisories de fabricantes en los portales oficiales como el de Quest: support.quest.com.
En ciertos casos hay ya atribuciones y rastros sobre campañas pasadas. La explotación del fallo en PaperCut (CVE‑2023‑27351) fue vinculada en 2023 a un actor denominado Lace Tempest, relacionado con la distribución de familias de ransomware como Cl0p y LockBit; esto demuestra cómo una vulnerabilidad en un servicio aparentemente periférico —como la gestión de impresión— puede convertirse en la puerta de entrada a incidentes de alto impacto. Para entender mejor el contexto de tales campañas y su sofisticación, es útil revisar análisis y seguimiento de la actividad por parte de firmas de ciberseguridad y medios especializados como BleepingComputer.
Respecto a Cisco, la empresa confirmó que tenía constancia de explotación en entornos reales de al menos dos de las fallas reportadas en el gestor SD‑WAN (CVE‑2026‑20122 y CVE‑2026‑20128), mientras que para otra (CVE‑2026‑20133) todavía no había un reconocimiento explícito de abuso generalizado en el momento de la notificación de CISA. Dado que los tres defectos afectan a la misma plataforma y permiten distintas formas de elevación de privilegios e información sensible, la recomendación es tratarlos de forma conjunta: aplicar parches oficiales y revisar configuraciones, credenciales y accesos. La página general de advisories de Cisco es un buen punto de partida: cisco.com/security-advisories.
Además de los parches, las organizaciones deben reforzar controles complementarios: segmentación de redes para limitar el alcance de explotación, auditoría de accesos y privilegios para detectar cuentas anómalas, y monitorización de integridad en sistemas críticos para avisar ante sobrescrituras sospechosas. No existe una única “cura” para estos problemas; se trata de combinar actualizaciones, controles de detección y buenas prácticas operativas para reducir el riesgo mientras se implementan las correcciones.
Las fechas que ha fijado CISA para la corrección de estos fallos son perentorias para las agencias federales civiles: las tres vulnerabilidades de Cisco deben estar remediadas para el 23 de abril de 2026, y el resto para el 4 de mayo de 2026. Aunque esos plazos aplican directamente a dependencias del gobierno federal, son un indicador útil para el sector privado sobre la prioridad que debe dárseles: cuando el regulador marca un calendario estricto, es porque la amenaza es real y próxima.
Tampoco conviene perder de vista la cadena más amplia: cuando una vulnerabilidad en un producto gestionado o en una appliance se explota —como ha observado Arctic Wolf en campañas contra SMA sin parchear— el impacto puede propagarse a través de actualizaciones mal verificadas, sistemas de gestión y herramientas de parcheo. Mantener inventarios detallados de activos y comprobar rápidamente qué versiones están en uso es tan crítico como aplicar los parches. Para seguir análisis de campañas y detecciones, los blogs de proveedores de seguridad y respuesta pueden aportar información temprana sobre tácticas y detecciones: arcticwolf.com/blog.
Si eres responsable de seguridad en una empresa, actúa en este orden: identifica si estás expuesto, evalúa el riesgo en función del uso y del acceso a los equipos afectados, aplica las actualizaciones oficiales de los proveedores y, mientras tanto, endurece controles de acceso y monitorización. Mantén además canales de comunicación abiertos con tus proveedores y revisa las páginas oficiales de advisories de cada fabricante para confirmar las instrucciones específicas de mitigación; sitios centrales de referencia son los portales de seguridad de los fabricantes y la propia lista de CISA: Known Exploited Vulnerabilities Catalog.
En definitiva, la entrada de estas ocho vulnerabilidades en la KEV no es una simple actualización de registro: es un recordatorio de que el panorama de amenazas sigue activo y que la ventana entre la divulgación de un fallo y su explotación puede ser muy corta. La combinación de parches, visibilidad y controles básicos de ciberhigiene es la mejor defensa frente a estas amenazas, y la prioridad debe ser real y medida en días, no en semanas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...