Esta semana la comunidad de seguridad volvió a recibir una señal de alarma: la Agencia de Seguridad Cibernética de Estados Unidos (CISA confirmó) que bandas de ransomware han empezado a explotar una vulnerabilidad de alta severidad en VMware ESXi que ya había sido empleada en ataques zero‑day. No es un fallo cualquiera: se trata de un mecanismo que permite a un atacante, desde dentro de una máquina virtual con ciertos privilegios, comprometer el núcleo del hipervisor y “salirse” del entorno confinado.
En marzo de 2025 Broadcom (propietaria de VMware) liberó parches para una serie de fallos relacionados —entre ellos la vulnerabilidad de escritura arbitraria en el kernel rastreada como CVE‑2025‑22225, junto con una fuga de memoria y un error de tipo TOCTOU— y ya entonces las calificó como explotadas en la naturaleza. La descripción técnica indica que, si un adversario alcanza privilegios dentro del proceso VMX, puede provocar una escritura arbitraria en el kernel y con ello escapar del sandbox de la VM, algo que en la práctica transforma una máquina virtual comprometida en una puerta de entrada al resto de la infraestructura.
Es importante entender por qué este tipo de fallos son particularly peligrosos. En entornos virtualizados el hipervisor actúa como la capa que separa múltiples máquinas virtuales y gestiona recursos compartidos; una vulnerabilidad que permita romper esa separación da al atacante capacidad para moverse lateralmente, acceder a datos de otras VMs, o instalar herramientas permanentes a nivel del host. Por eso los parches de VMware afectan a un amplio abanico de productos —entre ellos ESXi, vSphere, Workstation y otros— y por eso los actores maliciosos que consiguen encadenar fallos con privilegios elevados pueden obtener control muy relevante del entorno.
La confirmación de CISA de que esta vulnerabilidad ahora se está utilizando en campañas de ransomware pone el foco en el riesgo real para empresas y administraciones. La agencia ya incorporó la vulnerabilidad a su catálogo de "Known Exploited Vulnerabilities" y, para organismos federales, estableció plazos y directrices bajo la Binding Operational Directive 22‑01. La recomendación oficial es clara: aplicar las mitigaciones indicadas por el fabricante, seguir las guías aplicables para servicios cloud o, si no existen mitigaciones, dejar de utilizar el producto afectado hasta que se pueda asegurar.
No es la primera vez en los últimos meses que CISA señala vulnerabilidades en productos VMware como explotadas en ataques reales. El ecosistema de virtualización suele ser un objetivo atractivo para grupos delictivos y actores estatales porque muchas cargas críticas y datos sensibles se ejecutan sobre estas plataformas: comprometer el hipervisor ofrece un retorno operativo mucho mayor que atacar una sola máquina aislada. Esa concentración de riesgo explica la atención que reciben tanto las actualizaciones de seguridad como las órdenes de parcheo urgente.
Investigaciones privadas han documentado campañas sofisticadas que aprovechan estas debilidades. Empresas de ciberseguridad han publicado análisis que apuntan a actores de habla china encadenando fallos similares en ataques dirigidos desde fechas anteriores, lo que sugiere que estos vectores han sido explotados con persistencia y cierto grado de automatización. Para quienes gestionan infraestructura, esto debe leerse como un aviso: los vectores que hoy aparecen en alertas públicas a menudo llevan tiempo usándose en ataques más discretos.
Desde el punto de vista operativo, la recomendación para equipos de TI y seguridad es inequívoca: parchear cuanto antes y seguir las instrucciones del proveedor. Además, conviene revisar las configuraciones de privilegios dentro de las máquinas virtuales para minimizar cuentas y procesos con acceso al proceso VMX, reforzar la monitorización sobre actividades anómalas en el hipervisor y asegurarse de que los respaldos y planes de respuesta están actualizados y probados. Para entidades sujetas a directivas gubernamentales, aplicar las órdenes de CISA dentro de los plazos es obligatorio.
También hay un componente de detección y respuesta: vigilar indicadores de compromiso asociados a escapes de sandbox y a movimientos laterales, y trabajar con proveedores de inteligencia y detección para identificar señales tempranas. En este sentido, análisis independientes han criticado que algunas actualizaciones de CISA sobre vulnerabilidades explotadas en campañas de ransomware se publicaron de forma poco visible; organizaciones dedicadas al rastreo del ruido de internet y del abuso han intentado arrojar luz sobre estos cambios para ayudar a los equipos de defensa a priorizar.
Al final, lo que queda claro es que la combinación de vulnerabilidades en la capa de virtualización ofrece un vector demasiado atractivo para los atacantes. La recomendación práctica para responsables de infraestructuras es sencilla en términos de prioridad: agir rápidamente sobre los parches publicados por el fabricante, reducir la superficie de ataque limitando privilegios, y reforzar las capacidades de detección para no depender únicamente de que el parche cierre la puerta después de que alguien ya haya entrado.
Si quieres consultar las fuentes oficiales y ampliar información, puedes revisar la entrada correspondiente en el catálogo de CISA sobre vulnerabilidades explotadas (CVE‑2025‑22225 en el catálogo de CISA), la nota con las adiciones de marzo de 2025 (avisos de CISA, 4 de marzo de 2025), la página de avisos de seguridad de VMware donde se publican las correcciones (VMware Security Advisories) y análisis contextuales de empresas de seguridad y detección que han seguido estas campañas (Huntress y GreyNoise).
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...