Los administradores de sistemas se enfrentan hoy a una “tormenta perfecta”. Investigadores de seguridad han detectado una campaña de ataques dual y a gran escala dirigida contra la infraestructura de acceso remoto de miles de empresas. Los objetivos son claros: los portales VPN GlobalProtect (de Palo Alto Networks) y las interfaces de gestión de SonicWall.
Palo Alto Networks (GlobalProtect)
Los atacantes están bombardeando los portales de inicio de sesión de GlobalProtect.
- La Táctica: No están usando necesariamente un exploit complejo (“Zero-Day”), sino ataques de fuerza bruta y “Credential Stuffing” (relleno de credenciales).
- El Objetivo: Están probando miles de combinaciones de usuario y contraseña filtradas de otras brechas para encontrar una cuenta válida que les permita entrar a la red corporativa como si fueran un empleado remoto legítimo.
SonicWall
En el caso de SonicWall, el ataque es más técnico. Se centra en las APIs de gestión.
- La Táctica: Los cibercriminales están escaneando internet en busca de firewalls SonicWall que tengan sus interfaces de administración expuestas públicamente. Intentan explotar vulnerabilidades conocidas (y algunas configuraciones débiles) en la API para ganar control del dispositivo.
¿Quién está detrás?
Aunque la atribución exacta es difícil, el volumen y la coordinación sugieren el trabajo de “Initial Access Brokers” (IABs). Estos son grupos criminales especializados únicamente en romper la puerta de entrada para luego vender ese acceso a bandas de Ransomware, que son las que finalmente cifran los datos y piden el rescate.
El error de la “Gestión Expuesta”
Este incidente nos recuerda una regla de oro que a menudo se ignora por comodidad: Las interfaces de administración nunca deben tocar Internet. Tanto para SonicWall como para Palo Alto, la consola donde configuras el firewall (puertos 80, 443, 8443, etc.) no debería ser accesible desde una IP pública cualquiera.
- Solución: Restringe el acceso a la gestión solo a IPs de confianza o, mejor aún, obliga a los administradores a conectarse primero por VPN antes de poder acceder al panel de control.
¿Cómo frenar la fuerza bruta en GlobalProtect?
Contra los ataques a los portales VPN de usuarios, la contraseña ya no es suficiente.
- MFA Obligatorio: Si tu VPN solo pide usuario y contraseña, ya has sido hackeado, solo que aún no te has dado cuenta. La Autenticación Multifactor es la única barrera real contra el Credential Stuffing.
- Geo-Bloqueo: Si tu empresa opera solo en tu país, configura el firewall para bloquear cualquier intento de conexión que provenga de Rusia, China, Corea del Norte o países donde no tengas empleados. Esto reduce el “ruido” de los ataques en un 90%.
