El Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) ha incorporado ocho nuevas vulnerabilidades a su Known Exploited Vulnerabilities Catalog (KEV), confirmando que todas ellas están siendo aprovechadas activamente por atacantes. Entre las más sensibles destacan tres fallos en Cisco Catalyst SD-WAN Manager, con impacto directo en redes de grandes empresas, proveedores de servicios y entidades públicas.
Qué es el catálogo CISA KEV y cómo guía la gestión de vulnerabilidades
El catálogo CISA KEV es un listado público de vulnerabilidades para las que existe evidencia de explotación en entornos reales. Su inclusión no responde a una evaluación teórica, sino a la constatación de ataques «en la naturaleza». Para las agencias federales civiles de Estados Unidos (FCEB) el catálogo marca plazos obligatorios de corrección, y para el resto de organizaciones se ha convertido en una referencia prioritaria de gestión de parches basada en riesgo.
En la última actualización se han añadido ocho vulnerabilidades, entre ellas:
- Tres fallos en Cisco Catalyst SD-WAN Manager (CVE-2026-20122, CVE-2026-20128, CVE-2026-20133).
- Una nueva vulnerabilidad en JetBrains TeamCity para entornos on‑premise, que se suma a la ya conocida CVE-2024-27198.
- CVE-2023-27351, presente en un producto de impresión muy extendido en entornos empresariales y asociado a la actividad del grupo Lace Tempest.
- CVE-2025-32975, que afecta a soluciones de acceso remoto SMA (Secure Mobile Access) orientadas a redes corporativas.
Vulnerabilidades en Cisco Catalyst SD-WAN Manager: impacto en la columna vertebral de la red
Cisco Catalyst SD-WAN Manager es la plataforma de orquestación y gestión centralizada de entornos SD-WAN, de la que dependen la conectividad de sedes, plantas industriales y recursos en la nube. La compromisión de este componente permite a un atacante manipular la configuración, alterar la ruta del tráfico, desviar comunicaciones sensibles y utilizar el orquestador como punto de apoyo para moverse lateralmente por la red.
Cisco ha confirmado que, desde marzo de 2026, se ha observado explotación activa de las vulnerabilidades CVE-2026-20122 y CVE-2026-20128. Aunque el boletín oficial del fabricante aún no refleja explotación para CVE-2026-20133, esta también ha sido incorporada al catálogo KEV, lo que indica que CISA ya dispone de evidencias suficientes de ataques.
Ante este escenario, las agencias FCEB deben corregir las tres vulnerabilidades de Cisco antes del 23 de abril de 2026. Para el sector privado y otras administraciones, estos plazos no son legalmente vinculantes, pero constituyen una clara señal de prioridad: cualquier organización que utilice Cisco SD-WAN debería inventariar de inmediato sus despliegues y aplicar actualizaciones sin demora.
JetBrains TeamCity: servidores CI/CD como vector de ataque a la cadena de suministro
Otra de las nuevas entradas del KEV corresponde a una vulnerabilidad adicional en JetBrains TeamCity para instalaciones locales, que se suma a la crítica CVE-2024-27198, ya incluida en el catálogo desde 2024. De momento no se ha confirmado si ambas vulnerabilidades se explotan de forma combinada en las mismas campañas ni si responden al mismo actor.
La explotación de servidores CI/CD como TeamCity resulta especialmente peligrosa: otorga a los atacantes acceso a código fuente, pipelines de compilación y artefactos, así como a credenciales y secretos reutilizados en múltiples proyectos. Este control facilita ataques a la cadena de suministro de software, al insertar código malicioso en productos legítimos y distribuirlo posteriormente a clientes mediante actualizaciones aparentemente fiables, un patrón observado en varios incidentes de alto impacto en los últimos años.
CVE-2023-27351: del fallo en un producto de impresión al despliegue de ransomware
La vulnerabilidad CVE-2023-27351, ahora también presente en el KEV, se ha relacionado con el grupo Lace Tempest. Investigaciones públicas apuntan a que este fallo ha sido utilizado como vector inicial en campañas de ransomware asociadas a las familias Cl0p y LockBit, dos de las operaciones de extorsión más activas a escala global.
Este caso ilustra un patrón recurrente: una vulnerabilidad en un producto empresarial ampliamente desplegado se convierte en la puerta de entrada para campañas masivas de cifrado y robo de datos. Una vez que aparecen exploits en marcos públicos y kits de ataque, las organizaciones que no han parcheado a tiempo ven incrementado drásticamente su nivel de exposición.
CVE-2025-32975 en SMA: presión creciente sobre los accesos remotos
La vulnerabilidad CVE-2025-32975 afecta a dispositivos SMA (Secure Mobile Access), empleados como gateways de acceso remoto seguro para empleados y proveedores externos. De acuerdo con informes de Arctic Wolf, actores desconocidos han armado activamente este fallo y han atacado de forma sostenida, durante el último mes, sistemas SMA sin actualizar, aunque los objetivos finales de la campaña aún no se han podido determinar.
La infraestructura de VPN y acceso remoto constituye una superficie de ataque prioritaria: comprometer estos gateways permite a los atacantes eludir muchas de las defensas perimetrales y obtener un acceso casi directo a recursos internos, a menudo con privilegios elevados y confianza implícita.
Recomendaciones clave para reducir el riesgo: priorizar según CISA KEV
La inclusión de una vulnerabilidad en CISA KEV es un indicador inequívoco de urgencia. Mientras que las agencias FCEB deben corregir las tres vulnerabilidades de Cisco antes del 23 de abril de 2026 y el resto de fallos antes del 4 de mayo de 2026, el sector privado, los operadores de infraestructuras críticas y las administraciones de otros países deberían alinearse con estos plazos o incluso acortarlos.
Para minimizar el impacto potencial de estas campañas se recomienda:
- Inventariar de forma exhaustiva todos los sistemas afectados: despliegues de Cisco Catalyst SD-WAN Manager, servidores JetBrains TeamCity on‑premise, soluciones de impresión corporativa y gateways SMA.
- Aplicar de inmediato parches y actualizaciones de firmware proporcionados por los fabricantes, o bien desplegar medidas temporales como virtual patching, restricciones de acceso por red y endurecimiento de configuraciones.
- Reforzar la monitorización de logs y tráfico en torno a estos sistemas, aprovechando indicadores de compromiso publicados por CISA y otros equipos de respuesta, e integrando alertas específicas en SIEM, EDR y/o NDR.
- Revisar la segmentación de red y los modelos de confianza, limitando el alcance de un posible compromiso de SD-WAN o de un gateway VPN y evitando accesos laterales no controlados.
- Establecer un proceso maduro de gestión de vulnerabilidades que incluya el seguimiento continuo del catálogo KEV, la evaluación de exposición para activos propios y ejercicios periódicos de preparación ante incidentes.
La ampliación del catálogo CISA KEV confirma la atención creciente de los atacantes sobre la infraestructura de red, los accesos remotos y las herramientas DevOps. Es un momento idóneo para revisar qué sistemas son realmente críticos, acelerar la corrección de vulnerabilidades activamente explotadas y consolidar una estrategia de ciberresiliencia que combine parcheo ágil, segmentación robusta, monitorización continua y formación de los equipos responsables.
