Los atacantes están aprovechando una vulnerabilidad de alta severidad para instalar puertas traseras en las centralitas telefónicas y realizar costosas llamadas internacionales a expensas de las empresas.
Las líneas de voz sobre IP (VoIP) de cientos de compañías están siendo secuestradas de forma silenciosa. Hoy 27 de febrero de 2026, se ha detectado más de 900 instancias de Sangoma FreePBX que permanecen infectadas como resultado de ataques que comenzaron en diciembre de 2025.
Geografía de la Infección
El impacto de esta campaña es de alcance global, aunque el continente americano se lleva la peor parte:
- 401 instancias comprometidas se encuentran operando en los Estados Unidos.
- 51 servidores afectados están ubicados en Brasil.
- El resto de los principales afectados se reparten entre Canadá (43), Alemania (40) y Francia (36).
La Vulnerabilidad: El Peligro del CVE-2025-64328
El compromiso masivo se logra mediante la explotación del CVE-2025-64328, una vulnerabilidad de alta severidad con una puntuación CVSS de 8.6. Este fallo técnico permite una inyección de comandos posterior a la autenticación en el sistema.
Cualquier usuario que tenga acceso al panel de administración de FreePBX puede aprovechar esta brecha de seguridad para ejecutar comandos de shell arbitrarios en el servidor subyacente. En términos prácticos, esto significa que un atacante puede obtener acceso remoto al sistema asumiendo la identidad del usuario “asterisk”, tomando el control del motor de telefonía. Este riesgo es tan elevado que la Agencia de Ciberseguridad de EE. UU. (CISA) ya lo ha añadido a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
La Operación INJ3CTOR3 y el Web Shell “EncystPHP”
Investigadores de seguridad lograron desenmascarar la táctica detrás de la infección:
- El actor de amenazas que orquesta esta operación de fraude cibernético ha sido bautizado bajo el nombre en clave “INJ3CTOR3”.
- Este grupo está desplegando activamente un web shell específico denominado “EncystPHP” en los sistemas de las víctimas desde principios de diciembre de 2025.
- Al operar con privilegios elevados dentro del contexto administrativo de FreePBX y Elastix, este web shell permite a los ciberdelincuentes iniciar llamadas salientes no autorizadas a través del entorno de la centralita (PBX). El objetivo final es el enriquecimiento ilícito mediante el fraude de tarifas telefónicas o toll fraud.
Solución y Mitigación Inmediata
La vulnerabilidad afecta a las versiones de FreePBX 17.0.2.36 y superiores. Para erradicar la amenaza, los administradores de sistemas deben tomar acción inmediata:
- Parchear: El fallo ha sido resuelto de forma oficial en la versión 17.0.3 de FreePBX. Se recomienda encarecidamente actualizar las implementaciones lo antes posible.
- Restringir Accesos: Implementar controles de seguridad estrictos para asegurar que solo los usuarios autorizados tengan acceso al Panel de Control del Administrador (ACP).
- Filtrar el Tráfico: Bloquear el acceso desde redes hostiles hacia el ACP a nivel de firewall.
- Actualizar Módulos: Asegurarse de actualizar el módulo de almacén de archivos (filestore module) a su versión más reciente.
