En la última semana se detectó una campaña de reconocimiento coordinada que puso en el punto de mira a infraestructuras Citrix NetScaler (también conocido como Citrix ADC). Según el análisis publicado por GreyNoise, los escaneos se realizaron entre el 28 de enero y el 2 de febrero y usaron una marea de direcciones IP para localizar paneles de autenticación expuestos y recopilar información sobre versiones del producto, lo que apunta a una labor de mapeo previa a una posible explotación.
Las cifras que aporta GreyNoise son llamativas: más de 63.000 direcciones IP distintas iniciaron 111.834 sesiones de sondeo, y aproximadamente el 79% del tráfico observado atacó señuelos (honeypots) de Citrix Gateway. De ese volumen, cerca del 64% procedía de proxies residenciales, direcciones que parecen corresponder a consumidores de operadores ISP y que, por su apariencia, eluden fácilmente filtros basados en reputación. El restante 36% de la actividad provino de una única IP alojada en Microsoft Azure.
Los patrones del ataque no se parecen a un barrido aleatorio. En primer lugar, la gran mayoría de las sesiones se centró en identificar interfaces de acceso remoto mediante solicitudes dirigidas a /logon/LogonPoint/index.html, la ruta típica del panel de autenticación de Citrix. Ese comportamiento masivo y repetido sugiere un interés específico por localizar portales expuestos a gran escala. En paralelo, el 1 de febrero se observó un “sprint” intenso de aproximadamente seis horas en el que una decena de IPs lanzó casi 1.900 sesiones buscando el instalador de Endpoint Analysis en /epa/scripts/win/nsepa_setup.exe, lo que indica un intento de identificar de forma rápida qué versiones de Citrix están presentes y si contienen artefactos que delaten su versión.
Otro indicio relevante es la huella del agente de usuario: GreyNoise observó cadenas que imitaban al navegador Chrome 50, una versión antigua lanzada en 2016. Ese tipo de huellas de navegador obsoletas y la utilización masiva de proxies residenciales son técnicas habituales para dificultar la detección y evadir controles que bloquean direcciones IP con mala reputación.
¿Por qué preocupa este tipo de reconocimiento? Porque cuando un atacante mapea con precisión una plataforma y sus versiones, puede preparar exploits específicos contra vulnerabilidades conocidas. En el caso de Citrix, durante los últimos meses han aparecido fallos de gravedad crítica que han sido explotados en el pasado; por eso, la detección de sondeos orientados a identificar versiones y rutas de EPA despierta alarmas sobre la posibilidad de que se esté preparando un ataque dirigido. Para seguir el informe original y sus indicadores técnicos, GreyNoise publicó su análisis completo aquí: labs.greynoise.io — GreyNoise report.
Las recomendaciones que surgen de este tipo de hallazgos son prácticas y van desde la prevención hasta la detección temprana. Entre las medidas que aconsejan los investigadores están monitorear solicitudes que utilicen agentes de usuario sospechosos (por ejemplo, cadenas relacionadas con “blackbox-exporter”) cuando provengan de orígenes no autorizados, generar alertas ante accesos externos a /epa/scripts/win/nsepa_setup.exe, y detectar patrones de enumeración rápida contra rutas de inicio de sesión como /logon/LogonPoint/. También recomiendan vigilar solicitudes HEAD hacia endpoints de Citrix Gateway y prestar atención a huellas de navegador obsoletas que no encajen con el perfil esperado de los usuarios legítimos.
En el plano de la configuración y el endurecimiento, los consejos prácticos incluyen revisar si realmente es necesario exponer pasarelas Citrix directamente a Internet, restringir el acceso al directorio /epa/scripts/ solo a redes gestionadas, suprimir o reducir la información de versión que los servidores devuelven en las respuestas HTTP y monitorizar actividad inusual desde ISPs residenciales ubicados en regiones donde la organización no tiene usuarios. GreyNoise además facilitó las direcciones IP detectadas para que los equipos de seguridad puedan comprobarlas contra sus propios registros.
Si gestionas pasarelas Citrix o administras entornos que dependen de Citrix ADC, es recomendable consultar de forma habitual las comunicaciones de seguridad del propio fabricante y las listas de vulnerabilidades conocidas. Citrix mantiene una página dedicada a avisos y actualizaciones de seguridad donde se publican parches y mitigaciones oficiales: support.citrix.com — Citrix Security. Asimismo, los organismos que rastrean vulnerabilidades explotadas en el campo, como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., proporcionan catálogos y avisos que ayudan a priorizar parches críticos: CISA — Known Exploited Vulnerabilities Catalog.
¿Qué aprendizaje deja esta campaña? La lección es doble: por un lado, los atacantes siguen perfeccionando sus técnicas para evitar bloquearse con simples filtros de reputación; por otro, la enumeración masiva y ordenada de rutas y artefactos concretos revela intenciones que van más allá del mero sondeo casual. Para los equipos de seguridad eso significa aumentar la telemetría sobre accesos a puertas de enlace, afinar reglas de correlación que detecten ráfagas de peticiones similares y proteger exponiendo lo mínimo indispensable al exterior.
En definitiva, no se trata solo de reaccionar cuando aparece una explotación pública, sino de detectar y frenar los mapeos previos que suelen anteceder a esos ataques. Mantener sistemas parcheados, limitar la exposición de servicios críticos y disponer de alertas que reconozcan patrones de reconocimiento son medidas sencillas en concepto, pero efectivas para elevar el coste de ataques futuros y reducir la probabilidad de ser el siguiente objetivo.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...