La agencia estadounidense de ciberseguridad CISA volvió a encender las alarmas esta semana al incluir tres fallos graves en su catálogo de Known Exploited Vulnerabilities (KEV), un registro que recopila vulnerabilidades con evidencia de explotación activa. Estas anotaciones no son meras recomendaciones: cuando CISA mueve una entrada al KEV suele conllevar obligaciones inmediatas para las agencias federales y, en la práctica, marcan prioridades para los equipos de seguridad en todo el mundo. La alerta oficial está disponible en el sitio de CISA (ver comunicado).
Las tres fallas añadidas son distintas en naturaleza, pero comparten algo inquietante: todas permiten a un atacante saltarse barreras normales y alcanzar recursos o ejecutar código con un impacto considerable. La primera, registrada como CVE-2021-22054 (CVSS 7.5), es una vulnerabilidad SSRF en Omnissa Workspace One UEM —la plataforma que antes era VMware Workspace One UEM—. En términos sencillos, un SSRF (Server-Side Request Forgery) permite a un atacante inducir al servidor a realizar peticiones a destinos que normalmente no serían accesibles desde el exterior, con la posibilidad de acceder a datos sensibles o a recursos internos. Investigaciones técnicas, como la publicada por Assetnote, describen cómo esta falla puede explotarse sin autenticación y cómo encaja en campañas más amplias.
La segunda vulnerabilidad, CVE-2025-26399 (CVSS 9.8), afecta al componente AjaxProxy de SolarWinds Web Help Desk. Se trata de una deserialización de datos no confiables, un tipo de fallo que con frecuencia permite a un atacante enviar datos manipulados que, al deserializarse en el servidor, provocan la ejecución de comandos. CISA señala que este vector ha sido usado para obtener acceso inicial a entornos objetivos, una actividad que, según informes recopilados por la agencia, está vinculada a operaciones del grupo ransomware conocido como Warlock.
La tercera entrada es CVE-2026-1603 (CVSS 8.6), una vulnerabilidad en Ivanti Endpoint Manager que permite eludir la autenticación mediante rutas o canales alternativos y, potencialmente, extraer credenciales almacenadas. Por ahora no se han publicado detalles públicos sólidos sobre técnicas de explotación en masa para esta vulnerabilidad; Ivanti mantiene un boletín de seguridad sobre EPM que, según la información disponible, aún no refleja plenamente su estado de explotación.
La decisión de incluir estas fallas en el KEV no es puramente descriptiva: viene acompañada de plazos concretos para la acción. CISA exigió a las agencias federales del Ejecutivo Civil que corrijan la falla de SolarWinds Web Help Desk antes del 12 de marzo de 2026, y que apliquen las remediaciones restantes —la SSRF en Workspace One y la falla en Ivanti— antes del 23 de marzo de 2026. Estas fechas subrayan la urgencia: cuando una vulnerabilidad es explotada en la naturaleza, la ventana de exposición puede cerrar muy rápidamente para quien parchea y abrirse peligrosamente para quien no lo hace.
¿Por qué importa esto fuera del perímetro federal? Porque muchas de las tecnologías afectadas están presentes en empresas y proveedores, y los patrones de ataque observados suelen replicarse en el sector privado. La combinación de SSRF no autenticada, fallos de deserialización y bypass de autenticación crea una cadena de riesgos que puede llevar desde la filtración de secretos internos hasta la ejecución remota y la posterior implantación de ransomware. CISA lo resume al destacar que este tipo de vulnerabilidades son vectores comunes para actores maliciosos y representan un peligro real para la “empresa federal”, pero la lógica aplica igual para cualquier organización con exposición similar.
Desde una perspectiva práctica, la respuesta inmediata pasa por aplicar parches oficiales y seguir las recomendaciones del proveedor. Para Workspace One UEM existe documentación técnica y avisos de seguridad publicados por el fabricante y por investigadores que demostraron técnicas de explotación; las guías de mitigación suelen incluir la actualización a versiones parcheadas y la revisión de configuraciones que no deberían exponer interfaces de administración al exterior. En el caso de SolarWinds Web Help Desk, dado el alto CVSS y la confirmación de explotación activa, la acción rápida es especialmente crítica. Y para Ivanti, además de monitorear el boletín oficial, conviene limitar el acceso al servicio desde redes no confiables y auditar el uso de credenciales almacenadas.
Más allá del parcheo, las organizaciones deben reforzar controles compensatorios: segmentación de red para limitar la capacidad de un servicio comprometido de pivotar hacia otros activos, registros y telemetría que permitan detectar comportamiento inusual vinculado a SSRF o ejecución remota, y planes de respuesta que prioricen activos expuestos. La experiencia acumulada muestra que en muchas intrusiones iniciales el atacante aprovecha una única falla pública para instalar puertas traseras o mover lateralmente; interrumpir ese flujo reduce el daño potencial.
Si quieres consultar las fuentes primarias sobre estas entradas y la evaluación de CISA, puedes revisar la propia alerta de la agencia en su sitio, el catálogo KEV en esta página, y las fichas CVE correspondientes: CVE-2021-22054, CVE-2025-26399 y CVE-2026-1603. Para profundizar en la investigación técnica sobre la SSRF en Workspace One UEM, el trabajo de Assetnote es una lectura recomendable, y las notas del proveedor sobre parches y mitigaciones están disponibles en sus respectivos canales.
La conclusión para cualquier responsable de seguridad es sencilla y poco cómoda: cuando una vulnerabilidad aparece en el KEV, no es un asunto teórico. Requiere priorizar parches, revisar accesos expuestos y preparar la detección. La amenaza se mueve rápido y, si no se responde con la misma velocidad, el impacto puede ser severo.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...