Una vulnerabilidad crítica ignorada desde el año pasado está siendo explotada activamente para secuestrar plataformas corporativas de gestión de dispositivos.
La negligencia en la aplicación de actualizaciones sigue siendo el gran talón de Aquiles para muchas organizaciones. Este 23 de marzo de 2026, se reporta que ciberdelincuentes están explotando de forma activa una vulnerabilidad de máxima gravedad (calificada con un CVSS de 10.0) en la plataforma Quest KACE Systems Management Appliance (SMA).
Bypass de Autenticación (CVE-2025-32975)
Quest KACE SMA es una herramienta local (on-premises) muy utilizada por las empresas para la gestión centralizada de endpoints, la distribución de software, el inventario de activos y la aplicación de parches.
El fallo crítico, rastreado bajo el identificador CVE-2025-32975, reside en el mecanismo que maneja la autenticación de inicio de sesión único (SSO) en la plataforma. El impacto documentado es devastador:
- Consiste en una elusión de seguridad completa (authentication bypass).
- Permite a un atacante remoto, sin ningún tipo de autenticación previa, suplantar a usuarios legítimos dentro del sistema sin necesidad de conocer o robar sus contraseñas.
- Al explotarlo con éxito, los criminales pueden alcanzar un nivel de acceso equivalente al de una cuenta con privilegios administrativos totales sobre la herramienta.
Explotación Activa y Movimiento Lateral
Aunque Quest lanzó un parche oficial para cerrar esta brecha en mayo de 2025, un alarmante número de administradores nunca actualizó sus sistemas.
Investigadores de inteligencia de amenazas detectaron un repunte de actividad maliciosa a partir de la semana del 9 de marzo de 2026. Los ciberdelincuentes están escaneando agresivamente Internet en busca de instancias de KACE SMA sin parchear que hayan sido dejadas expuestas públicamente en la red.
Una vez que logran el acceso inicial, los atacantes actúan rápido:
- Ejecutan comandos remotos y despliegan scripts de PowerShell para afianzar su posición.
- Establecen persistencia a largo plazo creando cuentas administrativas falsas.
- Inyectan y utilizan herramientas de hacking conocidas como Mimikatz para el robo masivo de credenciales en memoria.
- Utilizan el servidor comprometido como cabeza de playa para realizar movimientos laterales hacia los sistemas más críticos de la infraestructura, logrando penetrar en los controladores de dominio (Active Directory) y en las plataformas de copias de seguridad (backups).
Si bien se han observado ataques impactando particularmente al sector educativo, los analistas de seguridad advierten que esta campaña es de naturaleza oportunista; los criminales atacarán a cualquier organización que mantenga este equipo sin parchear y visible hacia el exterior. Las recomendaciones son urgentes: actualizar a la versión más reciente del software de Quest y ocultar inmediatamente el acceso a estos sistemas de administración detrás de una VPN corporativa.
