Los administradores de sistemas con implementaciones locales (on-premise) deben aplicar un parche de inmediato para evitar que los atacantes falsifiquen la autenticación de usuarios.
Las plataformas de acceso remoto continúan siendo un objetivo prioritario para los atacantes, y una de las herramientas corporativas más populares acaba de recibir una corrección de emergencia. Este 18 de marzo de 2026, se reporta que ConnectWise ha emitido una advertencia urgente a sus clientes sobre una vulnerabilidad crítica de verificación de firmas criptográficas en su plataforma ScreenConnect.
El Fallo de las Llaves Maestras (CVE-2026-3564)
La vulnerabilidad, clasificada oficialmente como CVE-2026-3564, cuenta con una puntuación de gravedad crítica y afecta a todas las versiones de ScreenConnect anteriores a la 26.1. El fallo reside en el manejo deficiente de las claves criptográficas del sistema:
- Un atacante puede aprovechar esta debilidad para extraer y utilizar las claves de máquina (machine keys) de ASP.NET.
- Con este material en su poder, el ciberdelincuente es capaz de generar o modificar valores protegidos para engañar a la instancia de ScreenConnect y que los acepte como válidos.
- Esto permite forjar una autenticación de sesión falsa, otorgando al atacante acceso no autorizado y escalada de privilegios dentro de la red comprometida.
Parches y Estado de Explotación
Para neutralizar esta grave amenaza, ConnectWise ha lanzado la versión 26.1, la cual implementa protección reforzada, almacenamiento cifrado y un manejo mucho más seguro de las machine keys. Las instancias alojadas en la nube han sido migradas automáticamente a esta versión segura, pero los administradores que gestionan despliegues locales (on-premise) en sus propios servidores están obligados a actualizar lo antes posible.
Aunque el proveedor afirma no tener evidencia de explotación activa de esta vulnerabilidad específica (CVE-2026-3564) en sus propios entornos alojados, advierte que investigadores de seguridad ya han observado intentos reales en la red para abusar del material de claves de máquinas ASP.NET que ha sido revelado.
Además de realizar la actualización obligatoria, la compañía recomienda encarecidamente restringir el acceso a los archivos de configuración, revisar meticulosamente los registros en busca de actividad de autenticación inusual, proteger las copias de seguridad y mantener actualizadas todas las extensiones del sistema.
