«Levántate, admin: es hora de parchear el entorno de producción». La policía despertó a cientos de profesionales de TI por un fallo crítico
Las autoridades ya no confían en los canales digitales habituales
En la noche del 23 de marzo, en toda Alemania, la policía llamó masivamente a las puertas de empresas e incluso de domicilios particulares — el motivo fue una vulnerabilidad en software corporativo, sobre la que muchos administradores se enteraron no por notificaciones del desarrollador, sino por las fuerzas de seguridad. La situación inusual generó rápidamente preguntas: cuán grave es el problema y si se justificaba tal urgencia.
Se trata de una vulnerabilidad crítica en los productos Windchill y FlexPLM de la empresa PTC. El problema está relacionado con una deserialización insegura y obtuvo la máxima puntuación en la escala CVSS: 10 puntos. La Oficina Federal de Investigación Criminal de Alemania inició una alerta masiva: las direcciones regionales recibieron una lista de empresas y enviaron personal para el contacto personal. Según datos extraoficiales, se vieron afectadas más de mil organizaciones.
Los agentes de policía acudían en plena noche. En varios casos las visitas se realizaron alrededor de las tres de la madrugada. A los administradores se les entregó una carta de PTC con recomendaciones para la mitigación urgente del problema. Este procedimiento sorprendió a muchos: algunas empresas declararon que su infraestructura está aislada de redes externas y que el acceso a los sistemas está estrictamente restringido. Hubo también casos en que la policía se presentó en organizaciones que no utilizan los productos vulnerables.
Las direcciones regionales confirmaron la operación. En Turingia, por ejemplo, la unidad de delitos cibernéticos intentó primero contactar con las empresas por teléfono y, si no obtuvieron respuesta, envió personal al lugar. Al mismo tiempo, las propias empresas ya habían recibido notificaciones del fabricante y comenzado a tomar medidas para el momento de la visita.
La escala y el formato de las acciones resultaron bastante atípicos tanto para Alemania como para cualquier otro país. Habitualmente este tipo de incidentes va acompañado de comunicados de las autoridades competentes, pero esta vez la Oficina Federal de Seguridad de la Información se limitó a un mensaje comedido al cabo de un día. La agencia estadounidense CISA ni siquiera emitió advertencias.
El propio desarrollador añadió confusión adicional. PTC declaró que no había ataques confirmados contra clientes, pero al mismo tiempo publicó indicios de compromiso. Entre ellos está la presencia del archivo GW.class, que indica una preparación exitosa del sistema para la ejecución remota de código. Esta dualidad provocó desconcierto entre los especialistas.
Al momento de la publicación, la vulnerabilidad recibió la identificación CVE-2026-4681, sin embargo, aún no se han publicado actualizaciones para su corrección. La situación sigue siendo incierta: por un lado no hay declaraciones sobre ataques reales, por otro lado ya se han descrito indicios de posible explotación y la reacción de las autoridades ha sido sin precedentes.