ConnectWise ha avisado a los usuarios de ScreenConnect sobre una vulnerabilidad en la verificación de firmas criptográficas que puede permitir el acceso no autorizado y la escalada de privilegios. La falla afecta a las versiones anteriores a la 26.1 y ha sido registrada en la base de datos de vulnerabilidades como CVE-2026-3564, que obtuvo una puntuación de severidad crítica. ScreenConnect es una plataforma de acceso remoto muy utilizada por proveedores de servicios gestionados (MSP), departamentos de TI y equipos de soporte, y puede estar alojada en la nube por ConnectWise o desplegada localmente en los servidores de los clientes.
El núcleo del problema está en la protección de las claves de máquina de ASP.NET (machine keys). Estas claves se usan para firmar y cifrar valores protegidos que la aplicación usa para autenticar sesiones y salvaguardar datos sensibles. Si un adversario logra extraer ese material secreto, podría forjar o alterar valores protegidos de forma que el servidor los acepte como legítimos, con el resultado de ingresar a sesiones ajenas o ejecutar acciones con permisos elevados dentro de la instancia comprometida. Perder el control de las machine keys equivale a perder la capacidad de distinguir tokens legítimos de tokens manipulados. Para entender mejor cómo funcionan estas claves y por qué son críticas, puede consultarse la documentación de Microsoft sobre el elemento machineKey en ASP.NET: learn.microsoft.com.
ConnectWise ha abordado la vulnerabilidad reforzando la protección y el almacenamiento de esas claves en ScreenConnect 26.1, incluyendo cifrado en reposo y un manejo más estricto de los secretos. De forma proactiva, los usuarios de la plataforma en la nube ya han sido migrados a la versión segura, pero los administradores que operan despliegues on-premise deben aplicar la actualización a la versión 26.1 lo antes posible para cerrar la ventana de exposición. La nota oficial con los detalles y las recomendaciones del fabricante está disponible en el boletín de seguridad de ConnectWise: ConnectWise ScreenConnect bulletin, y en su página de avisos generales: ConnectWise advisories.
Además de la corrección técnica, ConnectWise ha advertido que hay indicios de intentos de abuso del material de las machine keys en el mundo real, lo que transforma la amenaza de teórica a tangible. No obstante, la compañía declaró a los medios que, al menos hasta el momento de su comunicación, no dispone de evidencia confirmada de explotación activa de CVE-2026-3564 en sus instancias alojadas, por lo que no puede proporcionar indicadores de compromiso (IoC) verificados. ConnectWise también anima a los investigadores que identifiquen actividad maliciosa relacionada a que realicen divulgación responsable para validar y mitigar hallazgos.
En paralelo a la comunicación oficial han surgido reclamos en redes sociales y foros sobre explotación activa, entre ellos una publicación en X que sugiere uso prolongado por actores vinculados a China; esa afirmación no está verificada públicamente y no queda claro si apunta al mismo fallo. Puede revisarse la publicación referida aquí: reclamo en X. Cabe recordar que en años recientes ya se han documentado compromisos relacionados con claves secretas en ScreenConnect: por ejemplo, ataques que aprovecharon la vulnerabilidad identificada como CVE-2025-3935 para extraer claves de servidores ScreenConnect.
Si administras un entorno que utiliza ScreenConnect, la primera acción imprescindible es programar y aplicar la actualización a la versión 26.1 en los sistemas on-premise que no hayan sido migrados automáticamente. Más allá del parche, es recomendable revisar y endurecer controles alrededor de los ficheros de configuración y los almacenes de secretos, limitar el acceso a copias de seguridad y snapshots antiguos, auditar los registros en busca de patrones de autenticación inusuales y mantener los complementos y extensiones actualizados. Estas medidas reducen las posibilidades de que una filtración accidental o un acceso lateral conviertan una clave comprometida en una brecha mayor.
La situación también pone de manifiesto un aspecto operativo: muchas organizaciones confían en proveedores y herramientas de soporte remoto para gestionar infraestructuras críticas, y un fallo en la protección de claves secretas expone no solo al software en sí, sino al conjunto de clientes que dependen de él. Los proveedores gestionados y equipos de TI deben asumir que la amenaza es seria y actuar con urgencia, actualizando, auditando y revisando políticas de acceso y protección de secretos. Cuando los vectores pasan por secretos permanentes —como las machine keys— la rotación periódica y el almacenamiento cifrado con controles de acceso granulares son prácticas que deberían formar parte del estándar operativo.
Para seguir el hilo de esta vulnerabilidad y verificar comunicaciones oficiales, las fuentes recomendadas incluyen la entrada en la base de datos de NVD para la vulnerabilidad (CVE-2026-3564), el boletín de ConnectWise sobre ScreenConnect y reportes de prensa especializada como BleepingComputer, que ha cubierto el incidente y las declaraciones del fabricante. Mantenerse informado y aplicar las correcciones recomendadas es, en este momento, la mejor defensa para las organizaciones que dependen de ScreenConnect.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...