Se recomienda a las organizaciones que utilicen las soluciones VPN, Mobile Access o Spark Firewall de Check Point que tomen medidas inmediatas tras confirmarse la explotación activa de CVE-2026-50751, una vulnerabilidad crítica de elusión de autenticación. Este fallo, calificado con una puntuación de gravedad alta de 9,3, afecta a entornos configurados para utilizar el protocolo de intercambio de claves obsoleto IKEv1 y permite a atacantes no autenticados obtener acceso a VPN sin credenciales de usuario válidas.
La vulnerabilidad tiene su origen en un fallo lógico en la validación de certificados dentro de los componentes VPN afectados. Abusando de esta debilidad, un atacante puede establecer una sesión VPN remota sin presentar una contraseña legítima. Aunque se requieren pasos adicionales tras el acceso inicial para moverse lateralmente o escalar privilegios, este desvío reduce significativamente la barrera para la entrada no autorizada en las redes corporativas, socavando eficazmente las defensas del perímetro.
Los ataques observados han sido limitados pero dirigidos, afectando a varias docenas de organizaciones en todo el mundo. Check Point identificó actividad sospechosa a partir del 4 de junio de 2026, con explotación confirmada que se remonta al menos al 7 de mayo de 2026. En particular, un incidente demostró actividad posterior al compromiso vinculada a un afiliado de ransomware Qilin, lo que indica que los actores de amenazas están aprovechando esta vulnerabilidad como un vector de acceso inicial en operaciones motivadas financieramente.
El actor de la amenaza asociado a estos ataques parece operar una infraestructura estructurada que utiliza servidores privados virtuales alojados en múltiples proveedores, incluidos Kaupo Cloud HK, Shock Hosting y Vultr. En algunos casos, la geolocalización de la infraestructura del atacante se correlacionaba con la de la víctima objetivo, lo que sugiere estrategias de ataque deliberadas. Los indicadores también sugieren el uso del protocolo de comunicación Tox, comúnmente asociado con grupos de ransomware que buscan evadir la vigilancia, y el uso de herramientas como Rclone para la exfiltración de datos.
Tras la explotación exitosa, se ha observado a los atacantes intentando desplegar cargas útiles de ransomware basadas en Linux, incluidos binarios ELF asociados con campañas de ransomware Qilin. Esto demuestra una clara progresión desde el acceso inicial hasta el posible robo y cifrado de datos, lo que pone de relieve la urgencia de la detección y la respuesta. Además, se cree que la misma infraestructura de actores está sondeando o explotando activamente otras vulnerabilidades de VPN a través de múltiples proveedores, incluyendo Palo Alto Networks, Fortinet y F5, lo que sugiere una campaña más amplia dirigida a las tecnologías de acceso remoto.
Además de CVE-2026-50751, Check Point identificó una vulnerabilidad relacionada, CVE-2026-50752, durante su investigación. Este problema secundario afecta a la validación de certificados en IKEv1 y podría permitir ataques man-in-the-middle en conexiones VPN de sitio a sitio en determinadas condiciones. Aunque no hay pruebas de que este fallo se haya explotado in the wild, su existencia refuerza los riesgos asociados al uso de protocolos heredados y configuraciones obsoletas.
Las organizaciones deben asumir una postura de mayor riesgo, especialmente si siguen utilizando configuraciones IKEv1 obsoletas. Se recomienda encarecidamente la corrección inmediata mediante la aplicación de hotfixes proporcionados por el proveedor y actualizaciones a versiones de software compatibles. En los casos en los que no se puedan aplicar parches de forma inmediata, se puede reducir el riesgo desactivando IKEv1, eliminando la compatibilidad con clientes de acceso remoto heredados y aplicando controles de autenticación más estrictos, como certificados de máquina obligatorios para las conexiones VPN.
Se aconseja a los equipos de seguridad que inicien revisiones forenses exhaustivas de los registros de autenticación y los registros de acceso a VPN que se remontan a principios de mayo de 2026. Los indicadores de compromiso proporcionados por Check Point, incluidas las direcciones IP sospechosas y los hashes de archivos, deben utilizarse para identificar posibles intrusiones. Debe prestarse especial atención a las sesiones VPN anómalas, a los patrones de acceso geográfico inesperados y a la actividad inusual de transferencia de datos que podría indicar un compromiso en curso o una exfiltración de datos.
Dada la implicación de los operadores de ransomware, las organizaciones también deben validar la integridad de los sistemas críticos, revisar la disponibilidad de las copias de seguridad y asegurarse de que los planes de respuesta a incidentes están listos para su ejecución. La detección y contención tempranas siguen siendo esenciales para evitar que el ransomware se extienda por completo.
Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, si lo prefiere, póngase en contacto con nosotrospara averiguar cómo puede proteger su organización.