Sorpresa de CISA: su sistema «seguro» ya está en la mira de los extorsionadores (simplemente no se lo habían dicho)
Incluso el administrador más atento puede desconocer una amenaza inminente. Gracias, CISA.
En catálogo de vulnerabilidades de CISA se han detectado cambios discretos que afectan directamente a la evaluación de riesgos en la protección de la infraestructura. Se trata de casos en los que vulnerabilidades ya agregadas reciben con posterioridad una marca de uso en ataques de ransomware. Estas actualizaciones no se anuncian y pueden pasar desapercibidas, aunque modifican las prioridades de corrección.
Glenn Torp de GreyNoise analizó las instantáneas diarias de la base Known Exploited Vulnerabilities durante 2025 y halló 59 vulnerabilidades cuyo estado de uso en campañas de ransomware cambió de «desconocido» a «confirmado». El propio campo knownRansomwareCampaignUse apareció en el catálogo en octubre de 2023 y debería ayudar a las organizaciones a priorizar mejor la instalación de correcciones. Sin embargo, la actualización de esta etiqueta se realiza sin avisos separados y solo queda registrada en el archivo JSON de la base.
Según los cálculos de GreyNoise, la actualización oculta del estado se produjo con más frecuencia en productos de Microsoft —alrededor del 27% de los casos—. Aproximadamente el 34% de esas entradas corresponde a dispositivos de red y perimetrales, y el 39% son vulnerabilidades detectadas antes de 2023. El plazo mínimo entre la incorporación de la entrada y la marca de uso en ataques fue de 1 día; el máximo, 1353 días. El pico se concentró en mayo, con el 41% de todos los cambios. El tipo más habitual fueron errores de elusión de autenticación —aproximadamente un 14%.
Una porción notable de las entradas actualizadas está relacionada con equipos perimetrales y herramientas de acceso remoto. En la muestra hay Fortinet SSL VPN, Ivanti Connect Secure, Palo Alto GlobalProtect y pasarelas de Check Point. También aparecen problemas antiguos en Adobe Reader y otros productos que, años después, empezaron a ser explotados por operadores de ransomware. Entre las técnicas comunes están la ejecución remota de código y la elusión de la verificación de autenticidad, lo que permite obtener acceso rápidamente y afianzarse en el sistema.
En el apartado de proveedores, además de Microsoft se destacan Ivanti, Fortinet, Palo Alto Networks y Zimbra. Los autores del estudio señalan que los atacantes eligen plataformas con amplia difusión y acceso valioso: servidores de correo, VPN y cortafuegos.
Para aumentar la transparencia, GreyNoise lanzó un canal RSS independiente que rastrea los cambios de la marca de uso de vulnerabilidades en operaciones de ransomware y envía notificaciones en cada actualización. Según los desarrolladores, esto debería cerrar la zona ciega y ayudar a los equipos de defensa a revisar más rápidamente las prioridades de aplicación de correcciones.