Investigadores detectan ataques masivos en tiempo real. CISA añade cuatro nuevos fallos a su catálogo KEV, incluyendo exploits en SolarWinds, Apple y el incidente de la cadena de suministro de Notepad++.
La velocidad de los ciberdelincuentes ha alcanzado un nuevo récord aterrador. Hoy 13 de febrero de 2026, que actores de amenazas han comenzado a explotar una vulnerabilidad crítica en los productos BeyondTrust Remote Support (RS) y Privileged Remote Access (PRA) menos de 24 horas después de que se hiciera público un exploit de prueba de concepto (PoC).
La vulnerabilidad, CVE-2026-1731, tiene una puntuación casi perfecta de 9.9/10. Permite a atacantes no autenticados ejecutar comandos del sistema operativo de forma remota, otorgándoles las llaves del reino de la gestión privilegiada.
Anatomía del Ataque Relámpago
Ryan Dewhurst, jefe de inteligencia de amenazas en watchTowr, confirmó la detección de explotación “in-the-wild” (en estado salvaje) durante la noche.
- El Método: Los atacantes abusan de la función get_portal_info para extraer un valor sensible (x-ns-company) antes de establecer un canal WebSocket malicioso.
- El Origen: Curiosamente, el 86% de los escaneos de reconocimiento provienen de una sola dirección IP asociada a un servicio VPN comercial en Frankfurt, lo que sugiere una operación automatizada y centralizada para identificar víctimas antes de desplegar la carga útil.
- El Impacto: Ejecución de código con privilegios de usuario del sitio, lo que lleva a la exfiltración de datos y acceso no autorizado a sistemas internos.
Versiones Afectadas y Parches:
- Remote Support: Versiones 21.3 a 25.3.1 (Parche: BT26-02-RS)
- Privileged Remote Access: Versiones 22.1 a 24.X (Parche: BT26-02-PRA)
- Nota: Las versiones PRA 25.1 y superiores ya son seguras por diseño.
CISA Actualiza su “Lista Negra” (KEV)
En una maniobra paralela, la Agencia de Ciberseguridad de EE. UU. (CISA) ha añadido hoy cuatro vulnerabilidades antiguas y nuevas a su catálogo de Vulnerabilidades Explotadas Conocidas, obligando a las agencias federales a parchear antes de mediados de marzo.
- CVE-2026-20700 (Apple Zero-Day): El fallo de corrupción de memoria en dyld que mencionamos ayer, usado en ataques de spyware sofisticado.
- CVE-2025-15556 (Notepad++ Supply Chain): Atribuido al actor estatal chino Lotus Blossom. Los atacantes comprometieron la infraestructura de actualización de Notepad++ durante cinco meses (junio-octubre 2025) para desplegar el backdoor Chrysalis en objetivos selectos, sin tocar el código fuente del editor.
- CVE-2025-40536 (SolarWinds Web Help Desk): Un bypass de control de seguridad que permite acceso no autenticado a funciones restringidas.
- CVE-2024-43468 (Microsoft Configuration Manager): Una inyección SQL crítica (9.8) parcheada en 2024 pero que ahora resurge en ataques activos, permitiendo la ejecución de comandos en la base de datos subyacente.
Análisis de Inteligencia
El caso de Notepad++ es particularmente inquietante. Según DomainTools, fue una “intrusión silenciosa y metódica”. Los atacantes mostraron una moderación inusual: no infectaron a todos los usuarios de Notepad++, sino que desviaron selectivamente el tráfico de actualización de objetivos de alto valor para instalar su backdoor, manteniendo el ataque oculto durante meses.
¿Qué debes hacer?
- Prioridad 1 (BeyondTrust): Si usas Remote Support o PRA, aplica los parches BT26-02 inmediatamente. Tienes una ventana de tiempo casi nula antes de ser escaneado.
- Prioridad 2 (Notepad++): Asegúrate de que todos tus desarrolladores y administradores estén usando la versión 8.9.1 o superior. Considera deshabilitar el actualizador automático WinGUp si no puedes verificar la integridad de la conexión.
- Prioridad 3 (Apple & SolarWinds): Si aún no has parcheado los avisos de esta semana, hazlo ahora.
